Projet Proxmox
Projet Formation - Infrastructure virtualisée
Contexte du projet
Dans le cadre du BTS SIO option SISR, le projet Proxmox répond à un besoin concret de formation : disposer d'un environnement virtualisé complet pour héberger les services nécessaires aux travaux pratiques et aux projets de la promotion. Le contexte utilisé est celui de GSB (Galaxy Swiss Bourdin), une entreprise pharmaceutique fictive dont le cahier des charges définit les services à déployer.
L'objectif est de concevoir, déployer et administrer une infrastructure d'entreprise réaliste sur un serveur physique dédié, en couvrant l'ensemble des couches technologiques : virtualisation, réseau, stockage, services d'annuaire, gestion de parc, sécurité et pare-feu. Ce projet mobilise les compétences centrales du référentiel SISR et constitue la pièce maîtresse de mon portfolio technique.
Objectifs et compétences abordés
- Comprendre et mettre en service un serveur physique
- Installer et configurer un hyperviseur de virtualisation
- Déployer une infrastructure réseau virtualisée complète
- Mettre en œuvre des solutions de stockage sécurisé et tolérant aux pannes
- Produire une documentation technique et justifier les choix d'architecture
Description
Ce projet consiste à la mise en place d'une infrastructure informatique virtualisée destinée à héberger les principaux services ainsi que les VMs pour nos projets de BTS SIO.
L'architecture repose sur un serveur Proxmox, permettant de centraliser et de gérer plusieurs machines virtuelles dédiées à différents rôles : annuaire Active Directory, gestion du parc informatique avec GLPI et supervision des services.
Ce projet m'a permis de mettre en œuvre des compétences clés de l'option SISR, notamment en virtualisation, administration Windows, réseaux et documentation technique.
Il a couvert l'ensemble des couches d'une infrastructure SISR : virtualisation, réseau, stockage, sécurité et services, dans un environnement cohérent et proche d'un contexte professionnel réel.
Procédures d'installation
Sécurisation de l'infrastructure
La sécurisation de l'infrastructure constitue un enjeu majeur dans tout environnement de production. Chaque couche de l'architecture — de l'hyperviseur aux services déployés — a fait l'objet de mesures de durcissement (hardening) conformes aux bonnes pratiques professionnelles.
Politique de mot de passe Active Directory
Une politique de mot de passe stricte a été définie via la Default Domain Policy (GPO) afin de garantir la robustesse des identifiants utilisateurs et des comptes de service au sein du domaine.
| Paramètre | Valeur appliquée |
|---|---|
| Longueur minimale | 12 caractères |
| Exigence de complexité | Activée (majuscules, minuscules, chiffres, caractères spéciaux) |
| Durée de vie maximale | 90 jours |
| Historique des mots de passe | 12 mots de passe mémorisés |
| Seuil de verrouillage | 5 tentatives échouées |
| Durée de verrouillage | 30 minutes |
| Réinitialisation du compteur | 30 minutes |
GPO de sécurité appliquées
Plusieurs stratégies de groupe (Group Policy Objects) ont été déployées pour renforcer la sécurité de l'ensemble des postes et serveurs du domaine :
- Restriction des accès — Désactivation du compte Administrateur local par défaut et renommage des comptes sensibles pour limiter les vecteurs d'attaque par énumération.
- Politique d'audit — Activation de l'audit des ouvertures de session (succès et échecs), des modifications de comptes et des accès aux objets sensibles via l'Observateur d'événements.
- Restriction logicielle — Application de règles AppLocker pour contrôler les exécutables autorisés sur les postes du domaine et prévenir l'exécution de logiciels non approuvés.
- Configuration du pare-feu Windows — Déploiement centralisé des règles de pare-feu via GPO : autorisation du trafic RDP uniquement depuis le VLAN d'administration, blocage par défaut du trafic entrant non sollicité.
- Politique de verrouillage de session — Verrouillage automatique de l'écran après 10 minutes d'inactivité avec authentification obligatoire au retour.
Hardening Windows Server
Les serveurs Windows de l'infrastructure ont été durcis selon les recommandations de l'ANSSI et des benchmarks CIS (Center for Internet Security) :
- Désactivation des services inutiles — Services non essentiels arrêtés et désactivés (Print Spooler, Remote Registry, SNMP Trap) pour réduire la surface d'attaque.
- Protocoles obsolètes désactivés — SMBv1, TLS 1.0/1.1 et LLMNR/NBT-NS désactivés pour prévenir les attaques de type relay, downgrade et man-in-the-middle.
- Politique de mises à jour — Configuration de WSUS pour centraliser le déploiement des correctifs de sécurité avec validation préalable sur un poste de test.
- Renforcement RDP — Activation du NLA (Network Level Authentication), restriction de l'accès RDP aux administrateurs du domaine et limitation au VLAN d'administration.
