Projet Midnight — Documentation technique
Par Dauba Alexandre
Contexte
L'entreprise Midnight est une PME souhaitant moderniser son système d'information en mettant en place une architecture réseau sécurisée, segmentée et administrable à distance.
Besoins du projet
- Sécuriser les accès au réseau interne via une segmentation en zones distinctes (WAN, DMZ, LAN).
- Permettre l'accès distant sécurisé pour les collaborateurs en télétravail.
- Centraliser la gestion des utilisateurs et des postes de travail.
- Mettre en place un service de messagerie interne.
Services déployés
L'ensemble de l'infrastructure a été déployé dans un environnement virtualisé :
- Deux pare-feu pfSense assurant le routage et la segmentation réseau.
- Un serveur WireGuard pour l'accès VPN.
- Un serveur de messagerie iRedMail.
- Un contrôleur de domaine Active Directory sous Windows Server.
- Un serveur web Apache sous Debian.
Schéma réseau
Tableau d'adressage
Voici ci-dessous le tableau d'adressage du projet. Toutes les adresses sont configurées en IP fixe.
| Réseau / Postes |
IP |
CIDR |
Gateway |
DNS |
|---|
| WAN |
///// |
21 |
///// |
///// |
| pfEXT-midnight |
172.31.4.168 |
21 |
///// |
///// |
| DMZ |
10.4.4.0 |
8 |
///// |
///// |
| pfEXT-midnight |
10.4.4.1 |
8 |
///// |
///// |
| srvWeb-midnight |
10.4.4.100 |
8 |
10.4.4.1 |
1.1.1.1 |
| pfINT-midnight |
10.4.4.200 |
8 |
10.4.4.1 |
///// |
| LAN |
192.168.4.0 |
24 |
///// |
///// |
| pfINT-midnight |
192.168.4.1 |
24 |
///// |
///// |
| srvAD-midnight |
192.168.4.3 |
24 |
192.168.4.1 |
192.168.4.3 |
| srvMail-midnight |
192.168.4.4 |
24 |
192.168.4.1 |
192.168.4.3 |
| srvWireguard-midnight |
192.168.4.5 |
24 |
192.168.4.1 |
192.168.4.3 |
| ClientX-midnight |
192.168.4.6 |
24 |
192.168.4.1 |
192.168.4.3 |
Règles NAT
Règles NAT pfEXT-midnight
| Interface |
Protocole |
Source Address |
Source Ports |
Dest. Address |
Dest. Ports |
NAT IP |
NAT Ports |
|---|
| WAN |
UDP |
* |
* |
WAN address |
13820 |
10.4.4.200 |
13820 |
| WAN |
TCP |
* |
* |
WAN address |
80 (HTTP) |
10.4.4.100 |
80 (HTTP) |
Règles NAT pfINT-midnight
| Interface |
Protocole |
Source Address |
Source Ports |
Dest. Address |
Dest. Ports |
NAT IP |
NAT Ports |
|---|
| DMZ |
UDP |
* |
* |
DMZ address |
13820 |
192.168.4.5 |
13820 |
Règles de Firewall
Règles Firewall pfINT-midnight (LAN)
| Protocole |
Source |
Port |
Destination |
Port |
Gateway |
Description |
|---|
| * |
* |
* |
LAN Address |
80 |
* |
Anti-Lockout Rule |
| IPv4 TCP |
* |
* |
* |
53 (DNS) |
* |
|
| IPv4 TCP |
* |
* |
10.4.4.100 |
22 (SSH) |
* |
|
| IPv4 TCP |
* |
* |
* |
80 (HTTP) |
* |
allow lan web outside |
| IPv4 TCP |
* |
* |
* |
443 (HTTPS) |
* |
|
| IPv4 * |
* |
* |
* |
* |
* |
|
Règles Firewall pfEXT-midnight (DMZ)
| Protocole |
Source |
Port |
Destination |
Port |
Gateway |
Description |
|---|
| * |
* |
* |
DMZ Address |
80 |
* |
Anti-Lockout Rule |
| IPv4 TCP |
10.4.4.200 |
* |
* |
80 (HTTP) |
* |
|
| IPv4 TCP |
10.4.4.200 |
* |
* |
443 (HTTPS) |
* |
|
| IPv4 UDP |
10.4.4.200 |
* |
* |
53 (DNS) |
* |
|
| IPv4 TCP |
10.4.4.100 |
* |
* |
80 (HTTP) |
* |
|
| IPv4 TCP |
10.4.4.100 |
* |
* |
443 (HTTPS) |
* |
|
| IPv4 UDP |
10.4.4.100 |
* |
* |
53 (DNS) |
* |
|
| IPv4 ICMP any |
* |
* |
* |
* |
* |
|
| IPv4 * |
* |
* |
* |
* |
* |
(bloqué) |
Règles Firewall pfEXT-midnight (WAN)
| Protocole |
Source |
Port |
Destination |
Port |
Gateway |
Description |
|---|
| IPv4 TCP |
* |
* |
10.4.4.100 |
80 (HTTP) |
* |
|
| IPv4 TCP |
* |
* |
10.4.4.100 |
443 (HTTPS) |
* |
allow wan web to dmz server |
| IPv4 * |
* |
* |
* |
* |
* |
(bloqué) |
Service : Serveur Mail (iRedMail)
- Machine : srvMail-midnight
- Adresse IP : 192.168.4.4
- OS : Debian 13
Rôle : Le serveur de messagerie permet la gestion centralisée des comptes mails internes de l'entreprise Midnight. Il offre un service de messagerie complet avec boîte mail, webmail et administration centralisée des utilisateurs.
