Infrastructure Réseau Virtualisée — Segmentation, Haute Disponibilité et Sécurité Périmétrique
Ce projet présente la conception et le déploiement d'une infrastructure réseau complète sous OpenNebula, organisée en zones de sécurité distinctes (LAN, SRV, DMZ). La solution repose sur des pare-feux OPNsense redondés en haute disponibilité (CARP), un annuaire Active Directory répliqué, ainsi qu'un ensemble de services métiers sécurisés (GLPI, Nextcloud, VEEAM, ZABBIX, RustDesk). L'automatisation est assurée via Ansible, GPO et scripts PowerShell.
Documentation de l'infrastructure réseau
Introduction
Cette infrastructure a été conçue dans le cadre d'un projet BTS SIO option SISR (Solutions d'infrastructure, systèmes et réseaux). Elle s'appuie sur une plateforme virtualisée OpenNebula et vise à répondre à des exigences professionnelles en matière de sécurité, de haute disponibilité, de centralisation des services et de supervision.
L'architecture repose sur une segmentation réseau stricte (LAN, SRV, DMZ), un pare-feu OPNsense redondé, des services d'annuaire Active Directory répliqués, et des outils de supervision, de sauvegarde et d'administration à distance.
Présentation des services
Chaque service déployé répond à un besoin fonctionnel identifié dans le système d'information de l'organisation.
Services principaux
| Service | Rôle | Besoin couvert | Technologies utilisées |
|---|---|---|---|
| Active Directory (AD01 / AD02) | Annuaire centralisé, authentification, DNS, DHCP | Gestion des utilisateurs, des droits et de la résolution de noms | Windows Server 2025, AD DS, DNS, DHCP |
| GLPI | Gestion du parc informatique et des incidents | Helpdesk, inventaire, gestion des tickets | Debian 13, GLPI, MariaDB, Ansible |
| Nextcloud | Espace de travail collaboratif | Partage de fichiers sécurisé, accès mobile | Debian 13, Nextcloud, LDAPS |
| VEEAM Backup | Sauvegarde des machines virtuelles | Continuité des données et reprise après incident | Debian 13, VEEAM Backup and Replication Community |
| RustDesk | Administration à distance sécurisée | Contrôle des postes et serveurs sans exposition externe | Debian 13, RustDesk Server |
| ZABBIX | Supervision des équipements et services | Disponibilité, alertes, monitoring de l'infrastructure | Debian 13, ZABBIX |
| OPNsense (x3) | Pare-feu, routage, VPN, filtrage | Segmentation réseau, sécurité périmétrique, haute disponibilité | OPNsense 26.1, CARP, WireGuard, OpenVPN, IPsec |
| Wireshark | Analyse de trames réseau | Diagnostic et audit du trafic | Wireshark (poste d'administration) |
Sécurité
Authentification
L'authentification des utilisateurs est centralisée via Active Directory. Les services GLPI et Nextcloud s'appuient sur LDAPS pour authentifier les comptes de domaine de manière chiffrée. L'accès aux interfaces d'administration OPNsense est restreint aux postes d'administration désignés.
Chiffrement
Les communications entre les clients et les serveurs GLPI et Nextcloud sont chiffrées via LDAPS. Les tunnels VPN (WireGuard, OpenVPN, IPsec) assurent la confidentialité des flux entre les sites et les utilisateurs distants.
Détection d'intrusion
Le plugin CrowdSec intégré à OPNsense analyse les journaux du pare-feu en temps réel. Il identifie les comportements suspects et ajoute automatiquement les adresses IP malveillantes à une liste noire, bloquant ainsi les tentatives d'intrusion.
Gestion des incidents
La gestion des incidents est assurée par GLPI, qui centralise les tickets, l'inventaire du parc et le suivi des demandes. Ce service garantit une traçabilité complète des événements de sécurité et des interventions.
Analyse de trafic
OPNsense propose une vue en direct du trafic réseau et de l'application des règles de filtrage. Wireshark est déployé sur le poste d'administration pour une analyse approfondie des trames réseau.