- Journalisation avancée — Activation de la journalisation PowerShell (ScriptBlock Logging, Module Logging) et transfert des journaux vers un serveur de logs centralisé.
Politique pare-feu pfSense
Le pare-feu pfSense assure le rôle de passerelle de sécurité entre les différents VLANs de l'infrastructure. La politique appliquée suit le principe du deny all par défaut (approche whitelist) :
| Règle | Source | Destination | Action |
|---|---|---|---|
| VLAN Admin → Tous les VLANs | VLAN 10 | VLAN 20, 30, 40 | ALLOW |
| VLAN Serveurs → DNS / AD | VLAN 20 | VLAN 30 (ports 53, 389, 636) | ALLOW |
| VLAN Postes → Serveurs (services) | VLAN 40 | VLAN 20 (ports 80, 443) | ALLOW |
| Tous les VLANs → Internet | Any | WAN (ports 80, 443) | ALLOW |
| Règle par défaut | Any | Any | DENY ALL |
Chaque règle a été documentée avec sa justification fonctionnelle. Les journaux pfSense sont activés sur toutes les règles de blocage pour assurer la traçabilité des flux rejetés.
Politique de sauvegarde Proxmox
Une politique de sauvegarde a été mise en place directement depuis l'interface Proxmox Backup afin de garantir la disponibilité et la restauration rapide des machines virtuelles en cas d'incident :
- Planification — Sauvegarde automatique quotidienne de l'ensemble des VMs critiques (AD, GLPI, pfSense) déclenchée chaque nuit à 02h00.
-
Mode de sauvegarde — Utilisation du mode
Snapshotpour permettre la sauvegarde à chaud sans interruption de service. - Rétention — Conservation des 7 dernières sauvegardes quotidiennes et des 4 dernières sauvegardes hebdomadaires (politique de rotation).
- Stockage — Sauvegardes stockées sur un volume dédié en RAID 5 (tolérance à la panne d'un disque) séparé du stockage des VMs.
- Tests de restauration — Procédure de test de restauration réalisée mensuellement sur un environnement isolé pour valider l'intégrité des sauvegardes.
RAID 5 ≠ Sauvegarde : une distinction essentielle
Il est fondamental de comprendre que le RAID 5 et la sauvegarde répondent à des besoins différents et ne sont pas interchangeables :
| Critère | RAID 5 | Sauvegarde |
|---|---|---|
| Objectif | Tolérance aux pannes matérielles (perte d'un disque) | Restauration des données après un incident (suppression, corruption, ransomware) |
| Protection | Panne d'un disque dur uniquement | Erreur humaine, corruption logicielle, attaque, sinistre |
| Disponibilité | Continuité de service immédiate | Restauration nécessitant un temps de reprise (RTO) |
| Historique | Aucun — les données sont en miroir temps réel | Oui — possibilité de revenir à un état antérieur (RPO) |
En résumé : le RAID 5 garantit la haute disponibilité du stockage en cas de défaillance matérielle, tandis que la sauvegarde permet la restauration des données à un instant donné. Les deux sont complémentaires et indispensables dans une infrastructure de production.
Difficultés rencontrées et solutions
Compatibilité matérielle du serveur
Lors de l'installation initiale, certains composants du serveur physique (notamment le contrôleur RAID et la carte réseau) n'étaient pas immédiatement reconnus par Proxmox. Il a été nécessaire de rechercher et compiler les drivers appropriés, de consulter la documentation communautaire Proxmox et de tester plusieurs configurations avant d'obtenir un fonctionnement stable. Cette difficulté m'a appris l'importance de vérifier la compatibilité matérielle en amont de tout déploiement.
Segmentation réseau inter-VLAN
La mise en place de la segmentation en VLANs a posé des défis de configuration : les machines virtuelles ne communiquaient pas correctement entre elles au départ. Le problème venait d'une mauvaise configuration des bridges réseau sur Proxmox et des tags VLAN. Après une analyse méthodique des flux réseau (captures Wireshark, logs pfSense), j'ai identifié et corrigé les incohérences de configuration, ce qui m'a permis de consolider ma compréhension du routage inter-VLAN.
Intégration LDAP Proxmox ↔ Active Directory
La liaison entre Proxmox et l'annuaire Active Directory via LDAP a nécessité plusieurs tentatives d'ajustement : format du Base DN, compte de service, ports LDAP/LDAPS, et filtrage des groupes. La résolution est passée par une approche méthodique en testant chaque paramètre individuellement et en consultant la documentation officielle Proxmox.
Compétences BTS SIO SISR mobilisées
- C1 - Gérer le patrimoine informatique
- C4 - Travailler en mode projet
- C5 - Mettre à disposition un service informatique
- C6 - Organiser son développement professionnel
Compétences justifiées par la mise en place de l'architecture VLAN/DHCP, le déploiement des services et la conduite du projet.