Infrastructure réseau avec câbles représentant une architecture pfSense segmentée
Projet 02 pfSense Segmentation réseau Terminé

Architecture réseau segmentée et sécurisée avec pfSense

Architecture 5 interfaces avec politique deny-all par défaut, DMZ isolée et segmentation pour simuler un environnement d'entreprise réaliste.

00 — CONTEXTE

Pour aller plus loin que le premier lab Active Directory, j'ai conçu une architecture réseau segmentée avec pfSense. L'objectif était de reproduire une infrastructure d'entreprise réaliste : isoler les différentes zones (utilisateurs, serveurs, DMZ, administration) et contrôler chaque flux via un firewall dédié.

01 — OBJECTIFS

Segmentation réseau réaliste et cloisonnée
Contrôle strict des flux inter-zones
Exposition d'une DMZ vulnérable pour les tests
Centralisation DHCP / NAT via pfSense

02 — ARCHITECTURE

Firewall principal

pfSense

Contrôleur central des flux réseau

Interfaces configurées

5 interfaces

WAN · LAN · DMZ · Serveurs · Admin

Segmentation complète avec isolation des zones sensibles et exposition contrôlée de la DMZ pour les exercices de sécurité offensive.

03 — SERVICES RÉSEAU

DHCP

  • Géré par pfSense
  • Activé sur LAN utilisateurs et DMZ
  • Adressage statique pour serveurs internes et réseau admin

Accès Internet (NAT)

  • LAN utilisateurs → accès Internet complet
  • Serveurs internes → accès limité (mises à jour uniquement)
  • Réseau administration → accès restreint
  • DMZ → accès Internet restreint

04 — POLITIQUE DE SÉCURITÉ

  • Règle par défaut : deny all sur toutes les interfaces
  • Ouverture uniquement des flux strictement nécessaires
  • Utilisation d'alias pfSense pour simplifier la gestion des règles

05 — CONFIGURATION DES ZONES

LAN utilisateurs

  • Accès limité aux services nécessaires : LDAP, Kerberos, SMB
  • Accès contrôlé aux serveurs internes
  • Blocage total de l'accès à l'interface d'administration pfSense

DMZ

  • Machine vulnérable VulnHub exposée en DMZ pour les exercices
  • Services exposés : HTTP (port 80), FTP (port 2121)
  • Port forwarding depuis WAN vers DMZ
  • Isolation stricte — aucune communication vers LAN ou réseau interne

Reseau Serveur Interne

  • ouverture des ports nécessaires sur le serveur pour la communication avec les autres réseaux

Réseau administration

  • Poste dédié à l'administration système
  • Accès exclusif à l'interface pfSense
  • Administration à distance via RDP/SSH
  • Aucun accès inverse vers ce réseau depuis les autres zones

06 — RÉSULTATS

Segmentation réseau efficace entre toutes les zones
Surface d'attaque significativement réduite
Isolation complète de la DMZ
Contrôle précis des flux réseau par zone
Architecture réaliste proche d'un contexte entreprise

07 — LIMITES & ÉVOLUTION

  • Droits d'administration encore trop larges sur certaines zones
  • Absence de mécanismes avancés de détection (IDS/IPS)
Scénarios d'attaque depuis le WAN
Tests d'élévation de privilèges
Intégration de Suricata IDS/IPS et monitoring Zabbix
Projet suivant — AD dans environnement segmenté