Le jour où mon serveur de test a failli compromettre tout mon réseau domestique
En tant que formateur en gouvernance des SI, je répète souvent cette maxime de l’ANSSI : « Ne faites jamais confiance au réseau local par défaut ». Pourtant, j’ai moi-même commis l’erreur classique du débutant dans mon propre Home Lab. Lors d’un audit de routine de mon serveur Proxmox VE, j’ai réalisé qu’une simple vulnérabilité RCE (Remote Code Execution) sur un conteneur LXD hébergeant un serveur de test exposé aurait permis à un attaquant de pivoter directement vers mon NAS de sauvegarde et mes équipements personnels.
Pour aligner mon infrastructure sur les exigences de la norme ISO 27001 et du guide d’hygiène informatique de l’ANSSI, j’ai dû repenser intégralement ma gouvernance réseau. La solution ? Une segmentation stricte par VLANs orchestrée par un pare-feu virtualisé OPNsense sous Proxmox, en évitant les pièges classiques de performances liés à la virtualisation réseau.
Architecture technique et gouvernance : Le plan d’attaque
Une bonne gouvernance impose de cartographier et de cloisonner les flux selon leur criticité. Nous allons structurer notre infrastructure autour de 4 zones étanches :
- VLAN 10 (Administration) : Accès aux interfaces Proxmox VE, OPNsense, switches et PDU.
- VLAN 20 (Trusted LAN) : PC personnels, smartphones de confiance.
- VLAN 30 (DMZ / Public) : Reverse proxy, instances Nextcloud ou Vaultwarden exposées.
- VLAN 40 (IoT / Untrusted) : Domotique et objets connectés.
Étape 1 : Configuration du pont réseau (Bridge) VLAN-Aware sur Proxmox
Pour éviter d’utiliser plusieurs cartes réseau physiques, nous configurons le pont Linux par défaut de Proxmox (vmbr0) pour qu’il gère les tags VLAN. Dans l’interface Web de Proxmox :
- Allez dans System > Network.
- Éditez le pont principal (souvent
vmbr0). - Cochez la case VLAN Aware.
- Appliquez les modifications (ou redémarrez l’hôte).
Étape 2 : Déploiement d’OPNsense et optimisation des performances VirtIO
Lors de la création de la machine virtuelle OPNsense, attribuez-lui des interfaces réseau basées sur le pilote VirtIO pour des performances maximales à 10 Gbps. Cependant, la virtualisation des cartes réseau introduit un problème majeur : le déchargement matériel des sommes de contrôle (Hardware Checksum Offloading) peut corrompre les paquets réseau passant par OPNsense.
Action indispensable : Une fois OPNsense installé, rendez-vous dans Interfaces > Settings et cochez obligatoirement l’option Disable Hardware Checksum Offload (ainsi que TSO et LRO). Redémarrez ensuite le pare-feu.
Étape 3 : Configuration des règles de filtrage étanches
La règle d’or en gouvernance est le moindre privilège (Default Deny). Par défaut, créez une règle de blocage globale vers toutes les adresses privées (RFC 1918) sur votre zone DMZ et IoT.
Dans l’onglet de configuration des règles de l’interface DMZ (VLAN 30) sur OPNsense, autorisez uniquement :
- Les flux DNS vers l’IP d’OPNsense (port 53 UDP).
- Le trafic sortant vers le WAN (Internet) pour les mises à jour.
- Bloquez explicitement tout accès vers le VLAN 10 (Admin) et le VLAN 20 (Trusted).
Résultat : Une posture de sécurité professionnelle à la maison
Grâce à cette architecture, si mon serveur web en DMZ est compromis, l’attaquant se retrouve piégé dans une boîte de conserve numérique. Il lui est impossible de scanner mon réseau local ou d’accéder à l’hyperviseur Proxmox. Ce déploiement prouve qu’avec les bons outils open-source et une méthodologie rigoureuse, on peut appliquer une gouvernance de niveau entreprise au sein de son Home Lab.
Laisser un commentaire