Solution retenue : La suite iRedMail, permettant de déployer rapidement une infrastructure mail complète sous Linux.
Fonctionnalités déployées
- Hébergement du domaine mail
midnight.com
- Gestion des boîtes mail utilisateurs
- Interface d'administration web iRedAdmin
- Webmail intégré pour consultation des mails
- Gestion des quotas de boîtes mail
- Administration centralisée des comptes
| Utilisateur |
Adresse Mail |
|---|
| Alleria |
alleria@midnight.com |
| Arator |
arator@midnight.com |
| Postmaster |
postmaster@midnight.com |
Interface d'administration : https://192.168.4.4/iredadmin
Cette interface permet la création/suppression de comptes mail, la gestion des quotas, l'administration du domaine et la supervision des activités de messagerie.
Service : VPN WireGuard
- Machine : srvWireguard-midnight
- Adresse IP : 192.168.4.5/24
- OS : Debian 13
Rôle : Le serveur WireGuard permet l'accès distant sécurisé au réseau interne de l'entreprise pour les postes externes autorisés.
Solution retenue : Le VPN est déployé via le conteneur Docker wg-easy, administré depuis Portainer. Le service utilise le système de stack de Portainer avec un fichier YAML afin de faciliter la mise à jour du container.
Fonctionnement
Le tunnel VPN permet aux clients distants :
- D'accéder au LAN interne
192.168.4.0/24
- D'utiliser le DNS interne de l'Active Directory
- D'administrer les services internes à distance de manière sécurisée
Interface d'administration : http://192.168.4.5:51821
Cette interface permet la création de clients VPN, la génération automatique des fichiers .conf, l'affichage des QR Codes pour clients mobiles et le suivi des connexions actives.
Configuration Active Directory (AD DS)
- Nom de domaine :
midnight.com
- Contrôleur de domaine : srvAD-midnight
- Adresse IP : 192.168.4.3
Rôle : Le serveur Active Directory assure l'authentification centralisée des utilisateurs, la gestion des stratégies de groupe (GPO), des partages réseau ainsi que la résolution DNS interne du domaine.
GPO de partages réseau
Des lecteurs réseau sont automatiquement montés sur les postes utilisateurs via des stratégies de groupe (GPO). Les partages sont attribués dynamiquement en fonction des groupes / OU des utilisateurs.
| Nom du partage |
Lettre de lecteur |
Chemin réseau |
|---|
| Silvermoon Share |
Y: |
\\192.168.4.3\silvermoon |
| Light Share |
Z: |
\\192.168.4.3\light |
GPO de personnalisation utilisateur
Une stratégie de groupe applique automatiquement un fond d'écran d'entreprise aux utilisateurs du domaine. Cette même GPO empêche les utilisateurs de modifier le fond d'écran appliqué.
Chemin du partage contenant les wallpapers : \\192.168.4.3\silvermoon\wallpapers
Configuration DNS interne
Le service DNS est hébergé sur le contrôleur de domaine Windows Server afin d'assurer la résolution interne du domaine Active Directory midnight.com.
| Type |
Nom |
Valeur |
|---|
| A |
(same as parent folder) |
192.168.4.3 |
| A |
mail |
192.168.4.4 |
| MX |
mail |
Priorité 10 vers serveur mail |
| A |
sio |
10.8.0.2 |
| A |
srvAD-midnight |
192.168.4.3 |