Infrastructures Réseaux Sécurisées

Pour comprendre la sécurisation d’une infrastructure réseau, il faut la concevoir comme un système fortifié moderne, un ensemble de bâtiments (les sites) reliés par des voies publiques (Internet) et des voies privées sécurisées (WAN/VPN). Ce système n’est pas un simple mur, mais un écosystème vivant avec des règles, des gardes, des zones et des procédures.

• Le Système d’Information (SI) : C’est la cité elle-même, avec ses bâtiments administratifs (LAN, cœur de l’entreprise), ses zones de stockage de richesses (serveurs de données), ses zones industrielles (serveurs d’applications), et ses habitants (utilisateurs).
• Le Pare-feu Périmétrique (externe) : C’est la porte principale de la ville. Elle ne laisse entrer que ceux qui ont une invitation (règle de filtrage) et contrôle les allées et venues. Un garde (stateful) se souvient des visages des personnes autorisées à sortir, ce qui permet de les laisser rentrer sans nouvelle inspection.
• La Zone Démilitarisée (DMZ) : C’est le parvis devant la porte principale. C’est un espace public, exposé aux assaillants, mais ne donnant pas directement accès à la cité. On y place les services publics : la boutique (serveur Web), la permanence (serveur de messagerie). Si la boutique est vandalisée (compromise), la cité intérieure n’est pas touchée.
• La DMZ Interne : C’est un hall d’entrée après la porte principale, mais avant les bureaux. On y place les services d’accueil intermédiaires (reverse proxy, proxy) qui contrôlent ce qui entre et sort.
• Le Pare-feu Interne : C’est la porte de la cité intérieure (LAN). Elle ne s’ouvre que pour les personnes ayant des laissez-passer spécifiques (flux autorisés) et ne laisse jamais sortir les informations sans contrôle.
• Le VPN Site-à-Site : C’est un tunnel secret et blindé construit entre deux cités (sites distants) à travers la campagne hostile (Internet). Il permet aux ressources des deux cités de communiquer comme si elles étaient dans la même enceinte.
• Le VPN Nomade : C’est une armure et un bouclier magique qu’un employé revêt lorsqu’il sort de la cité pour travailler. Il crée un tunnel sécurisé entre son poste (où qu’il soit) et la cité, le rendant invisible aux dangers extérieurs.
• L’Architecture Hiérarchique (Accès/Distribution/Cœur) : C’est l’organisation des rues et des quartiers de la cité.
  • Couche Accès : ruelles menant aux maisons (prises réseau). Le gardien (switch) vérifie que seul l’habitant y entre.
  • Couche Distribution : artères principales regroupant plusieurs ruelles. Les carrefours (routeurs) dirigent le trafic vers les bons quartiers.
  • Couche Cœur : grand boulevard central reliant tous les quartiers entre eux et aux portes de la cité.
• La Redondance (HSRP/EtherChannel) : avoir deux portes principales ou deux ponts prenant le relais instantanément si l’un tombe en panne, assurant qu’aucun habitant ne soit bloqué.

Cette analogie sert de fil rouge pour l’ensemble du module.

L’infrastructure sécurisée est un système dynamique où chaque composant interagit pour garantir la confidentialité, l’intégrité, la disponibilité et l’authentification.

Flux du modèle :
1. Utilisateur interne → Internet via proxy : authentification, filtrage, sortie via pare-feu externe.
2. Attaquant → serveur web : pare-feu externe autorise mais redirige vers reverse proxy en DMZ, non vers le serveur final.
3. Reverse proxy analyse la requête → transmet via pare-feu médian au serveur web en DMZ interne.
4. Le serveur web ne peut initier de connexion vers le LAN sans passer par le pare-feu interne qui ne l’autorise pas.
5. Les flux administrateurs et journaux sont collectés sur un réseau d’administration sécurisé et isolé.

Rôle métier/technique : L’infrastructure réseau sécurisée est le système immunitaire et circulatoire de l’entreprise. Elle assure la circulation légitime de l’information tout en bloquant, contenant et éliminant les éléments pathogènes (attaques, accès non autorisés).

