Mise en place d'une
Infrastructure Sécurisée
Étude, déploiement et sécurisation d'un système d'information partitionné pour l'entreprise MSP.
Présentation & Objectifs
Dans le cadre de ce projet d'épreuve E4, l’entreprise MSP a exprimé le besoin de concevoir une architecture réseau hautement sécurisée et hermétique afin d'y héberger plusieurs services critiques.
L’objectif principal réside dans le cloisonnement strict des flux de données. Pour cela, l'infrastructure est segmentée en trois zones bien distinctes : un accès WAN représentant Internet, une DMZ accueillant les serveurs exposés publiquement, et un réseau local (LAN) privé, sécurisant les serveurs internes ainsi que le poste client.
Schéma de l'Architecture Réseau
Architecture distribuée sécurisée par double pare-feu pfSense (cloisonnement WAN - DMZ - LAN).
Plan d'Adressage IP
| Équipement / Machine | Adresse IP | Rôle & Fonction | Système / Type |
|---|---|---|---|
| Pare-feu Externe (WAN) | `172.31.5.64` | Passerelle d'entrée, routage, NAT, filtrage WAN et DMZ | pfSense |
| Pare-feu Externe (DMZ) | `10.9.9.1` | Interface pare-feu connectée à la DMZ, filtrage entrées | pfSense |
| Serveur Web Public | `10.9.9.10` | Hébergement du site internet public de l'entreprise | Linux (Nginx/Apache) |
| Pare-feu Interne (DMZ) | `10.9.9.200` | Filtrage strict des flux entrants depuis la DMZ vers le LAN | pfSense |
| Pare-feu Interne (LAN) | `192.168.9.1` | Passerelle LAN, contrôle des accès internes et sortants | pfSense |
| Serveur Web Privé | `192.168.9.100` | Hébergement de l'intranet de l'entreprise | Linux (Apache/Nginx) |
| Serveur Messagerie | `192.168.9.252` | Gestion sécurisée des emails (SMTP, IMAP, iRedMail) | Linux |
| Serveur Active Directory | `192.168.9.253` | Contrôleur de domaine (AD DS, DNS, GPO, comptes) | Windows Server |
| Poste Client | `192.168.9.254` | Station de travail utilisateur intégrée au domaine local | Windows 10/11 |
Composants & Services Déployés
Double Pare-feu pfSense
Mise en place de deux routeurs pare-feu pfSense. Le premier filtre les requêtes issues d'Internet (WAN) vers les services publics, le second assure qu'aucun service compromis en DMZ ne puisse accéder au réseau local (LAN).
Serveur Web Public (Linux)
Déploiement d'un serveur Linux hébergé en DMZ. Il répond de manière sécurisée aux requêtes HTTP/HTTPS externes pour rendre le site vitrine de l'entreprise MSP disponible mondialement.
Serveur Web Privé (Intranet)
Mise en œuvre d'un serveur d'intranet d'entreprise sous Linux en zone LAN. Seuls les employés authentifiés sur le réseau interne y ont accès pour consulter les ressources internes.
Serveur Mail d'Entreprise
Mise en œuvre d'une solution souveraine de messagerie sous Linux (protocoles SMTP/IMAP sécurisés). Elle intègre des filtres anti-spam et une console d'administration complète.
Active Directory (AD DS)
Configuration de Windows Server en tant que contrôleur de domaine principal. Gestion unifiée des identités, structuration des Unités Organisationnelles (OU) et déploiement de stratégies de groupe (GPO).
Intégration & GPO Clients
Jonction et sécurisation des postes de travail Windows au domaine Active Directory. Application de GPO restrictives (sécurité des mots de passe, restriction USB) pour réduire la surface d'attaque.
Méthodologie & Déploiement
Conception & Phase de Tests
Pour assurer le succès de cette infrastructure, le déploiement a été précédé d'une importante phase de conception de plans d'adressage IP et de maquettage logique.
L'ensemble de la maquette a été testé et validé au sein d'un environnement virtualisé isolé, permettant de simuler parfaitement les flux réseau à travers les pare-feu avant toute mise en production.
🛠️ Compétences techniques validées :
- Conception et segmentation réseau (VLAN, Zones)
- Configuration avancée de pare-feux pfSense (Règles, NAT)
- Administration de serveurs Windows Server (AD, DNS, GPO)
- Hébergement et déploiement de services Linux