Étude des mécanismes de sécurisation d'une infrastructure réseau : segmentation VLAN, pare-feu pfSense, principe du moindre privilège et évolutions vers les Next-Generation Firewalls.
Chez Paul Hartmann SAS, j'ai configuré un pare-feu pfSense avec 9 règles organisées du plus restrictif au plus permissif, en appliquant le principe du moindre privilège. J'ai également segmenté le réseau en 3 VLANs sur un switch Cisco Catalyst 2960-X.
Un VLAN (Virtual LAN) est un réseau logique isolé créé sur un équipement physique. La segmentation par VLAN permet d'isoler les types de trafic sans nécessiter de câblage physique séparé.
| VLAN | Nom | Plage IP | Rôle |
|---|---|---|---|
| VLAN 10 | Utilisateurs | 192.168.10.0/24 | Postes clients, Wi-Fi |
| VLAN 20 | Serveurs | 192.168.20.0/24 | VMs, services |
| VLAN 30 | Administration | 192.168.30.0/24 | iDRAC, iLO, switch |
Avantages : limitation des broadcasts, isolation des incidents, réduction de la surface d'attaque, organisation logique du réseau.
pfSense est un pare-feu/routeur open source basé sur FreeBSD, largement utilisé en entreprise. Il intègre : filtrage de paquets (pf), NAT, VPN (WireGuard, OpenVPN, IPSec), proxy, IDS/IPS (Snort/Suricata).
Les 9 règles déployées chez Hartmann suivaient la logique défense en profondeur :
Les NGFW (Palo Alto, Fortinet, Check Point) dépassent le simple filtrage de ports/IPs pour analyser le contenu applicatif (Layer 7), détecter les malwares en temps réel et appliquer des politiques basées sur l'identité.
| Fonctionnalité | Pare-feu classique | NGFW |
|---|---|---|
| Filtrage | IP, port, protocole | Application, utilisateur, contenu |
| IDS/IPS | Optionnel | Intégré |
| SSL Inspection | Non | Oui |
| Threat Intelligence | Non | Cloud feeds temps réel |
L'approche Zero Trust pousse encore plus loin : chaque requête est authentifiée et autorisée explicitement, même en interne — « ne jamais faire confiance, toujours vérifier ».