Daily Home Lab

Catégorie : Gouvernance & Sécurité

  • Gouvernance Réseau : Segmentation VLAN Sécurisée avec OPNsense et Proxmox VE

    Introduction : La nécessité d’une gouvernance réseau au sein du Home Lab

    Dans un écosystème informatique domestique moderne, la frontière entre vie privée, télétravail et expérimentations techniques est de plus en plus poreuse. Adopter une approche de gouvernance des systèmes d’information, même à l’échelle d’un Home Lab, n’est plus un luxe mais une nécessité cyber-résiliente. Un réseau « plat » (Flat Network) représente un risque de propagation latérale majeur : la compromission d’un simple objet connecté (IoT) peut mener à la prise de contrôle de vos hyperviseurs ou de vos serveurs de stockage (NAS). Cet article détaille l’implémentation d’une segmentation réseau stricte par VLAN (802.1Q) en articulant deux piliers open-source incontournables : l’hyperviseur Proxmox VE et le pare-feu/routeur OPNsense.

    La cartographie et la politique de zones (Urbanisation du SI)

    Avant de configurer la technique, il convient de définir notre politique d’urbanisation réseau. Nous appliquerons le principe de moindre privilège en isolant nos flux dans quatre zones distinctes :

    • VLAN 10 – MGMT (Management) : Accès exclusif aux interfaces d’administration (Proxmox GUI, OPNsense GUI, IPMI, switches).
    • VLAN 20 – LAN (Trusted) : Périphériques de confiance (ordinateurs de travail, serveurs sécurisés).
    • VLAN 30 – IoT (Internet of Things) : Objets connectés, caméras IP (isolation stricte, pas d’accès WAN non contrôlé).
    • VLAN 40 – DMZ (Demilitarized Zone) : Services exposés à Internet (Reverse Proxy, serveurs web).

    Configuration de l’hyperviseur Proxmox VE

    Pour acheminer ces VLANs vers nos machines virtuelles (VM) et conteneurs (LXC), nous devons configurer le commutateur virtuel de Proxmox pour qu’il gère le marquage 802.1Q (VLAN-Aware).

    1. Connectez-vous à l’interface de Proxmox VE, allez dans System > Network.
    2. Sélectionnez votre pont réseau principal (généralement vmbr0) et cliquez sur Edit.
    3. Cochez la case VLAN Aware. Cette option essentielle permet au pont de propager les paquets étiquetés (tagged) sans nécessiter la création d’interfaces physiques virtuelles pour chaque VLAN au niveau de l’hôte.
    4. Appliquez la configuration (cliquez sur Apply Configuration ou redémarrez l’hôte).

    Déploiement et routage sous OPNsense

    OPNsense agira comme le cœur de routage inter-VLAN et la passerelle de sécurité. Dans notre architecture virtuelle, la VM OPNsense dispose d’une interface réseau virtuelle rattachée à vmbr0.

    1. Dans l’interface d’OPNsense, rendez-vous dans Interfaces > Other Types > VLAN.
    2. Créez vos interfaces VLAN en associant le tag 802.1Q approprié (ex: 10, 20, 30, 40) à l’interface parente LAN physique ou virtuelle (ex: vtnet1).
    3. Allez dans Interfaces > Assignments pour assigner ces nouvelles interfaces virtuelles et les activer. Activez le client DHCP ou configurez des IPs statiques pour chaque sous-réseau (ex: 10.10.10.1/24 pour le VLAN 10).

    Gouvernance des flux : Règles de Pare-feu et Filtrage Stateful

    Par défaut, OPNsense applique une politique de sécurité implicite de type « Default Deny ». Nous devons créer des règles de pare-feu précises pour orchestrer les flux légitimes :

    • Règle de cloisonnement IoT : Bloquez toutes les requêtes initiées par le VLAN 30 (IoT) vers les autres réseaux locaux (VLAN 10, 20, 40). N’autorisez que les flux sortants vers les serveurs NTP ou DNS spécifiques (idéalement hébergés localement et sécurisés).
    • Règle d’administration sécurisée : Seul le VLAN 10 (MGMT) est autorisé à initier des connexions SSH (port 22) ou HTTPS (port 443/8006) vers les interfaces d’administration de vos équipements.
    • Règle de DMZ : Les serveurs en DMZ (VLAN 40) ne doivent jamais pouvoir initier de connexion vers le LAN (VLAN 20) ou le Management (VLAN 10). Seules les réponses aux requêtes légitimes initiées depuis ces réseaux sont autorisées via l’inspection d’état (Stateful Packet Inspection).

    Conclusion et perspectives d’audit

    En structurant votre Home Lab selon ces principes rigoureux d’urbanisation et de filtrage, vous réduisez drastiquement la surface d’attaque globale. Cette approche professionnalisante démontre qu’une gouvernance cyber robuste est applicable dès l’infrastructure domestique. Pour aller plus loin, l’étape suivante consiste à centraliser les journaux de pare-feu d’OPNsense vers un outil d’analyse de logs (SIEM) afin de détecter les comportements anormaux sur votre réseau IoT.