Réseaux routés vs. réseaux commutés
Les réseaux de fabrication font face à des menaces constantes, le ransomware étant le plus dangereux. Une fois à l'intérieur, les attaquants se déplacent latéralement, volent ou verrouillent des données critiques. La vraie valeur d'un réseau ne réside pas seulement dans la connexion des appareils, mais dans l'arrêt de cette propagation. La meilleure approche ? Passer des réseaux commutés aux réseaux routés.
📖 Temps de lecture estimé : 5 minutes
Content
Réseaux routés vs. réseaux commutés
Qu'est-ce qu'un réseau routé ?
Un réseau routé fonctionne à la couche 3, utilisant le routage basé sur IP pour déplacer les paquets entre des segments de réseau ou sous-réseaux distincts. Chaque sous-réseau agit comme une entité indépendante et le trafic passe entre eux uniquement lorsqu'il est explicitement autorisé par des politiques de routage et des règles de pare-feu. Contrairement aux réseaux commutés, qui s'appuient sur les adresses MAC pour le transfert local, les réseaux routés prennent des décisions basées sur IP pour déterminer le flux de trafic, ce qui garantit que les appareils des sous-réseaux séparés ne communiquent que lorsqu'ils sont explicitement autorisés.
Les pare-feux jouent un rôle critique dans les réseaux routés, agissant comme des gardiens qui régulent la communication inter-sous-réseaux. Les administrateurs peuvent créer des politiques de sécurité granulaires définissant exactement comment les différentes parties du réseau interagissent. Cette structure améliore non seulement la sécurité, mais aussi la surveillance du réseau et la réponse aux incidents. Au lieu d'un environnement plat et ouvert où tout appareil peut communiquer librement au sein du même VLAN, les réseaux routés introduisent des chemins contrôlés et structurés pour le trafic, réduisant l'exposition inutile.
La segmentation des réseaux routés aide à limiter le mouvement latéral, contenant efficacement les violations de sécurité. Des études d'organisations comme le NIST et l'Institut SANS soulignent la segmentation du réseau comme une pratique exemplaire fondamentale en cybersécurité.
Qu'est-ce qu'un réseau commuté ?
Un réseau commuté, en revanche, fonctionne principalement à la couche 2, en transférant les paquets à l'aide d'adresses MAC. Les appareils sont souvent groupés en VLAN pour fournir une segmentation logique. Cependant, la segmentation basée sur les VLAN ressemble souvent aux types d'actifs au lieu de définir des limites de sécurité significatives basées sur la fonction commerciale.
Les réseaux commutés posent un risque de sécurité sérieux. Une fois qu'un attaquant a accès à un VLAN, il peut s'y déplacer librement, rencontrant une résistance minimale. Sécuriser correctement les VLAN nécessite la mise en œuvre de routage inter-VLAN, mais de nombreuses organisations négligent cette étape en raison de la complexité et des défis de maintenance. En conséquence, les VLAN échouent souvent à servir de frontières de sécurité efficaces.
Les Problèmes de la Segmentation Basée sur VLAN
1. Faible Visibilité et Haute Complexité
Les configurations VLAN se développent souvent sans stratégie claire, regroupant des actifs similaires plutôt que de s'aligner sur les besoins réels de l'entreprise. Cela peut rendre le suivi des schémas de trafic et la résolution des problèmes difficiles. Quiconque a traité des problèmes de VLAN et de protocole STP sait à quel point ils peuvent être complexes et frustrants.
2. Limitations de Performance et Tempêtes de Diffusion
Les réseaux de couche 2 subissent une dégradation des performances à mesure qu'ils s'étendent. Lorsqu'un VLAN dépasse 200 appareils, le trafic de diffusion peut consommer 20 à 30 % de la bande passante disponible, entraînant une congestion du réseau et des ralentissements.
3. Les VLANs Ne Reflètent Pas les Opérations Commerciales
La plupart des implémentations de VLAN organisent les appareils par type (par exemple, toutes les caméras dans le VLAN 20, toutes les machines de production dans le VLAN 30) plutôt que par fonction. Cette approche complique le contrôle d'accès car la communication entre VLANs n'est pas conçue autour des besoins réels de l'entreprise, ce qui rend l'application des politiques de sécurité plus difficile.