Frontières et interfaces : externe (pare-feu externe, routeur d’accès, VPN nomade), de zone (entre LAN et DMZ, entre DMZ et Internet), d’administration (réseau dédié isolé des flux de production).

Principes philosophiques directeurs : moindre privilège, défense en profondeur, fail-secure (sécurité par l’échec), rupture protocolaire (proxy).

Mécanisme 1 : Filtrage Stateful vs Stateless

Stateless : chaque paquet examiné indépendamment. Règles sur IP/port/protocole. Ignore l’état de connexion.
Stateful : table d’état (connexion tracking). Seuls les paquets correspondant à une connexion valide sont autorisés, simplifiant les règles et augmentant la sécurité.

Limites : ne protège pas contre les attaques applicatives (couche 7). Le DROP silencieux est préférable au REJECT pour les pare-feux externes.

Mécanisme 2 : Établissement d’un tunnel IPsec Site-à-Site (IKEv2)

Phase 1 (IKE SA) : négociation des paramètres du tunnel de contrôle (authentification, chiffrement, hash). Modes Main (6 messages) ou Aggressive (3 messages). Résultat : ISAKMP SA.
Phase 2 (IPsec SA) : négociation des paramètres de protection des données (ESP/AH, algorithmes, mode transport/tunnel). Utilise le tunnel de phase 1. Résultat : IPsec SA bidirectionnelle.

Pyramide de la causalité
1. Couche physique : câbles, voyants, ONT (PON/LOS).
2. Connectivité de base : ping passerelle → configuration IP.
3. Chemin : traceroute pour localiser le saut de perte.
4. Journaux : show log, erreurs CRC/FEC/HEC, messages de blocage.
5. Capture applicative : Wireshark. SYN → RST = refus actif ; SYN → rien = DROP silencieux ; trafic proxy contourné = mauvaise configuration.

Panne VPN Site-à-Site
- ping IP publique du peer → WAN/ISP.
- show crypto isakmp sa : phase 1 OK ? (QM_IDLE) → sinon vérifier PSK, algorithmes, peer IP.
- show crypto ipsec sa : phase 2 ACTIVE ? → sinon vérifier transform-set et ACL crypto map (sous-réseaux).
- ACL : UDP 500 (IKE) et UDP 4500 (NAT-T) autorisés.

Checklist avant config pare-feu
☐ Zones identifiées (LAN, DMZ, WAN) et niveaux de confiance
☐ Matrice des flux (source, destination, port, protocole)
☐ Politique “interdire puis autoriser”
☐ Mode stateful adapté

Checklist dépannage
1. Physique (câbles, voyants)
2. IP/passerelle (ipconfig, ping)
3. Chemin (traceroute)
4. Journaux (logs)
5. Capture Wireshark

Carte heuristique concepts clés
Sécurisation Infrastructure
├── Architecture (Zones, Hiérarchie, Redondance)
├── Filtrage & Contrôle (Pare-feux, ACL, Interdire puis autoriser)
├── Communications Sécurisées (VPN Nomade, VPN Site-à-Site)
└── Opérations & Maintenance (Surveillance, Dépannage, Gestion)

Zero Trust : pousse la segmentation plus loin. “Ne jamais faire confiance, toujours vérifier.” Micro-segmentation, authentification chiffrée entre services. Les VPN et DMZ en sont des implémentations.
SD-WAN : évolution du VPN Site-à-Site. Gestion centralisée et dynamique de tunnels IPsec sur liens multiples (Internet, 4G, MPLS) selon politiques de performance et sécurité.

Perspective vendor-neutral
Cisco ASA : CLI robuste, stateful, présent en entreprise. Palo Alto : NGFW avec App-ID natif, modèle orienté règle. pfSense : open source, interface web, idéal PME.
HSRP (Cisco) vs VRRP (standard ouvert RFC 5798) : redondance multi-vendeurs avec VRRP.

Liens vers autres disciplines
• Développement : Infrastructure as Code (Ansible, APIs) pour politiques de sécurité.
• Droit & Conformité : RGPD, NIS2 imposent segmentation et journalisation.
• Économie : arbitrage entre MPLS (coûteux, simple) et IPsec sur Internet (économique, complexe).