Architecture réseau
Topologie générale
L'infrastructure est organisée en quatre zones réseau distinctes, chacune isolée par des règles de filtrage strictes appliquées sur les pare-feux OPNsense :
- LAN (10.192.195.0/24) : zone des postes utilisateurs et d'administration.
- SRV (10.192.193.0/24) : zone des serveurs internes (AD, RustDesk, VEEAM, ZABBIX).
- DMZ (10.192.194.0/24) : zone des services exposés en interne (AD02, GLPI, Nextcloud).
- LAN EXT (10.192.11.0/24) : zone d'administration externe, accessible via OPNsense 3.
- WAN (10.192.0.0/24) : interface de sortie vers Internet.
Zones de sécurité et flux
| Zone source | Zone destination | Type de flux |
|---|---|---|
| LAN | WAN | Navigation Internet, VPN |
| LAN | SRV | Authentification AD, RustDesk, ZABBIX |
| SRV | DMZ | Réplication AD, sauvegardes VEEAM, DHCP relay |
| DMZ | SRV | Requêtes DNS, LDAP, accès AD |
| WAN | LAN | RDP (NAT vers ADM01), IPsec, VPN Wifi IIA |
| SYNC | OPNsense 1 / 2 | Synchronisation CARP (haute disponibilité) |
Redondance des pare-feux
Deux pare-feux OPNsense (MPR-IF OPNSENSE 1 et 2) fonctionnent en mode haute disponibilité via CARP. Un troisième pare-feu (OPNsense 3) gère l'accès à la zone LAN EXT depuis l'extérieur. La synchronisation d'état entre les deux pare-feux principaux est assurée par le protocole PFSYNC sur un réseau dédié.
Machines et rôles
| Nom de la machine | Adresse IP | Système d'exploitation | Rôle |
|---|---|---|---|
| OPNSENSE ADM01 | 10.192.195.10 | Windows 11 | Poste d'administration principal (LAN) |
| PC-01 | DHCP 10.192.195.x | Windows 11 | Poste utilisateur (LAN) |
| AD01 | 10.192.193.100 | Windows Server 2025 | Contrôleur de domaine principal, DNS, DHCP (SRV) |
| RustDesk | 10.192.193.110 | Debian 13 | Serveur d'administration à distance (SRV) |
| VEEAM | 10.192.193.120 | Debian 13 | Serveur de sauvegarde des VM (SRV) |
| ZABBIX | 10.192.193.130 | Debian 13 | Supervision de l'infrastructure (SRV) |
| AD02 | 10.192.194.100 | Windows Server 2025 | Contrôleur de domaine secondaire, DNS, DHCP (DMZ) |
| GLPI | 10.192.194.101 | Debian 13 | Gestion des incidents et du parc, Ansible (DMZ) |
| Nextcloud | 10.192.194.110 | Debian 13 | Plateforme collaborative et partage de fichiers (DMZ) |
| OPNSENSE ADM02 | 10.192.11.10 | Windows 11 | Poste d'administration externe (LAN EXT) |
Haute disponibilité et continuité
Redondance des pare-feux
Les pare-feux OPNsense 1 et 2 sont configurés en mode CARP (Common Address Redundancy Protocol). En cas de défaillance de l'un d'eux, l'autre prend automatiquement le relais sans interruption de service. La synchronisation des états de connexion est assurée par PFSYNC sur un réseau dédié.
Réplication Active Directory
Les deux contrôleurs de domaine (AD01 en zone SRV, AD02 en zone DMZ) sont configurés en réplication Active Directory. Si l'un des AD devient indisponible, l'autre prend intégralement le relais pour les services DNS, DHCP et d'authentification.
Répartition de charge
Un mécanisme d'équilibrage de charge (AD Balancer) permet de distribuer les requêtes d'authentification et les données entre les deux contrôleurs de domaine, optimisant ainsi les performances et évitant les points de saturation.
Sauvegarde
VEEAM Backup and Replication Community assure la sauvegarde régulière des machines virtuelles de l'infrastructure, permettant une reprise rapide en cas d'incident.
Automatisation et déploiement
GPO (Group Policy Object)
Une GPO est configurée pour déployer automatiquement le client RustDesk sur l'ensemble des machines Windows rattachées au domaine Active Directory. Ce déploiement s'effectue sans intervention manuelle sur chaque poste.
