Tommy

Technicien Systèmes & Réseaux

Passionné par les infrastructures réseau et la cybersécurité, je conçois et sécurise des environnements informatiques fiables.

À propos Voir mes projets
Retour à la liste

Retour

Architecture Multi-VDOM & Segmentation Critique

1.2 - Standards (VDOM & 802.1Q) 1.3 - Habilitations 1.6 - Cybersécurité (VIP/Cluster) 5.1 - Recette Technique

Simulation d'infrastructure multi-routeurs et sécurisation de cluster DB

1. Simulation d'Architecture Multi-Entités (1.2)

Utilisation des Virtual Domains (VDOM) pour simuler l'interconnexion de deux routeurs distincts sur un équipement physique unique :

  • VDOM VPN : Simule l'équipement de terminaison de tunnel IPsec et le routage vers l'extérieur.
  • VDOM PROD : Gère la segmentation interne (VLANs 160, 300, 400).
  • VDOM Link : Implémentation d'un lien logique inter-VDOM pour assurer le routage entre les deux entités simulées sans sortie physique du pare-feu.
Interfaces et VDOM Links

Cadre 1 : Partitionnement VDOM pour la simulation VPN

Interfaces et VDOM Links

Cadre 2 : Simulation de VPN IPsec

Virtual Servers DB

Cadre 1 : Publication du cluster DB via Virtual Server

2. Sécurisation de Cluster & DNAT (1.6)

Mise en place d'une publication sécurisée pour le cluster de bases de données interne :

  • Virtual Server : Création d'une IP virtuelle (VIP) agissant comme point d'entrée unique pour le cluster.
  • Port Forwarding : Redirection stricte du port TCP/3306 (MySQL) vers les nœuds du cluster.
  • Sécurité des Tiers : Masquage de l'adressage réel des serveurs DB et restriction d'accès aux seuls flux provenant du segment Web.

3. Management Out-of-Band & Matrice (1.3)

Isolation du plan d'administration via un port de management dédié pour prévenir les attaques par rebond :

  • Isolation OOB : Le FortiGate et le switch sont administrables via un VLAN de gestion totalement étanche.
  • Matrice de Flux : Application du principe du moindre privilège via des Address Objects nommés.
  • Standardisation : Aucune route n'est configurée entre les segments utilisateurs (WiFi) et le plan de management.
Management Port

Cadre 3 : Isolation du port Management et objets réseau

Logs FortiGate

Cadre 4 : Validation par analyse des logs de trafic

4. Validation Technique & Recette (5.1)

Validation de l'étanchéité de l'architecture par des tests d'acceptation :

  • Tests de Déni : Vérification de l'échec de communication entre le VPN et le Management.
  • Traçabilité : Analyse des Traffic Logs confirmant que chaque tentative de connexion hors matrice est interceptée et bloquée (Action : Deny).