syoul/MD-to-Prrint
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
a8409723756a682211036163e1c495e116c0d10c
MD-to-Prrint/documents/PLAN_DEPLOIEMENT_ORDRE.md

28 KiB
Raw Blame History

Plan de Déploiement - Ordre Logique - Smart-Motions

Date : Novembre 2025
Version : 1.0
Contexte : Plan complet de déploiement et configuration de l'infrastructure Smart-Motions

📋 Table des matières

  1. Vue d'ensemble
  2. Phases de déploiement
  3. Phase 1 : Préparation et Infrastructure de base
  4. Phase 2 : Réseau et Sécurité
  5. Phase 3 : Active Directory et Services de base
  6. Phase 4 : Services Windows
  7. Phase 5 : Services Infrastructure
  8. Phase 6 : Services applicatifs
  9. Phase 7 : Postes clients et finalisation
  10. Checklist complète
  11. Dépendances entre services

Vue d'ensemble

Objectif

Ce document définit l'ordre logique de déploiement et de configuration de toute l'infrastructure Smart-Motions, en tenant compte des dépendances entre les services.

Principes

  1. Infrastructure d'abord : Réseau, virtualisation, stockage
  2. Services de base : AD, DNS, DHCP
  3. Services dépendants : Services qui nécessitent AD
  4. Services applicatifs : Applications métier
  5. Postes clients : Déploiement des postes utilisateurs
  6. Finalisation : Tests, sécurité, documentation

Durée estimée

  • Phase 1-2 : 2-3 jours
  • Phase 3 : 2-3 jours
  • Phase 4 : 3-4 jours
  • Phase 5 : 2-3 jours
  • Phase 6 : 2-3 jours
  • Phase 7 : 2-3 jours
  • Total : 13-19 jours (environ 3-4 semaines)

Phases de déploiement

┌─────────────────────────────────────────────────────────┐
│  PHASE 1 : Préparation et Infrastructure de base       │
│  - Proxmox, Templates, Réseau                          │
└─────────────────────────────────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────────┐
│  PHASE 2 : Réseau et Sécurité                          │
│  - pfSense, VPN Site-to-Site, DMZ                      │
└─────────────────────────────────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────────┐
│  PHASE 3 : Active Directory et Services de base      │
│  - AD, DNS, DHCP, LAPS                                 │
└─────────────────────────────────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────────┐
│  PHASE 4 : Services Windows                            │
│  - Serveur fichiers, RDS, Veeam, GPO                   │
└─────────────────────────────────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────────┐
│  PHASE 5 : Services Infrastructure                     │
│  - GLPI, Zabbix, DNS Split, Déploiement                │
└─────────────────────────────────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────────┐
│  PHASE 6 : Services applicatifs                        │
│  - Messagerie, Nextcloud, DMZ (FTP/Extranet)          │
└─────────────────────────────────────────────────────────┘
                        ↓
┌─────────────────────────────────────────────────────────┐
│  PHASE 7 : Postes clients et finalisation              │
│  - Déploiement postes, Tests, Pentest, Documentation   │
└─────────────────────────────────────────────────────────┘

Phase 1 : Préparation et Infrastructure de base

Objectif

Préparer l'infrastructure de virtualisation et créer les templates nécessaires.

Étapes

1.1 Installation et configuration Proxmox

  • Installer Proxmox sur les serveurs physiques (Paris et Lyon)
  • Configurer les bridges réseau :
    • vmbr0 : Management (192.168.42.0/24)
    • vmbr1 : WAN (selon configuration)
    • vmbr2 : LAN (10.0.0.0/24 pour Paris, 10.1.0.0/24 pour Lyon)
  • Configurer le stockage : Disques locaux ou partagés
  • Créer les pools de ressources : Paris, Lyon

Documentation : docs/proxmox/PROXMOX_NETWORK_CONFIG.md

1.2 Création des templates Proxmox

  • Template Windows Server 2022 :
    • Installer Windows Server 2022
    • Configurer sysprep
    • Créer le template
  • Template Debian 12 :
    • Installer Debian 12
    • Configurer cloud-init
    • Créer le template
  • Template Ubuntu 22.04 :
    • Installer Ubuntu 22.04
    • Configurer cloud-init
    • Créer le template
  • Template pfSense :
    • Installer pfSense
    • Configuration de base
    • Créer le template

Documentation :

  • docs/proxmox/PROXMOX_TEMPLATES.md
  • docs/pfsense/PFSENSE_TEMPLATE.md

1.3 Vérification de l'infrastructure

  • Tester la connectivité réseau entre les serveurs Proxmox
  • Vérifier l'accès aux templates créés
  • Valider les ressources (CPU, RAM, stockage)

Durée estimée : 1-2 jours

Phase 2 : Réseau et Sécurité

Objectif

Déployer et configurer les firewalls pfSense et établir la connectivité entre les sites.