Scripts Batch et PowerShell
L'installation de RustDesk est automatisée par un script Batch. La configuration du client est ensuite prise en charge par un script PowerShell, déclenché via une tâche planifiée à l'ouverture de session utilisateur. Ces scripts garantissent une configuration homogène sur tous les postes.
Ansible
Ansible est déployé depuis le serveur GLPI pour automatiser la gestion des configurations serveur. Il a notamment été utilisé pour le déploiement d'un serveur NGINX, illustrant la capacité de l'infrastructure à gérer des déploiements reproductibles et normalisés.
Règles de pare-feu
Logique de filtrage
Les règles sont organisées par interface (LAN, SRV, DMZ, WAN, NAT WAN, SYNC). Chaque interface applique le principe du moindre privilège : seuls les flux strictement nécessaires sont autorisés, et une règle de blocage global (DROP ALL) est appliquée en fin de chaîne sur les interfaces SRV et DMZ. Les flux sont filtrés par protocole, source, destination et port.
Tableau des règles
| Interface | Protocole | Source | Port source | Destination | Port destination | Description |
|---|---|---|---|---|---|---|
| LAN | IPv4 TCP | PC admins | 64122 - 64123 | Lan Adresse | Tous | Accès PC ADMINS vers Firewall WEB GUI |
| LAN | IPv4 TCP | PC admins | Tous | Lan Adresse | Ports_Web | Accès PC ADMINS vers Interface WEB OPNsense |
| LAN | IPv4 ICMP | PC admins | Tous | Tous | Tous | Autorise les pings depuis PC admins |
| LAN | IPv4 TCP | PC admins | Tous | Firewall | SSH | Accès administration SSH |
| LAN | IPv4 TCP | PC admins | Tous | Tous | 19939 | Accès tableau NetData |
| LAN | IPv4 TCP / UDP | LAN Net | Tous | AD | Ports_AD | Accès LAN Net Vers Ports AD |
| LAN | IPv4 UDP | LAN Net | Tous | AD | Port_DNS | Accès PC LAN vers AD DNS |
| LAN | IPv4 TCP | LAN Net | Tous | Tous | Ports_Web | Accès LAN Net vers Internet |
| LAN | IPv4 TCP / UDP | LAN Net | Tous | Serveur_RustDesk | Ports_RustDesk | Accès LAN Net Vers Serveur RustDesk |
| LAN | IPv4 TCP | Lan Net | Tous | Serveur_Zabbix | 100051 | Accès lan net vers serveur Zabbix |
| LAN | IPv4 UDP | Tous | Ports_DHCP | Tous | Ports_DHCP | Accès PC-CLI Vers LAN DHCP |
| SRV | IPv4 TCP | SRV NET | Tous | Tous | Ports_Web | Accès Internet depuis SRV |
| SRV | IPv4 ICMP | AD01 | Tous | AD02 | Tous | Accès Ping AD01 Vers AD02 |
| SRV | IPv4 TCP / UDP | AD01 | Tous | AD02 | Ports_AD | Réplication AD01 Vers AD02 |
| SRV | IPv4 UDP | AD01 | Tous | Tous | Port_DNS | Sortie DNS |
| SRV | IPv4 TCP / UDP | SRV ADRESSE | Port_Serveur_DHCP | AD01 | Port_Serveur_DHCP | Accès DHCP Relay Depuis SRV |
| SRV | IPv4 UDP | Serveur_VEEAM | Tous | Serveurs_cibles_Backup | Ports_VEEAM | Accès SRV VEEAM Vers machine backup |
| SRV | IPv4 TCP | Serveur_VEEAM | Tous | Serveurs_cibles_Backup | Port_SSH | Accès SRV VEEAM credentials SSH |
| SRV | IPv4 TCP | Serveur_VEEAM | Tous | Tous | 10001-10010 | Trafic agent VEEAM vers SRV VEEAM |
| SRV | IPv4 UDP | Serveur_RustDesk | Tous | AD | Port_DNS | Accès RustDesk vers AD DNS |
