L’architecture d’un commutateur Ethernet de couche 2 dans le contexte de la cybersécurité

La protection des actifs, le respect de la vie privée et la confiance des clients et des parties prenantes représentent des objectifs fondamentaux pour toute organisation. Afin d’atteindre ces objectifs, notre organisation se concentre sur la garantie de la disponibilité des services et des informations sensibles, la prévention de l’accès non autorisé aux données, ainsi que la réduction des risques potentiels.

La cybersécurité ne se limite pas à un simple élément matériel, mais nécessite une approche globale prenant en considération différents aspects technologiques, procéduraux et humains.

Le Cadre de Cybersécurité (CSF) élaboré par le National Institute of Standards and Technology (NIST) offre des directives et des bonnes pratiques pour l’évaluation, la mise en œuvre et la gestion des risques visant à protéger les systèmes contre les cyberattaques (https://www.nist.gov/cyberframework). Il définit la cybersécurité comme un effort continu et facilite la compréhension de son ampleur complète.

Pour protéger un système, il est essentiel de connaître en détail les fonctionnalités des composants. Une évaluation technique approfondie des composants utilisés est nécessaire pour identifier les éventuelles vulnérabilités aux attaques et comprendre comment ces composants peuvent contribuer à la protection du système.

Cet article explique l’architecture de base d’un switch Ethernet afin de fournir des détails techniques pour l’évaluation de la cybersécurité. Dans ce contexte, un switch Ethernet est défini comme un appareil de couche 2 autonome et géré, qui assure la communication dans un réseau local (LAN).

Un commutateur Ethernet agit en tant que distributeur au sein d’un réseau local (LAN). Son rôle principal est de connecter les participants au niveau physique (couche 1) au réseau et de permettre l’adressage des différents participants au niveau logique (couche 2).

Le composant central du commutateur Ethernet est le moteur de commutation, qui gère le routage du trafic réseau. Il intègre l’unité de contrôle de files d’attente ainsi que les tampons d’entrée (Ingress) et de sortie (Egress). Le traitement des données s’effectue entièrement dans le matériel, assurant ainsi une très faible latence (de l’ordre de la µs) pour la transmission des données.

L’adressage au niveau 2 est réalisé à l’aide d’adresses MAC. Chaque interface réseau possède une adresse MAC unique, valable à l’échelle mondiale. La communication se fait par des paquets de données (frames). Chaque paquet de données contient une adresse MAC de destination (DA) et une adresse MAC d’origine (SA). L’unité de contrôle de la file d’attente détermine, en se basant sur l’adresse MAC de destination, vers quelle connexion le paquet de données entrant doit être dirigé. À cet effet, les adresses sont enregistrées dans une table MAC, automatiquement mise à jour par l’unité de contrôle de la file d’attente afin de maintenir la correspondance entre le port et l’adresse MAC de l’émetteur.

Un commutateur Ethernet géré propose des paramètres de configuration permettant de contrôler les tampons d’entrée et de sortie, ainsi que d’appliquer des filtres pour le transfert conditionnel ou le traitement ultérieur des paquets. Ceci permet de supporter des fonctionnalités telles que les VLAN, l’arbre de couverture (STP/RSTP) et les options DHCP.

Les paramètres de configuration sont définis via une interface de contrôle, généralement utilisée comme interface de gestion. Ces paramètres sont communément appelés la configuration du commutateur, et les services de gestion sont fournis par des logiciels fonctionnant dans un système d’exploitation embarqué (OS de gestion).

Un commutateur Ethernet géré possède au moins deux interfaces de gestion : une interface de service locale, souvent implémentée sous forme d’interface USB ou série, et une interface réseau permettant l’accès aux services de gestion via le réseau (interface administrateur). Cette interface réseau agit comme un participant ordinaire du réseau et peut être contactée via une adresse IP sur le réseau. Un port spécifique est ainsi dédié dans le moteur de commutation en tant que port de gestion interne.

Le port de gestion peut traiter à la fois des trames régulières et des trames de gestion spécialement identifiées, toujours transmises au port de gestion par le contrôle de la file d’attente. Ces trames sont alors disponibles pour le traitement des services (comme le DHCP), qui sont généralement associés aux couches 4 et supérieures. La supervision de l’appareil est entre les mains de ceux ayant accès aux services de gestion.

Un commutateur Ethernet de couche 2 transmet les données sans analyser le contenu des trames (charge utile). La transmission physique des trames se fait exclusivement dans le matériel (silicium). Tous les autres services et protocoles sont exécutés dans le système d’exploitation en tant que partie du logiciel de gestion (services de gestion).

Pour la gestion du réseau et le support des protocoles réseau, les trames Ethernet sont transmises au logiciel de gestion. Le logiciel peut alors traiter les trames ou les données en conséquence. En théorie, le logiciel pourrait traiter toutes les trames à la place du moteur de commutation et analyser et filtrer les paquets selon une politique spécifique, comme un pare-feu. Toutefois, cette approche n’est pas viable pour un appareil de couche 2.

Le logiciel de gestion fonctionne sur une unité centrale embarquée. La puissance de calcul d’un système embarqué typique n’est pas suffisante pour acheminer les trames sans heurts tout en effectuant une inspection des paquets et en appliquant des règles de filtrage. C’est pourquoi une inspection de paquets basée sur un logiciel entraîne une baisse considérable des performances. Le débit de données diminue drastiquement dès que le logiciel de gestion intervient dans le traitement des paquets. Cela vaut pour tous les mécanismes de pare-feu et de cryptage effectués par logiciel au niveau des trames Ethernet.

Les mises à jour logicielles font référence au processus de mise à jour du système d’exploitation (Management-OS). Ce processus implique généralement le remplacement du système d’exploitation sur l’appareil embarqué. Les mises à jour des fonctions du silicium ne sont pas techniquement prises en charge dans ce contexte.

Il est crucial de comprendre que la cybersécurité est un processus continu exigeant un suivi régulier, des mises à jour et le respect des bonnes pratiques.

Pour définir, mettre en œuvre et maintenir des mesures de sécurité adéquates, il est impératif de bien appréhender la technologie dans sa quintessence au niveau des composants.

Ce document décrit l’architecture des commutateurs Ethernet et offre un précieux aperçu de leur technologie, en mettant particulièrement l’accent sur la cybersécurité. Il assiste ainsi les ingénieurs système dans la compréhension de la technologie et des fonctionnalités, ainsi que dans l’évaluation des aspects de cybersécurité.

Un commutateur Ethernet de couche 2 achemine le trafic via un moteur de commutation en silicium, tandis que le logiciel de gestion gère les protocoles et les services réseau.

L’inspection des paquets basée sur le logiciel peut avoir un impact significatif sur les performances et le débit, et n’est donc pas recommandée pour filtrer le trafic à travers le système d’exploitation de gestion.

Les commutateurs Ethernet prennent en charge les mises à jour logicielles du système d’exploitation de gestion.