Allant prochainement déménager dans une nouvelle région, j’ai profité de l’occasion pour revoir en profondeur mon réseau interne. En effet, celui avait été conçu lors de mes études, et modifié par la suite. Cette architecture avait atteint ses limites, et les imbrications entre VLAN empêchaient les grosses modifications.
Ayant externalisé mon site web, et ayant décidé de me passer de mon serveur Cloud, et autres serveurs applicatifs que je n’utilisais quasiment plus, j’ai donc pu arrêter mon ESX, ainsi que le NAS utilisé pour le stockage NFS de l’ESX (VM lourdes et peu gourmandes en ressources).
N’ayant ainsi plus de serveurs ouverts sur l’extérieur, les services de reverse proxy (que je fournissais par HAProxy) se sont retrouvés inutiles, ainsi que l’ensemble du VLAN dédié aux serveurs accessibles depuis l’extérieur.
J’ai donc réinstallé un nouveau pare-feu, donc je ne divulguerai toujours pas le nom, et j’ai commencé à réinstaller les services qui tournaient sur l’ancien pare-feu : NAT, filtrage par règles, IDS et IPS, Squid, et VPN.
Une fois quelques tests effectués, j’ai pu faire la bascule entre l’ancien et le nouveau pare-feu, qui m’a donné quelques fils à retordre, mais qui s’est globalement bien passée.
L’ensemble des règles de filtrage ayant été réécrites de zéro, ainsi que les règles de l’IPS, je redémarre donc sur une base saine. Les VLAN de DMZ (fourre tout) et des serveurs externes a fait place à un nouveau VLAN que j’utilise pour ma domotique, et à un VLAN séparé, isolé, et protégé pour le télétravail.
Pour la simplicité du télétravail, j’ai également créé un nouvel SSID sur mes bornes WiFi afin de connecter les ordinateurs et téléphones pro sur ce nouveau réseau dédié au télétravail, en plus de la possibilité de se connecter en filaire. Il va de soi que comme mes autres réseaux WiFi, j’utilise un panel divers et varié de protections, selon les possibilité de mes bornes.
En parallèle, ayant récupéré le NAS de l’ESX, l’un des projets à venir dans les prochaines semaines, entre deux cartons à préparer, sera de réinstaller un système NAS plus performant et mieux maintenu, afin de retrouver un NAS up-to-date.
L’ancien pare-feu sera mis en vente (et j’espère vendu avant mon déménagement), et l’ESX sera réinstallé sous la dernière version de VMWare ESX pour me servir de lab au besoin. Il sera donc majoritairement éteint, mais avec la possibilité d’être redémarré.
Vous l’avez constaté, je narre beaucoup sur ce que je peux faire, sans pour autant donner de détails trop croustillants, dans le but d’assurer la sécurité de mon SI. Donner des informations poussées, telles que le modèle de mon pare-feu, ou quel est l’IPS utilisé, etc…, serait équivalent à donner les clés du royaume à un éventuel pirate, qui pourrait alors s’en servir. Je ne prétends aucunement à avoir un réseau intéressant pour les pirates, mais dans le monde de la sécurité informatique, le principe de précaution prévaut, et il faut toujours trouver le juste milieu entre trop d’information, et pas assez.
Si vous êtes arrivés jusque là, je vous remercie pour votre lecture, et je vous dis à très bientôt 🙂