4. La Sécurité Inter-VLAN Est Difficile à Maintenir
Pour que la segmentation VLAN soit sécurisée, la communication inter-VLAN doit être explicitement contrôlée en utilisant des pare-feux et des protocoles d'authentification comme 802.1X. Ces solutions sont vraiment difficiles à déployer et à maintenir dans les environnements industriels. En conséquence, de nombreuses organisations laissent la communication VLAN largement ouverte, rendant le réseau effectivement plat.
5. IPs Statiques Comme Identité
Les réseaux de fabrication dépendent souvent des IPs statiques pour identifier les appareils. Dans de tels environnements, les réseaux routés offrent une approche plus directe de la segmentation en appliquant l'identité et le contrôle d'accès à la couche 3.
Un Conception de Réseau de Fabrication Plus Sécurisée
Pour améliorer la sécurité et l'évolutivité, les sites de fabrication devraient adopter des réseaux routés avec une segmentation renforcée par pare-feu. Considérez le concept de réseau suivant pour une installation typique :
40 postes de travail
15 caméras de sécurité
20 machines de production
10 imprimantes
Système de contrôle CVC
Système d'accès aux portes
Système ERP sur site
Plutôt que de regrouper ces appareils dans des VLANs, mettez en place une architecture routée basée sur des zones de sécurité fonctionnelles :
Pare-feu de Périmètre : Contrôle le trafic entrant et sortant, appliquant des politiques de sécurité globales. Il doit être optimisé pour gérer les menaces externes tout en maintenant une latence minimale.
Couche de Sécurité et de Routage Interne : Ce pare-feu/routeur secondaire est responsable du segmentage du trafic interne et de l'application des mesures de sécurité au sein du réseau.
Enclaves de Sécurité Définies :
Systèmes ERP et Business : Exigent une haute sécurité avec un accès externe limité.
Annuaire Actif et Services d'Authentification : Infrastructure critique avec des contrôles d'accès stricts.
Machines de Production Principales : Isolées des systèmes IT généraux, segmentées en enclaves dédiées.
Accès aux Portes, CVC, Caméras de Sécurité et Appareils IoT : Restreint, avec une communication sortante minimale pour éviter toute exploitation.
Cette approche garantit que seule la communication nécessaire a lieu entre les systèmes, empêchant les mouvements latéraux non contrôlés et renforçant la sécurité globale.
Pourquoi les réseaux routés offrent une meilleure sécurité
Confinement plus fort des mouvements latéraux
Une fois qu'un attaquant accède à un réseau commuté, les mouvements latéraux sont souvent non restreints. Les réseaux routés, en revanche, contrôlent explicitement la communication entre les sous-réseaux, réduisant considérablement la capacité d'un attaquant à se propager.
Visibilité du trafic améliorée et réponse aux incidents
En appliquant une segmentation de couche 3, les réseaux routés offrent des flux de trafic structurés et observables. Les équipes informatiques et de sécurité peuvent identifier les anomalies et répondre efficacement aux menaces.
Gestion simplifiée des politiques de sécurité
Avec un réseau routé, les règles de pare-feu dictent l'accès inter-segments, facilitant l'application des politiques de sécurité à un niveau granulaire. La sécurité basée sur VLAN a tendance à être appliquée de manière inconsistante et difficile à auditer.
La Réalité : Construire des couches de protection
Même avec de bonnes mesures préventives, les attaquants trouveront finalement un moyen de pénétrer— par une mauvaise configuration, du phishing, des zero-days, des menaces internes, des actifs tiers... L'objectif n'est pas seulement de prévenir les violations, mais de les contenir efficacement.
Les réseaux routés limitent naturellement la capacité d'un attaquant à se déplacer au-delà du point d'entrée initial, améliorant considérablement la résilience contre les menaces cybernétiques modernes. Ils sont également plus simples à mettre en œuvre et à gérer au fil du temps par rapport à la segmentation complexe basée sur les VLAN, réduisant la surcharge administrative tout en maintenant de solides contrôles de sécurité.
Passer d'un réseau commuté à un réseau routé assure une infrastructure plus sécurisée, évolutive et résiliente pour les environnements de fabrication. En abandonnant la segmentation basée sur les VLAN et en adoptant une stratégie de routage orientée vers les fonctions de l'entreprise, les organisations peuvent appliquer une vraie sécurité tout en maintenant l'efficacité opérationnelle.
Autres articles de blog de Trout