SP1 : Solutions de sécurité (pfSense)

La première situation professionnelle est entre-autre axé sur la sécurité. Le contexte de travail est en partie extrait du projet personnel encadré n°3 « Galeries du Commerce ».

Contexte

Le centre commercial « Galeries du commerce » a ouvert ses portes en Octobre 2013, il compte près de 220 magasins et un hypermarché Carrefour. Les Galeries du commerce propose une gamme de services très importante à ses clients : restaurants, cinémas, shopping. Les infrastructures de ce centre commercial sont très importantes, on y compte entre autres un parking de 1500 places, des photomatons, une station de lavage, une poste, des distributeurs automatiques.

La direction du centre commercial souhaite ouvrir de nouveaux locaux dédiés à la gestion du centre et des espaces commerciaux. Les nouveaux locaux accueilleront prochainement les services suivants : direction, comptabilité, ressources humaines, gestion des espaces commerciaux, direction du système d’information.

Des travailleurs indépendants de l’organisation, seront amenés à venir travailler dans les locaux. La DSI (direction du système d’information) sera en charge de la gestion du système d’information. Le centre a récemment effectué un audit de sécurité du système. Celui-ci a mit en évidence un certain nombre de défauts liés à la sécurité. Le centre commercial fait appel à nos services pour corriger les défauts de sécurité et proposer des nouvelles solutions pour répondre aux nouveaux besoins.

Besoins spécifiques

La direction du centre souhaite mettre de nouveau en place une séparation des flux de communication pour chaque service. Les membres d’un service pourront accéder uniquement aux ressources de leur service. Différents niveaux d’habilitation seront décernés aux utilisateurs en fonction de leur position hiérarchique, afin qu’ils puissent accéder à certaines ressources d’autres services. Des travailleurs indépendants de l’organisation, seront amenés à intervenir dans les locaux et devront accéder à des ressources sur le réseau. Pour ce faire, une connexion filaire et sans-fil sera mise à leur disposition. Les travailleurs ne pourront accéder que à certaines ressources. Les membres de la DSI disposeront, en fonction de leur compétences et de leur position hiérarchique, d’un accès plus ou moins global au système et notamment dans la gestion du pare-feu. La sécurité est le point sur lequel le centre commercial est très exigeant. En plus de fournir un accès gratuit à internet à ses clients, les nouveaux bureaux y auront accès. Dans l’objectif de se prémunir d’éventuels abus liés à l’usage d’internet, un filtrage et le cas échéant un blocage sera opéré sur le contenu consulté par les salariés du centre. Enfin, l’accès distant au système doit être possible pour les membres de la DSI à des fins de gestion et de vérification des indicateurs d’activités et d’incidents. Cet accès sera également possible pour certains salariés.

Schéma d’infrastructure

 

Solutions retenues 

Dans l’objectif de faciliter l’administration du pare-feu en mode web, une distribution FreeBSD pfSense sera installée en tant que routeur pare-feu. Le dispositif sera placé à la frontière du réseau privé et public, derrière le routeur d’agrégation SDSL.

L’ouverture de nouveaux services entraînera la création de nouveaux réseaux privés virtuels dans le but de sécuriser les flux de communications. Ces VLAN seront déclarés sur les équipements réseaux concernés et seront tous remontés, via une liaison trunk, sur le pare-feu. Ce dernier effectuera le routage inter-vlan d’après des règles de routage établies.

Les accès filaires et sans-fils seront sécurisés grâce à un serveur RADIUS installé sur un serveur Windows Server 2016. L’authentification s’effectuera auprès d’un serveur d’annuaire Active Directory contenant l’ensemble des utilisateurs des bureaux d’administration.

Le service de filtrage proxy sera implémenté sur le pare-feu par le biais des services Squid et SquidGuard. Ces services permettront d’opérer un filtrage sur le contenu consulté par les utilisateurs occupant les bureaux de l’administration. Le filtrage sera opéré sur des requêtes web type HTTP et HTTPS en fonction des URLs présents sur les blacklist proposées par SquidGuard.

Le service VPN sera implémenté sur le pare-feu par le biais du service OpenVPN. Les utilisateurs autorisés pourront accéder au réseau d’administration et aux ressources disponibles. La connexion des clients VPN au réseau s’appuiera sur une authentification à double facteurs : certificat + identifiants. Le service VPN authentifiera les clients auprès du serveur d’annuaire.

Consulter la documentation technique