Skip to content

Vexcited/IUT-SAE4.01B

BranchesTags
 
 

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

67 Commits
shared
shared
 
 
README.md
README.md
 
 
REPORT.pdf
REPORT.pdf
 
 
infrastructure.png
infrastructure.png
 
 
lab.conf
lab.conf
 
 
pc_aux.startup
pc_aux.startup
 
 
pc_bdd.startup
pc_bdd.startup
 
 
pc_c.startup
pc_c.startup
 
 
pc_ct.startup
pc_ct.startup
 
 
pc_dns.startup
pc_dns.startup
 
 
pc_ec.startup
pc_ec.startup
 
 
pc_ens.startup
pc_ens.startup
 
 
pc_etu.startup
pc_etu.startup
 
 
pc_mail.startup
pc_mail.startup
 
 
pc_p.startup
pc_p.startup
 
 
pc_ps.startup
pc_ps.startup
 
 
pc_rssi.startup
pc_rssi.startup
 
 
pc_s.startup
pc_s.startup
 
 
pc_v.startup
pc_v.startup
 
 
r_c.startup
r_c.startup
 
 
r_ct.startup
r_ct.startup
 
 
r_dsi.startup
r_dsi.startup
 
 
r_ec.startup
r_ec.startup
 
 
r_ens.startup
r_ens.startup
 
 
r_etu.startup
r_etu.startup
 
 
r_high.startup
r_high.startup
 
 
r_low.startup
r_low.startup
 
 
r_mid.startup
r_mid.startup
 
 
r_p.startup
r_p.startup
 
 
r_ps.startup
r_ps.startup
 
 
r_s.startup
r_s.startup
 
 
r_v.startup
r_v.startup
 
 
test.sh
test.sh
 
 

Repository files navigation

SAE4.01B - Mise en place d'une zone démilitarisée

Ce projet est une extension de la SAE 3.01B qui vise à améliorer la sécurité de l'infrastructure réseau du CHU en séparant le routage et en mettant en place un filtrage plus strict.

Modifications principales par rapport à la SAE 3.01B

  1. Séparation du routage en trois priorités :
  • Routeur haute priorité (r_high) : pour l'infrastructure critique et de haute priorité
  • Routeur priorité moyenne (r_mid) : pour l'accès éducatif/universitaire
  • Routeur basse priorité (r_low) : pour l'accès non-prioritaire
  1. Classification des sous-réseaux :
  • Haute priorité : serveur S, personnel soignant, comptabilité, chercheurs, enseignants-chercheurs, DSI
  • Priorité moyenne : étudiants, enseignants
  • Basse priorité : patients, visiteurs
  1. Accès à distance sécurisé :
  • Configuration SSH pour permettre l'accès à distance sécurisé depuis le réseau DSI
  • Filtrage basé sur le principe du moindre privilège

Infrastructure

L'infrastructure réseau conserve les sous-réseaux suivants de la SAE 3.01B :

  • Réseau patients : sousplage de classe C
  • Réseau visiteurs : sousplage en /26
  • Réseau enseignants, chercheurs et enseignants-chercheurs : sousplage en /22
  • Réseau étudiants : sousplage en /22
  • Réseau comptabilité : sousplage en /24
  • Réseau personnel soignant : sousplage en /22
  • Réseau serveur S : sousplage en /28 contenant les machines S et DNS
  • Réseau DSI : sousplage en /24

Règles de pare-feu

Routeur haute priorité (r_high)

  • Accepte le trafic critique (BDD, S, applications métier)
  • Permet l'accès SSH pour l'administration à distance
  • Autorise les connexions DNS, HTTP/HTTPS, et protocoles email
  • Accepte les connexions pour l'application de gestion des patients (port 1224)
  • Autorise SFTP pour les chercheurs vers la BDD

Routeur priorité moyenne (r_mid)

  • Accepte le trafic éducatif (étudiants, enseignants)
  • Autorise l'accès au site web public et intranet
  • Permet les connexions email pour les utilisateurs éducatifs
  • Limite l'accès aux applications métier

Routeur basse priorité (r_low)

  • Accepte uniquement le trafic non-critique (patients, visiteurs)
  • Autorise l'accès au site web public uniquement
  • Limite l'accès aux ressources internes

Configuration SSH pour gestion à distance

Toutes les machines suivantes sont configurées pour permettre une gestion à distance sécurisée via SSH depuis le réseau DSI (172.16.2.0/24) :

  • Machines étudiants et enseignants
  • Personnel soignant
  • Comptabilité
  • Serveur S et toutes les machines sensibles (MAIL, BDD, AUX, DNS)
  • Tous les routeurs (r_high, r_mid, r_low)

Tests automatisés

Pour vérifier la configuration de sécurité et le routage prioritaire, un script de test est disponible :

./test.sh

Comparaison avec la SAE 3.01B

Par rapport à la configuration de la SAE 3.01B :

  • Amélioration de la résilience avec 3 routeurs distincts pour Internet au lieu d'un seul
  • Mise en place d'une gestion des priorités selon la criticité des services
  • Renforcement de la sécurité par l'accès SSH distant sécurisé depuis le réseau DSI uniquement
  • Tests automatisés plus complets pour valider la configuration de sécurité et le routage prioritaire
  • Application stricte du principe du moindre privilège pour chaque sous-réseau

About

La deuxième partie de la SAE3.01B

Topics

networking network kathara

Resources

Readme
Activity

Stars

1 star

Watchers

0 watching

Forks

0 forks
Report repository

Languages

  • Shell 100.0%