Home-Lab de simulation d'un réseau d'entreprise
Production Hybride KVM/Proxmox
1. Contexte & Philosophie
Matériel Hôte (HP Victus)
- CPU : Ryzen 5 5600H
- RAM : 40 Go DDR4
- Stockage : NVMe 2 To
- OS Hôte : Fedora 43 KDE (Poste de travail & Hyperviseur KVM)
Principes Directeurs
- Security by Design (Zero Trust)
- Deny by Default (Pare-feu strict)
- Micro-segmentation réseau
- Migration VMware vers KVM (Open Source)
2. Architecture Réseau (Zero Trust)
L'infrastructure repose sur une segmentation stricte via pfSense (virtualisé sur KVM avec interfaces VirtIO).
| Zone | Sous-réseau | Description |
|---|---|---|
| SERVERS | 192.168.110.0/24 | DC, PKI, SIEM |
| CLIENTS | 192.168.120.0/24 | Postes Windows 10/11 |
| DMZ_PROXY | 192.168.130.0/24 | Nginx Proxy Manager (Front) |
| DMZ_WEB | 192.168.140.0/24 | Services Backend (Portainer Agents, App Web) |
| VPN | 10.10.10.0/24 | WireGuard (Accès distant admin) |
3. Implémentation Technique
Phase 1 : Identité & Sécurité (Microsoft)
- Active Directory : Contrôleur de domaine (Windows Server 2025) gérant le domaine
victus.internal. - PKI (AD CS) : Autorité de certification racine d'entreprise. Délivrance de certificats Wildcard pour le HTTPS interne.
- LAPS : Gestion centralisée des mots de passe administrateur locaux (rotation 30 jours).
- Conversion SSL : Scripting OpenSSL pour adapter les certificats `.pfx` Windows vers Nginx (Linux).
Phase 2 : Défense Active & Web
- Reverse Proxy : Debian 13 + Nginx Proxy Manager pour la terminaison SSL.
- CrowdSec : IPS collaboratif. Analyse des logs Docker et bannissement via `iptables` (Firewall Bouncer).
- Orchestration : Portainer pour la gestion des conteneurs (Architecture Maître/Agent).
Migration Infrastructure (VMware ➝ KVM)
Passage d'une solution propriétaire à une stack open-source native Linux.
- Conversion V2V : Utilisation de
qemu-imgpour transformer les disques.vmdken.qcow2. - Optimisation VirtIO : Remplacement des contrôleurs disques (SCSI) et cartes réseaux pour des performances quasi-natives ("Paravirtualization").
- Poste de travail : Fedora 43 optimisé (ZSH, Powerlevel10k) servant d'hyperviseur Type 2 avancé.
4. Infrastructure Secondaire (Proxmox)
Un nœud secondaire sous Proxmox VE héberge les services de production domestique 24/7 (LXC) : Pi-hole, Uptime Kuma, Bookstack (Documentation), Stirling PDF.