Au cours de ces dernières années, les commutateurs se sont imposés face aux concentrateurs, assurant les fonctions de retransmission du signal. Aujourd’hui, ils sont en passe de réaliser la même opération face aux routeurs : ils possèdent des fonctions de routage. Un commutateur traditionnel de niveau 3 est en effet capable de lire et de stocker les adresses MAC de chaque trame.Lorsqu’une communication débute entre 2 ordinateurs, il enregistre les adresses MAC des machines source et destination, et crée ainsi un chemin privilégié entre elles. Bien que rudimentaires, ces fonctions de routage ont considérablement aidé à l’essor du commutateur, car elles contribuent à améliorer les performances globales du réseau.D’autant plus que depuis, le commutateur est passé au niveau 4. Désormais, il commute aussi en fonction de l’application grâce à la normalisation des ports : 80 pour HTTP (web), 25 pour SMTP (courrier électronique), 20 pour FTP (transport de fichier), etc.Avec la commutation de niveau 4 sont également apparus les VLan, sorte de réseaux locaux privés virtuels isolant un groupe de machines. Importante, cette évolution des équipements pour réseau dans les couches définies par l’Iso a entraîné l’apparition de nouveaux services. Ils contribuent à l’amélioration de la qualité de service mais également de la sécurité des réseaux internes.Par commodité, et pour aller dans le sens du marché, on retiendra le terme de commutateur dans la suite de cet article, même si ce dernier n’assure pas systématiquement des fonctions de routage.
Améliorer la qualité de service
L’assimilation de la couche 4 aide le commutateur à faire la distinction entre le trafic du web et celui du courrier électronique, par exemple. Dès lors, il établit des priorités de traitement. Selon les cas, l’administrateur pourra, par simple paramétrage logiciel du commutateur, indiquer que le trafic courrier doit être traité avant tout comme une autre forme de flux de données.Une approche qui peut également être appliquée à l’individu. Capable de lire l’en-tête du paquet, le commutateur de niveau 4 est en mesure d’identifier sa provenance, et donc d’orienter le trafic en fonction de la personne émettrice.Cette fonction n’est toutefois pas applicable à l’échelle d’internet pour la simple raison qu’une adresse IP n’est pas associée à un nom. Attribuée dynamiquement lors de la connexion par un serveur DHCP généralement hébergé chez le fournisseur d’accès, l’adresse IP d’une personne varie à chaque nouvelle connexion.En revanche, en intranet, extranet ou pour des sites dont l’accès est privé et sur abonnement personnalisé, rien n’empêche l’administrateur de déterminer des priorités de trafic pour des personnes identifiées, à condition, bien entendu, que ces dernières utilisent des adresses IP fixes.
Les commutateurs de niveau 7 analysent les cookies
La gestion des priorités “individuelles” à l’échelle d’internet devrait toutefois progressivement devenir possible avec l’apparition d’une nouvelle génération de commutateurs. Dits de niveau 7, ces équipements travaillent au niveau de la couche applicative. Ils sont donc capables de gérer et d’analyser le contenu des cookies. Véritables agents du trafic, ils orientent les paquets en fonction de l’identité de l’utilisateur contenue dans le cookie.Capitale dans le cadre du commerce électronique notamment, cette évolution laisse présager de nombreuses hypothèses d’exploitation : priorité des clients abonnés sur les clients non identifiés, priorité des clients demandant tel type de contenu, etc.Pour l’heure, le traitement d’un paquet selon le profil de l’utilisateur qui l’envoie n’est possible que chez Alteon et Arrowpoint (racheté par Cisco), seuls fabricants à avoir implémenté la gestion des cookies. Du reste, si le niveau 4 est largement présent dans l’offre des fabricants d’équipements de réseau, le 7 fait encore figure d’exception.
Des fonctions de coupe-feu pour combler les brèches
Le filtrage par adresse IP s’applique également à la sécurité : le commutateur se transforme alors en véritable coupe-feu, interdisant l’accès à certaines adresses, capable de détecter l’intrus pour assurer la sécurité du réseau de l’entreprise.Enfin, s’il contribue à la sécurité du réseau, le commutateur ou routeur peut aussi constituer une faille en-soi. Les administrations via des interfaces web, qui supposent la présence d’un serveur HTTP dans l’équipement, constituent une véritable aubaine pour les pirates.Surtout si certaines fonctions, comme l’obtention de la topologie du réseau, n’ont pas été désactivées. L’ “écoute” du trafic d’administration telnet ou encore la mise hors service d’un équipement par saturation de requêtes (attaque subie notamment par Yahoo! ou Amazon) ne sont pas à exclure.De manière générale, les fabricants proposent désormais des solutions en utilisant des protocoles sécurisés pour les flux d’administration ou encore en utilisant les fonctions de filtrage pour identifier les adresses inconnues et bloquer le trafic avant que l’équipement ne soit submergé. Solutions généralement coûteuses en performances car elles supposent une analyse fine du trafic.
Attention à la sécurité physique
La sécurité physique des équipements devant également être prise en compte, il convient de s’assurer que le commutateur est doté de fonctions de tolérance aux pannes. Si la plupart des châssis prévoient par exemple des cartes d’interface redondantes qui peuvent être changées “à chaud” pour remédier à une panne rapidement, la matrice de commutation, en revanche, n’est pas toujours redondante sur le matériel bas de gamme.Le moindre dysfonctionnement entraîne dans la plupart des cas un redémarrage de l’équipement qui peut prendre plusieurs minutes, laps de temps pendant lequel la commutation du réseau est bloquée.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.