Projet : Supervision & sécurisation

Ce projet a été réalisé dans le cadre de ma formation universitaire en réseaux et cybersécurité. Il représente le projet le plus ambitieux mené durant ces trois années d'études.

Nous avons dû concevoir une infrastructure réseau complète, virtualisée et sécurisée, comme si nous partions de zéro pour une entreprise réelle.

Outils & Technologies utilisés

• ▫ Virtualisation : Proxmox, VMware ESXi
• ▫ Supervision : Zabbix, ELK Stack
• ▫ Sauvegarde : Veeam Backup
• ▫ Tests sécurité : Kali Linux, PingCastle, Wireshark, Metasploit
• ▫ Réseaux : VLAN, DMZ, pare-feux WatchGuard, GPO, ACL
• ▫ Web : Site sur une DMZ
• ▫ Outils divers : Bitwarden, Draw.io, Fail2Ban

Présentation

L'objectif était de concevoir un réseau d'entreprise sécurisé comprenant :

• ▫ Comptes utilisateurs centralisés (AD)
• ▫ Supervision système et réseau
• ▫ Virtualisation d'environnements
• ▫ Redondance et plans de secours

Déroulement du projet

En groupe de 4, nous avons débuté par le choix des équipements :

• ▫ 2 pare-feux WatchGuard : fiables, peu de vulnérabilités, synchronisation simple
• ▫ Proxmox et ESXi pour la virtualisation
• ▫ Veeam pour les sauvegardes
• ▫ Zabbix & ELK pour la supervision

- Des GPO de base ont été mises en place : fond d'écran, mappage de disques, etc.

Ajout de la DMZ

Un site web public étant requis, nous avons ajouté une DMZ contenant :

• ▫ Un serveur web sur Rocky Linux (en ligne de commande pour optimiser l'espace)
• ▫ Un schéma réseau réalisé via Draw.io
• ▫ Un plan d'adressage IP clair
• ▫ Un compte mail de diffusion et Bitwarden comme gestionnaire de mots de passe

Systèmes déployés

• ▫ Windows pour les postes clients
• ▫ Linux Debian / Rocky pour les serveurs de supervision, VPN, site web

Présentation finale

Nous avons présenté le projet à un jury d'enseignants en cybersécurité qui ont tenté d'infiltrer notre réseau. C'était un excellent test de notre sécurisation et réactivité.

Cyberattaque & Cyberdéfense

Attaque :

• ▫ Nmap & Sparta - Scan de ports
• ▫ Nikto - Analyse des failles web
• ▫ Skipfish - Fuzzing & vulnérabilités
• ▫ Wireshark - Analyse réseau
• ▫ Hydra & Medusa - Bruteforce
• ▫ Metasploit - Exploits encadrés
• ▫ Dirbuster - Scan pour site web

Défense :

• ▫ ELK & Zabbix - Surveillance des logs
• ▫ Fail2Ban - Blocage d'IP suspectes
• ▫ PingCastle - Audit de sécurité AD
• ▫ GPO & ACL renforcées - Règles réseaux strictes
• ▫ Pare-feu/IP/Port/Protocole - Configuration des communications
• ▫ Politique de mot de passe complexe et gestion via Bitwarden

Compétences développées

• Conception d'une infrastructure réseau complète VLAN, DMZ
• Configuration de pare-feux, AD, VPN
• Supervision avec Zabbix & ELK
• Sauvegarde et haute disponibilité
• Collaboration en équipe technique
• Documentation technique et schéma réseau

Galerie

Quelques images supplémentaires liées au projet.

ELK - supervision

Zabbix - Monitoring

Architecture réseau

Règles WatchGuard