Conception d'une infrastructure réseau sécurisée
Réalisation d'une infrastructure réseau virtuelle pour la mairie de Voiron, dans le cadre d'un projet de groupe en BUT informatique. Ce projet a permis la mise en œuvre de nombreux services réseau (DNS, DHCP, LDAP, IPAM, CAS, Wiki, Kerberos...) et le déploiement sécurisé d'une architecture segmentée sur des hyperviseurs.
Technologies et services déployés : VXLAN, Kea DHCP, BIND9, OpenLDAP, MediaWiki, Kerberos, NetBox, CAS, Zabbix, Proxmox, Debian, systemd, MariaDB, TLS/SSL, scripts Bash
En groupe avec : Lilya Benkheira, Maëlys Deschaux-Beaume, Felix Martins, Kenzo Sechi
Travail commun
Partie 1 : Définition de l'architecture cible
Le projet a commencé par l'étude des besoins de la mairie de Voiron, afin de définir une infrastructure adaptée. Nous avons conçu une architecture répartie sur plusieurs VLAN : DMZ (services exposés comme le Wiki ou le DNS externe), VLAN utilisateurs, VLAN administrateurs, et VLAN services internes.
L'infrastructure repose sur plusieurs hyperviseurs Proxmox, interconnectés via des VXLAN afin de simuler des réseaux isolés. Le routage a été confié à deux routeurs configurés manuellement via /etc/network/interfaces et avec activation de l'IP forwarding.
J'ai notamment contribué à la documentation technique et à la configuration réseau, en détaillant les interfaces de chaque routeur, les sous-réseaux IP, et les plans d'adressage. J'ai également participé au choix des services à intégrer et à la définition de leurs placements dans l'architecture (DMZ, services internes, etc).
Figure 1 : Architecture finale avec les VLAN et services déployés
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto ens18
iface ens18 inet static
address 192.168.42.2/24
gateway 192.168.42.254
# Externe
auto ens19
iface ens19 inet static
address 10.1.0.1/16
# DMZ
auto ens20
iface ens20 inet static
address 10.5.0.1/16
post-up ip route add 10.0.0.0/8 via 10.5.0.2 dev ens20
pre-down ip route add 10.0.0.0/8 via 10.5.0.2 dev ens20
Figure 2 : Interfaces réseau configurées sur le routeur principal
Partie 2 : Mise en œuvre des services réseau
Une fois l'architecture validée, nous avons déployé les principaux services réseau. J'ai personnellement installé et configuré le serveur DHCP Kea, en définissant des pools par VLAN, ainsi que des réservations d'adresses IP pour les services critiques. J'ai aussi configuré le DNS (externe et interne) via BIND9, avec des zones spécifiques et une intégration TLS côté interne.
J'ai contribué à l'intégration du serveur LDAP avec OpenLDAP, utilisé à la fois pour l'authentification centralisée et pour servir de backend au serveur Kerberos. Ce dernier a permis d'améliorer la sécurité, notamment pour le serveur de fichiers NFS.
Enfin, j'ai participé à l'installation de MediaWiki dans la DMZ, avec configuration de la base MariaDB, ainsi qu'à la mise en place du serveur IPAM NetBox (et son connecteur DHCP), pour une meilleure gestion du parc IP.
Partie 3 : Supervision, sécurité et tests
Nous avons déployé un serveur Zabbix pour surveiller l'infrastructure, et une suite de tests automatisés (Python + CSV) pour valider la connectivité des services (LDAP, DNS, CAS…). Le CAS, basé sur Apereo et configuré avec Java 21, centralise les authentifications. Côté sécurité, seuls les ports nécessaires sont ouverts, les connexions SSH sont filtrées et restreintes à l'usage de clés, et la segmentation réseau est stricte.