AD, Serveur Web, Répartition de charge, Reverse Proxy et VPN SSL

Compétences mises en œuvres :

Objectifs et contexte

    • Problématique : L’entreprise TechUniverse, spécialisée dans la vente de gadgets électroniques a connu une forte hausse de trafic en ligne, dépassant les capacités initiales de son site web.
      Cette surcharge a dégradé l’expérience client, causant abandons de panier et pertes de ventes.
      Pour y remédier, la direction a lancé un projet d’optimisation de l’infrastructure en intégrant des solutions pour la haute disponibilité et la gestion du trafic. En parallèle, l’entreprise souhaite déployer un accès à distance sécurisé pour ses télétravailleurs.
  • Les besoins exprimés de la société :
      • Segmentation du réseau : Afin de renforcer la sécurité et de pouvoir appliquer une politique « Zero Trust », une segmentation du réseau sera mise en place.
      • Accès à distance au LAN pour les télétravailleurs : Les télétravailleurs ont besoin d’accéder au LAN depuis chez eux pour travailler. Un VPN SSL sera mis en place sur le routeur Stormshield.
      • Haute-disponibilité et répartition de charge du service Web : La société faisant face à une surcharge de trafic une solution de haute disponibilité et de répartition de charge vas être mit en place
  • Technologies utilisées : Stormshield, Active Directory, HAProxy, Apache2

Déroulement du projet :

  • Espace de travail Trello
  • Afin de structurer efficacement mon travail et de suivre l’avancement des différentes étapes, j’ai choisi de gérer ce projet à l’aide de Trello
  • Segmentation du réseau
  • Le réseau a été segmenté en deux zones : un LAN et une DMZ. Il n’y a pas de VLAN, la segmentation est réalisée physiquement en connectant les machines aux ports appropriés du routeur Stormshield.
  • Configuration du domaine Active Directory
  • Le domaine techuniverse.sio.lan est configuré sur un serveur Windows Server 2019. Un groupe dédié aux télétravailleurs ainsi que des comptes d’administration nominatifs ont été créés.
  • Configuration du routeur Stormshield
  • L’annuaire Active Directory a été synchronisé avec le routeur Stormshield afin de permettre l’administration via les comptes d’administration nominatifs ainsi que pour l’accès au VPN SSL des télétravailleurs. Le VPN SSL a été configuré pour permettre aux télétravailleurs d’accéder au LAN. Également, les règles de NAT permettant à internet d’accéder au site web de techuniverse ont été créée.
  • Configurations des serveurs Apache
  • Deux serveurs Apache identiques ont été mis en place pour assurer la répartition de charge et garantir une haute disponibilité du service web.
  • Configuration des serveurs HAProxy
  • Les deux serveurs HAProxy ont été configurés en mode round-robin. HAProxy joue également le rôle de reverse proxy en répondant uniquement aux requêtes adressées à techuniverse.sio.lan. Keepalived a été configuré pour assurer la haute disponibilité entre les deux serveurs HAProxy.

Défis rencontrés :

  • La principale difficulté que j’ai rencontrée concernait un problème lors de la navigation sur Internet depuis le LAN. L’erreur “ERR_QUIC_PROTOCOL_ERROR” apparaissait de manière récurrente, rendant l’accès à certains sites impossible. Le protocole QUIC, qui utilise le port UDP 443, était impliqué. J’ai donc autorisé l’accès du LAN à Internet via le port UDP 443 pour résoudre ce problème.

Résultats obtenus

  • Les utilisateurs en dehors du réseau accèdent correctement au site web via l’adresse techuniverse.sio.lan. En cas de défaillance d’un serveur Apache et/ou HAProxy, la haute disponibilité garantit le maintien du service. Les requêtes sont envoyées à tour de rôle vers les serveurs Apache afin d’assurer la répartition de la charge. Également, la segmentation du réseau limite le trafic des utilisateurs en ne leur permettant d’accéder qu’aux ressources dont ils ont réellement besoin.

Liens utiles :

Galerie :