Protection d'une infrastructure avec pare-feu et IPS

Ce projet consistait à déployer et configurer une solution de filtrage réseau couplée à un système de prévention d'intrusion (IPS) Suricata, afin de protéger l'infrastructure d'une organisation composée de plusieurs sous-réseaux segmentés.

Architecture de l'infrastructure

L'infrastructure simulée via des machines virtuelles Linux (Debian) sous Proxmox comprend :

• DMZ publique (66.6.6.4/30) : héberge les services accessibles depuis Internet (DNS, HTTP)
• DMZ privée (10.0.1.0/24 / 2001:1::/64) : accessible en partie depuis l'extérieur et le réseau interne
• Intranet (10.0.0.0/24 / 2001::/64) : réseau interne non visible de l'extérieur
• Pare-feu central : relié aux quatre zones via eth0 (66.6.6.1), eth1 (66.6.6.5), eth2 (10.0.0.1) et eth3 (10.0.1.1)

Configuration du pare-feu nftables

J'ai configuré le pare-feu avec nftables en appliquant une politique de filtrage stateful stricte :

• Autorisation des flux légitimes : ICMP, HTTP, DNS (UDP), SSH selon les zones
• Rejet de tout paquet non explicitement autorisé (politique DROP par défaut)
• Protection contre l'IP spoofing et les paquets invalides
• NAT en sortie depuis le réseau interne vers la DMZ publique (via eth1)
• NAT en sortie depuis la DMZ privée vers l'extérieur (via eth0)
• Gestion du trafic loopback sans état sur l'interface lo

Déploiement de l'IPS Suricata

Suricata a été configuré en mode IPS, couplé à netfilter, pour bloquer automatiquement les flux malveillants détectés. Trois scénarios d'intrusion ont été couverts :

• Requête DNS malveillante : détection et blocage de toute résolution du domaine malicious.com
• Ping flood : détection d'un flood ICMP à l'aide de hping3, avec seuil de déclenchement configurable
• Brute-force SSH : blocage automatique au-delà d'un certain nombre de tentatives de connexion SSH par seconde

Tests de validation

• Tests de connectivité entre toutes les zones pour vérifier les règles de filtrage
• Simulation d'attaques (ping flood avec hping3, tentatives SSH répétées) pour valider les règles Suricata
• Vérification des logs Suricata et des compteurs nftables pour confirmer le bon fonctionnement

Ce projet m'a permis d'acquérir une expérience solide en sécurité réseau : segmentation par zones, filtrage stateful avec nftables, et prévention d'intrusion avec Suricata dans un environnement virtualisé réaliste.