← Retour à l'exposé Stuxnet
Architecture réseau & sécurité
Vue globale · Architecture réseau
🌍 RÉSEAU STUXNET LAB — TSSR 🌍 INTERNET 📡 Livebox (WAN1) 8 Gbps · Fibre 📱 Routeur 4G WAN2 · Secours 🔄 Gateway Group Failover 🔐 pfSense · Core Firewall WAN1 (Fibre) · WAN2 (4G) · NAT · Règles strictes 🔌 Switch 10 Gbps VLAN LAN VLAN Torrent VLAN TSSR VLAN DMZ 172.18.184.0/24 ⛔ Accès DMZ bloqué 192.254.10.1/24 ⛔ Accès DMZ bloqué 192.10.1.254/23 ⛔ Accès DMZ bloqué 192.168.15.0/24 ✅ Zone exposée 🔌 Switch 2.5 Gbps (8 ports) connexion 🐧 LXC Ubuntu (non privilégié) Apache2 · 4 vCPU · 2 Go RAM IP: 192.168.15.200 💀 EXPOSÉ STUXNET 💀 ⛔ Règles de blocage DMZ LAN · Livebox · VLAN TSSR VLAN Torrent · pfSense · SSH

Isolation stricte entre VLANs · Règles firewall "block first, allow by exception"

Détails des VLANs
VLANSous-réseauRôleAccès DMZ
WAN1192.168.1.0/29Livebox Fibre (8 Gbps)⛔ Bloqué
WAN24G (CGNAT)Secours · Mode dégradé⛔ Bloqué
LAN172.18.184.0/24Réseau interne sécurisé⛔ Bloqué
VLAN Torrent192.254.10.1/24Activités isolées⛔ Bloqué
VLAN TSSR192.10.1.254/23Postes stagiaires TSSR⛔ Bloqué (sauf exceptions)
VLAN DMZ192.168.15.0/24Serveurs exposés✅ Accès interne DMZ uniquement
Règles de blocage (DMZ)
⛔ VLAN_15_DMZ n'accède pas au LAN
⛔ VLAN_15_DMZ n'accède pas à la Livebox
⛔ VLAN_15_DMZ n'accède pas au VLAN Torrent
⛔ VLAN_15_DMZ n'accède pas au VLAN TSSR
⛔ VLAN_15_DMZ n'accède pas à l'interface pfSense
⛔ VLAN_15_DMZ n'accède pas au SSH pfSense

Règle finale : Default Allow IPv4 to any (après blocages)

Serveur LXC (Container non privilégié)
DistributionUbuntu 22.04 / 24.04
vCPU4 cœurs dédiés
RAM2 Go
ServiceApache2 (HTTP/HTTPS)
IP DMZ192.168.15.200
TypeLXC non privilégié → isolation renforcée
Stack sécurité · Defense in depth
PfBlocker NG Devel
GeoIP blocking : Russie & Chine (trafic entrant bloqué)
DNSBL : blacklist universités (blocage domaines malveillants/éducation)
Mises à jour automatiques des listes
Suricata IDS / IPS
Mode : IDS (détection sans blocage) - IPS sur DMZ (détection avec blocage)
Règles : ET/Open (Emerging Threats Open)
Surveillance trafic toutes interfaces
Accès externe & sécurisation TLS

DDNS : tssrprez974.ddns.net

Let's Encrypt : Certbot avec renouvellement automatique

SSL/TLS actif sur Apache2

$ certbot renew --dry-run
✅ Renouvellement automatique configuré
Flux réseau autorisés (principaux)
🌍 WAN → DMZ (port 80/443) : ✅ Autorisé
📡 DMZ → Internet (APT update, NTP, DNS) : ✅ Autorisé
🖥️ TSSR → DMZ (SSH/HTTP maintenance) : ✅ Exception
🔌 LAN → Switch 2.5 Gbps : ✅ 10 Gbps → 2.5 Gbps
🏠 LAN → Toutes zones : ✅ Autorisé
⛔ DMZ → LAN / TSSR / Torrent / pfSense : ❌ Bloqué

Principe du moindre privilège + isolation VLAN + container non privilégié

Haute disponibilité & sauvegardes
Failover 4G
📡 WAN2 4G : Lien de secours (CGNAT...)
🔄 Gateway group : Prefer_WAN → failover 4G (~2m)
⚠️ Mode dégradé : services restreints
Sauvegardes
💾 pfSense : backup XML
🐧 Vms et LXC : Backups programmés
☁️ Cloud : export crypté + rétention