SAÉ 3.Cyber
Architecture Réseau Multi-sites & Pentest
Projet Pellet-SA : Conception d'un réseau multi-sites redondant (Phase 1) suivi d'un audit de sécurité offensif (Phase 2).
01. Résumé du Projet
Vous êtes recruté au sein de la société Pellet-SA, spécialisée dans les énergies renouvelables.
La mission s'est déroulée en deux phases distinctes imposées par un client réfractaire à la sécurité :
Phase 1 (Infrastructure) : Mise en place d'un réseau fonctionnel mais volontairement non sécurisé (contrainte client : "La sécurité c'est comme les assurances...").
Utilisation de Cisco Stack 3750, MSTP, FHRP (HSRP), et Virtualisation Proxmox pour les services (DNS/AD).
Phase 2 (Pentest - SAE 3.04) : Réalisation d'un audit offensif pour démontrer les vulnérabilités de l'architecture "naïve" déployée en phase 1.
Objectif : Prouver la nécessité d'une sécurisation en phase 3.
Phase 3 (Infrastructure sécurisé) : Mise en œuvre de correctifs et préconisation de remplacement si nécessaire.
Objectif : Sécuriser le réseau de la phase 1.
La partie 3 n'a pas pu être réalisée, les enseignants ont décidé que nous n'avions pas le temps !
02. Apprentissages Critiques
| CODE | DESCRIPTION DE LA COMPÉTENCE | STATUT SYSTÈME |
|---|---|---|
| AC21.01 | Configurer et dépanner le routage dynamique dans un réseau. | VALIDÉE |
| AC21.02 | Configurer et expliquer une politique simple de QoS et les fonctions de base de la sécurité d’un réseau. | VALIDÉE |
| AC21.03 | Déployer des postes clients et des solutions virtualisées adaptées à une situation donnée. | VALIDÉE |
| AC21.04 | Déployer des services réseaux avancés. | VALIDÉE |
| AC21.05 | AC21.05 : Identifier les réseaux opérateurs et l’architecture d’Internet. | VALIDÉE |
| AC21.06 | Travailler en équipe pour développer ses compétences professionnelles. | VALIDÉE |
| AC22.01 | Déployer et caractériser des systèmes de transmissions complexes. | VALIDÉE |
| AC22.02 | Mettre en place un accès distant sécurisé. | VALIDÉE |
| AC24.01 | Connaître et utiliser les bonnes pratiques et les recommandations de cybersécurité. | VALIDÉE |
| AC24.02 | Mettre en œuvre les outils fondamentaux de sécurisation d’une infrastructure du réseau. | VALIDÉE |
| AC24.03 | Sécuriser les services. | VALIDÉE |
| AC24.05 | Connaître les différents types d’attaque. | VALIDÉE |
| AC24.06 | Comprendre des documents techniques en anglais. | VALIDÉE |
| AC25.01 | Administrer les protections contre les logiciels malveillants. | VALIDÉE |
| AC25.02 | Prendre en mains des outils de test de pénétration réseau/système. | VALIDÉE |
03. Actions Réalisées
- Configuration Cœur de Réseau : Stack Cisco 3750, EtherChannel (LACP), MSTP (2 instances).
- Redondance : Mise en place de HSRP (Actif/Passif) pour la haute disponibilité des passerelles.
- Virtualisation : Cluster Proxmox, VM Debian (DNS Cache/TFTP), VM Windows Server 2019 (ADDS).
- Segmentation : Déploiement des VLANs (120 à 700) et routage inter-VLAN.
- Pentest (Phase 2) : Scan de vulnérabilités, attaque par dictionnaire sur SSH, élévation de privilèges.
- Rédaction d'un rapport d'audit classifié "Confidentiel" démontrant la compromission totale.
04. Preuves & Livrables
05. Débriefing Mission
- Mise en œuvre réussie de la redondance (Stack + HSRP) assurant la haute disponibilité.
- Intégration fonctionnelle des services (DNS Linux et AD Windows) dans le réseau.
- Pentest concluant : Accès Root/Admin obtenu en moins de 15 minutes (Preuve à l'exemple).
🔧 Diagnostic des Problèmes (Phase 1 & 2)
| PROBLÈME RENCONTRÉ | SOLUTION APPLIQUÉE |
|---|---|
| Problème de convergence MSTP et conflit de Root Bridge. | Standardisation stricte des noms de région et révisions + Priority manuelle. |
| Perte de paquets lors de la bascule HSRP (Actif/Passif). | Ajustement des timers HSRP et vérification du trunking inter-switchs. |
🎯 Axes d'Amélioration (Vers Phase 3)
| VULNÉRABILITÉS RESTANTES | PLAN DE SÉCURISATION |
|---|---|
| Accès administratif non sécurisé (Telnet/SSH faible). | Désactivation Telnet, SSHv2 uniquement, ACLs sur les VTY. |
| Ports d'accès ouverts à tous (Spoofing possible). | Mise en place du Port-Security et DHCP Snooping. |
- 01. Toujours vérifier la version de l'IOS Cisco pour le support du Stacking.
- 02. Documenter les plans de tests AVANT de déployer la config.
- 03. Pour le Pentest : Utiliser Wireshark en mode promiscuous pour capturer les trames CDP/VTP.
- 04. Ne jamais sous-estimer la configuration du DNS (Forwarders) pour l'accès Internet des VM.