| SRV | IPv4 TCP / UDP | SRV Net | Tous | Serveur_RustDesk | Ports_RustDesk | Accès SRV Net Vers Serveur RustDesk |
| SRV | IPv4 TCP | SRV Net | Tous | Serveur_Zabbix | 100051 | Accès SRV net vers serveur Zabbix |
| SRV | IPv4 Tous | Tous | Tous | Tous | Tous | DROP ALL SRV |
| DMZ | IPv4 UDP | AD02 | Tous | AD01 | Port_DNS | Accès AD02 Vers DNS AD01 |
| DMZ | IPv4 TCP / UDP | AD02 | Ports_AD | AD01 | Ports_AD | Réplication AD02 Vers AD01 |
| DMZ | IPv4 UDP | AD02 | Tous | Tous | Port_DNS | Sortie DNS |
| DMZ | IPv4 ICMP | AD02 | Tous | AD01 | Tous | Accès Pings AD02 Vers AD01 |
| DMZ | IPv4 UDP | Serveur_NextCloud | Tous | AD | Port_DNS | Accès SRV Nextcloud vers AD DNS |
| DMZ | IPv4 UDP | GLPI | Tous | AD | Port_DNS | Accès GLPI Vers AD DNS |
| DMZ | IPv4 UDP | GLPI | Tous | AD02 | Port_Serveur_DHCP | Accès DHCP AD02 |
| DMZ | IPv4 TCP / UDP | GLPI / Serveur_Nextcloud | Tous | AD01 | Ports_LDAP_S | Accès GLPI / Nextcloud Vers AD LDAP-S |
| DMZ | IPv4 TCP / UDP | DMZ Net | Tous | Serveur_RustDesk | Ports_RustDesk | Accès DMZ Net Vers Serveur RustDesk |
| DMZ | IPv4 TCP | Serveur_Zabbix | Tous | AD | Ports_AD | Accès Zabbix monitoring windows |
| DMZ | IPv4 Tous | Tous | Tous | Tous | Tous | DROP ALL LAN |
| WAN | IPv4 TCP | Ip_virtuelle_WAN_Slave | Tous | 10.192.195.10 | 3389 (RDP) | Wan RDP ADM01 |
| WAN | IPv4 UDP | Ip_virtuelle_WAN_Slave | Tous | Wan adresse | 4500 (IPSEC-NAT-T) | Firewall NAT-T |
| WAN | IPv4 UDP | Ip_virtuelle_WAN_Slave | Tous | Wan adresse | 500 | IPsec Firewall |
| WAN | IPv4 ESP | Ip_virtuelle_WAN_Slave | Tous | Wan adresse | Tous | IPsec ESP |
| NAT WAN | TCP | PC_Ext | Tous | Wan adresse | Port_RDP | Redirection RDP vers 10.192.195.10 |
| SYNC | IPv4 PFSYNC | SYNC net | Tous | Tous | Tous | Trafic synchronisation HA OPNsense |
Interprétation des règles
Les règles de la zone LAN limitent l'accès à l'interface d'administration OPNsense aux seuls postes administrateurs, et autorisent les flux nécessaires vers l'AD, RustDesk et Zabbix. La navigation Internet est permise via les ports Web standards.
Les règles de la zone SRV protègent les serveurs internes en n'autorisant que les flux légitimes : réplication AD, sauvegardes VEEAM, supervision Zabbix et administration RustDesk. La règle DROP ALL en fin de chaîne bloque tout trafic non explicitement autorisé.
Les règles de la zone DMZ permettent aux services exposés (GLPI, Nextcloud, AD02) de communiquer avec l'AD via LDAPS et DNS, tout en bloquant tout autre flux non autorisé. La règle DROP ALL protège les serveurs DMZ des accès non déclarés.
Les règles WAN ouvrent uniquement les ports nécessaires au VPN IPsec et à l'accès RDP vers le poste d'administration, via une IP virtuelle CARP. La règle NAT WAN redirige le trafic RDP entrant vers le poste ADM01 en zone LAN.
La règle SYNC autorise exclusivement le trafic PFSYNC entre les deux pare-feux OPNsense, garantissant la synchronisation des états de connexion pour la haute disponibilité.