Sécurité Réseau
Mise en place d’une solution DMZ avec Cisco et Proxmox
Qu’est-ce qu’une DMZ ?
Une DMZ (Demilitarized Zone, ou zone démilitarisée) est un sous-réseau intermédiaire, placé entre le réseau interne (LAN) et le réseau externe (Internet/WAN). Son rôle est d’isoler les services accessibles depuis l’extérieur — comme un serveur web — afin qu’un attaquant qui compromettrait ce service ne puisse pas accéder directement au réseau interne.
Concrètement, la DMZ agit comme un sas de sécurité : les utilisateurs externes peuvent atteindre les services en DMZ, mais des règles de filtrage strictes (ACL sur routeur, firewall) bloquent toute communication initiée depuis la DMZ vers le LAN.
Architecture mise en place
Dans le cadre de mon projet BTS SIO SISR au lycée Charles de Foucauld, j’ai conçu et déployé une infrastructure DMZ complète entre septembre et décembre 2025. Voici l’architecture :
100.0.0.0/24
↔
ACL + Routage inter-VLAN
↔
172.1.50.0/24
Apache / Ubuntu
172.1.250.0/24
Postes utilisateurs
Switchs d’accès → Switch de distribution → Routeur Cisco
L’infrastructure comprenait :
- Un serveur Proxmox hébergeant les conteneurs (dont un conteneur Debian avec Apache)
- Un routeur Cisco assurant le routage inter-VLAN et le filtrage via ACL
- Trois switchs organisés en architecture hiérarchique (accès → distribution)
- La DMZ configurée dans le VLAN 50 sur le réseau
172.1.50.0/24
Étapes de réalisation
Avant de configurer l’infrastructure physique, j’ai simulé l’ensemble du réseau dans Cisco Packet Tracer. Cela m’a permis de valider le schéma d’adressage, de tester les ACL et de corriger les erreurs avant de les appliquer sur le matériel réel.
Sur les switchs Cisco, j’ai créé les VLANs nécessaires et configuré les ports en mode access ou trunk selon leur rôle :
! Création des VLANs vlan 10 name LAN_USERS vlan 20 name LAN_ADMIN vlan 50 name DMZ ! Port vers la DMZ (access) interface FastEthernet0/1 switchport mode access switchport access vlan 50 ! Port trunk vers le routeur interface FastEthernet0/24 switchport mode trunk
Le routeur Cisco assure la communication entre les différentes zones grâce aux sous-interfaces (router-on-a-stick) :
! Sous-interface pour la DMZ (VLAN 50) interface GigabitEthernet0/0.50 encapsulation dot1Q 50 ip address 172.1.50.254 255.255.255.0 ! Sous-interface pour le LAN (VLAN 10) interface GigabitEthernet0/0.10 encapsulation dot1Q 10 ip address 172.1.250.254 255.255.255.0
Sur le serveur Proxmox, j’ai créé un conteneur Debian avec l’adresse IP 172.1.50.1 et installé Apache pour simuler un service web accessible depuis l’extérieur :
apt update && apt install apache2 -y systemctl enable apache2 systemctl start apache2
J’ai ensuite vérifié l’accessibilité depuis le WAN simulé avec : curl http://172.1.50.1
Les Access Control Lists (ACL) sont au cœur de la sécurisation de la DMZ. Voici les règles appliquées sur le routeur :
! ACL DMZ_IN : trafic entrant depuis la DMZ → bloquer vers LAN ip access-list extended ACL_DMZ_IN permit icmp any any permit tcp any host 172.1.50.1 eq www permit tcp any host 172.1.50.1 eq 443 permit tcp any 172.1.50.0 0.0.0.255 established deny ip 172.1.50.0 0.0.0.255 172.1.250.0 0.0.0.255 deny ip any any ! ACL INTERNET_IN : trafic depuis WAN → autoriser uniquement HTTP/HTTPS vers DMZ ip access-list extended ACL_INTERNET_IN permit icmp any any permit tcp any 172.1.50.0 0.0.0.255 eq www permit tcp any 172.1.50.0 0.0.0.255 eq 443 permit tcp any established deny ip any 172.1.250.0 0.0.0.255 deny ip any any ! ACL WAN_IN : autoriser réponses depuis DMZ vers WAN ip access-list extended ACL_WAN_IN permit icmp any any permit tcp 100.0.0.0 0.0.0.255 172.1.50.0 0.0.0.255 eq www permit tcp 100.0.0.0 0.0.0.255 172.1.50.0 0.0.0.255 eq 443 permit tcp any any established deny ip any any
Pour administrer le routeur à distance de façon sécurisée, j’ai configuré les lignes VTY avec une ACL restreignant l’accès aux seuls postes autorisés :
! ACL autorisant uniquement les IPs du LAN et de la DMZ ip access-list standard ACL_VTY permit 10.0.23.4 permit 10.0.23.3 permit 10.0.23.2 permit 172.1.250.3 permit 172.1.250.2 permit 172.1.250.1 permit 10.0.23.251 deny any ! Application sur les lignes VTY line vty 0 4 access-class ACL_VTY in password Iroise29 login transport input telnet ssh
J’ai réalisé plusieurs tests pour valider le bon fonctionnement de la DMZ :
- ✅ WAN → DMZ (HTTP) : autorisé –
curl http://172.1.50.1depuis le WAN fonctionne - ✅ LAN → DMZ (HTTP) : autorisé – les postes du LAN peuvent consulter le service
- ✅ DMZ → LAN : bloqué – les ACL empêchent tout trafic initié depuis la DMZ vers le LAN
- ✅ WAN → LAN direct : bloqué – le WAN ne peut pas atteindre le réseau interne directement
- ✅ Accès SSH/Telnet depuis les IPs autorisées : fonctionnel
Bilan et compétences développées
Ce projet m’a permis de mettre en pratique l’ensemble des compétences du bloc « Administration des systèmes et des réseaux » du référentiel BTS SIO SISR :
- Conception d’une architecture réseau sécurisée avec DMZ
- Configuration avancée d’un routeur Cisco (VLANs, ACL étendues, sous-interfaces)
- Utilisation de la virtualisation avec Proxmox
- Déploiement et test d’un service web sous Linux (Apache/Debian)
- Rédaction d’une documentation technique complète
Le suivi du projet a été assuré via un tableau Trello permettant de tracer l’avancement, les résultats des tests et les configurations de l’infrastructure.
Documentation Cisco IOS – VLANs et ACL
Documentation Debian – Apache2
Supports de cours BTS SIO SISR – Sécurité réseau et DMZ
Fiche de réalisation professionnelle E6 – Lycée Charles de Foucauld, Brest (2025)