Blog
IT
TPE#0- Contexte et présentation Architecture

Temps de lecture: 5 – 10 min

À travers plusieurs articles, je vais vous présenter différentes architectures (on prem ou cloud) et cela à différents niveaux : Datacenter, Campus, Branch office et remote.
Cet article s’oriente vers un public ouvert en partant de l’ingénieur réseaux voulant mettre en place un “modèle type d’infrastructure” en cas de rattachement d’une société tierce, le RSSI souhaitant assurer la sécurité du groupe, jusqu’au  chef entreprise souhaitant comprendre les enjeux stratégiques d’une refonte LAN au moment d’une expansion.

L’architecture ci-dessus servira de référence sur tout le long de notre projet et elle est susceptible d’évoluer en fonction du focus qui sera apporté sur un point particulier. L’ensemble du LAB a été réalisé sur eve-ng et les références des ios se trouvent à la fin de cet article.

Le Contexte:  Une architecture au standard mais pas que !

Cet article s’oriente vers une architecture standard de type PME en pleine expansion.

Après une forte expansion, la société ALPHA rachète plusieurs entités dont une société à Toulouse que l’on nommera BRAVO. Fort de son succès, la société ALPHA  capitalise un chiffre d’affaires de 2M€.
Cependant, les projets prennent de plus en plus d’envergure et la DSI n’est clairement pas structurée pour accueillir les nouveaux projets. Basé à Paris, le siège décide alors de restructurer et réorganiser l’équipe.  Ainsi, un budget de 100KE a été alloué pour le projet Refonte_Alpha/Bravo.
Comment rattacher une nouvelle entité non sécurisée à notre entreprise Alpha? Et cela à moindre cout ? Quels sont les risques non maitrisés ? Et comment y arriver sans impacter la production actuelle ?
C’est ce que nous allons découvrir à  travers ce projet.

Le plan d’action :  Nous allons voir cette restructuration en 6 étapes fondamentales:

  1. Maitriser les risques lors d’un nouveau rachat ou d’une cohabitation tierce
    • Quelles sont les solutions d’interconnexion possibles ?
    • Une refonte Lan : Avant ou après la migration du site ?
  1. Refonte du site avant migration :
    • Présentation des architectures standardisées
    • Comment procéder ? La méthode.
    • Présentation de l’architecture Bravo.
  1. Les raccordements directs – Le VPN IPSEC & Nomadisme
    • Maitriser les risques d’un raccordement direct
    • Les solutions d’un raccordement direct (VPN IPSEC, VPN SSL )
    • Implémentation du VPN IPSEC du site de BRAVO, Tshoot et monitoring
  1. Contrôler les flux non maitrisés en apportant une solution de stratégie du groupe Alpha
    • Les firewall nextgen de fortinet, la solution à notre problème ?
    • Le web filtering
    • L’application contrôle
    • L’antivirus et l’IPS
    • La fuite des données: le DLP une contre-mesure chez Fortinet?
  1. Apporter une autre vision de la sortie internet des branch Office
    • Local internet break out,
    •  Sd-wan,
    • Sortie groupe.
  1. Conclusion
    • La stratégie du groupe : l’enjeu définit clairement la définition de l’architecture.
    • Avantage & inconvénient de cette méthode de déploiement (ROI).

Les équipements et les technologies qui seront utilisées :
Réseaux :
LAN CORE – Niveau 2 / gestion vlan –> CORE L3- Vios_L2_ADVENTERPRISEK9-M Version 15.2(4.00.55)E
WAN MPLS Niveau 3 / routage inter zone –> Serveur linux / IPTABLE
LAN CORPORATE – Niveau 2 / gestion des vlan –> CORE L3- Vios_L2_ADVENTERPRISEK9-M Version 15.2(4.00.55)E

Sécurité périmétrique:
Firewall Corporate: gestion de la sécurité DMZ / Lan Corporate –> Fortinet FGT_VM64_KVM-v6-build0866-FORTINET.out.kv
Analyseur de log Fortianalyser –> FAZv6
Management des FGT –>Fortimanager -FMGv6
Serveur DMZ –> Windows Serveur W2K8 – Base AD & Windows  Serveur W2K16 – Service Métier & autres..
Poste users –> Win7 NextGen
August 2, 2019