🔐 Segmentation réseau avec VLAN dynamique
📝 Introduction
Maintenant que les utilisateurs de notre entité peuvent s'authentifier sur le réseau filaire et le réseau sans-fil, nous allons mettre en place la segmentation réseau en attribuant un VLAN suivant leur appartenance à un groupe AD.
🎯 Objectif
Dans cet exemple, je vais segmenter le réseau pour le groupe COMPTABILITE et le groupe INFORMATIQUE afin qu'ils soient isolés l'un de l'autre.
Pour cela nous allons créer deux nouveaux VLAN.
VLAN et adressage réseau
| ID | Nom | Réseau | Passerelle/DHCP | DNS |
|---|---|---|---|---|
| 2 | Registration | 192.168.2.0/24 | PacketFence | PacketFence |
| 3 | Isolation | 192.168.3.0/24 | PacketFence | PacketFence |
| 4 | Machines | 192.168.4.0/24 | OPNSense | AD |
| 10 | Administration | 192.168.10.0/24 | OPNSense | AD |
| 20 | LAN | 192.168.20.0/24 | OPNSense | AD |
| 30 | AD | 192.168.30.0/24 | OPNSense | AD |
| 40 | Guests | 192.168.40.0/24 | OPNSense | OPNSense |
| 🆕50 | Informatique | 192.168.50.0/24 | OPNSense | OPNSense |
| 🆕60 | Comptabilite | 192.168.60.0/24 | OPNSense | OPNSense |
Connexion réseau
| Hôte | Port si plss | SW | Port | VLAN TYPE |
|---|---|---|---|---|
| opnslab | igb1 | sw01 | P8 | TAG 4,10,20,30,40,50,60 |
| AP AC Lite | sw01 | P3 | UNTAG 10 / TAG 2,3,4,20,40,50,60 |
Adressage IP des hôtes
| Hôte | Interface | IP | Commentaire |
|---|---|---|---|
| opnslab | WAN | DHCP | |
| Machines | 192.168.4.1 | VLAN TAG 4 sur igb1 | |
| Administration | 192.168.10.1 | VLAN TAG 10 sur igb1 | |
| LAN | 192.168.20.1 | VLAN TAG 20 sur igb1 | |
| AD | 192.168.30.1 | VLAN TAG 30 sur igb1 | |
| Guests | 192.168.40.1 | VLAN TAG 40 sur igb1 | |
| Informatique | 192.168.50.1 | VLAN TAG 50 sur igb1 | |
| Comptabilite | 192.168.60.1 | VLAN TAG 60 sur igb1 |
🛡️ Configuration de PacketFence
Après avoir créer les VLAN sur OPNSense, le switch et le controleur Unify, passons à la configuration de PacketFence.
Création des rôles
Création du rôle Informatique.
Faire de même avec Comptabilite
Modification des commutateurs
Concernant le switch Cisco.
Faire de même pour l'AP01.
Création de la source d'authentification
Créez une nouvelle source d'authentification interne nommée par exemple AD-USERS-SEGMENTATION.
Reprenez les mêmes informations générales que la source d'authentification AD-USERS puis créez les règles d'authentification Informatique et Compatbilite.
Remarquez que nous avons utilisé des conditions permettant d'attribuer les rôles aux groupes d'utilisateurs.
Modification du profil de connexion
Nous allons modifier le profil 802.1X.
L'ordre des sources est très important puisque c'est la première règle concordante qui est appliquée.
Sauvegardez la modification.
🖥️ Authentification sur un appareil
🧪 Expérience #1
Connexion sur le réseau filaire de l'utilisateur Lisa Simpson faisant partie du groupe AD Comptabilite.
Et voilà ! Le VLAN 60 a bien été attribué à l'appareil sur lequel s'est connectée l'utilisatrice.
🧪 Expérience #2
Testons maintenant la connexion sur le réseau filaire de l'utilisateur Bart Simpson faisant partie du groupe AD Informatique.
Et ça roule !
🧪 Expérience #3
Testons maintenant la connexion sur le réseau sans-fil pour les deux utilisateurs.
De nouveau ça fonctionne parfaitement.
🧪 Expérience #4
Terminons avec la connexion de l'utilisateur AD Homer Simpson ne faisant pas parti des groupes Comptabilite et Informatique.
Sur le Wifi :
Sur le réseau filaire :
👉 La suite
Maintenant que notre infra de base est opérationnelle, je vais m'attaquer au profilage des appareils.