Étapes

2.1 Déploiement des firewalls pfSense

  • Déployer PAR-FW1 (10.0.0.1) :
    • Créer la VM depuis le template pfSense
    • Configurer les interfaces réseau (WAN, LAN, OPT1 pour DMZ)
    • Configuration initiale via console
  • Déployer LYO-FW1 (10.1.0.1) :
    • Créer la VM depuis le template pfSense
    • Configurer les interfaces réseau
    • Configuration initiale via console

Documentation : docs/pfsense/PFSENSE_INITIAL_CONFIG.md

2.2 Configuration manuelle initiale pfSense

Pour chaque firewall :

  • Configuration de base :
    • Changer le mot de passe admin
    • Configurer l'interface WAN (IP statique ou DHCP)
    • Configurer l'interface LAN (10.0.0.1 pour Paris, 10.1.0.1 pour Lyon)
    • Activer SSH (optionnel, pour Ansible)
  • Règles firewall de base :
    • Autoriser le trafic LAN → WAN
    • Bloquer le trafic WAN → LAN (sauf exceptions)
    • Configurer les règles de base

Documentation : docs/pfsense/PFSENSE_INITIAL_CONFIG.md

2.3 Configuration VPN Site-to-Site

  • Configurer IPsec VPN entre PAR-FW1 et LYO-FW1 :
    • Phase 1 (IKE) : Chiffrement, authentification
    • Phase 2 (IPsec) : Réseaux à connecter
    • Routes statiques
  • Tester la connectivité :
    • Ping entre les sites
    • Vérifier la réplication AD (une fois AD déployé)

Documentation : docs/pfsense/PFSENSE_SETUP.md

2.4 Configuration DMZ

  • Créer l'interface DMZ sur PAR-FW1 (OPT1)
  • Configurer le réseau DMZ : 10.0.0.100/24
  • Règles firewall DMZ :
    • WAN → DMZ (ports spécifiques)
    • DMZ → WAN (accès Internet)
    • DMZ → LAN (bloqué par défaut)

Documentation : docs/pfsense/PFSENSE_SETUP.md

2.5 Configuration automatisée pfSense (Ansible)

  • Déployer les VMs admin jump hosts :
    • PAR-ADMIN1 (10.0.0.151)
    • LYO-ADMIN1 (10.1.0.151)
  • Configurer les jump hosts :
    • Interfaces réseau (Management + LAN)
    • Installation Ansible et collections
  • Automatiser la configuration pfSense :
    • Règles firewall avancées
    • Proxy et filtrage web
    • VPN Client (OpenVPN)
    • Filtrage géographique (PFBlockerNG)

Documentation :

  • docs/pfsense/PFSENSE_ANSIBLE.md
  • docs/pfsense/PFSENSE_DEPLOYMENT_ORDER.md

Durée estimée : 1-2 jours

Phase 3 : Active Directory et Services de base

Objectif

Déployer Active Directory, DNS, DHCP et sécuriser les comptes administrateurs.

Étapes

3.1 Déploiement du premier contrôleur de domaine (PAR-DC1)

  • Créer la VM PAR-DC1 (10.0.0.11) :
    • 4 cores, 8 Go RAM, 100 Go disque
    • Interface LAN (vmbr2)
  • Installer Windows Server 2022
  • Configurer le réseau :
    • IP statique : 10.0.0.11/24
    • DNS : 127.0.0.1 (lui-même)
    • Passerelle : 10.0.0.1 (pfSense)
  • Promouvoir en contrôleur de domaine :
    • Créer la forêt : smartmotion.ovh
    • Installer les rôles : AD DS, DNS
    • Configurer DNS intégré
  • Vérifier la réplication DNS : Automatique avec AD

Documentation : docs/active-directory/ANALYSE_AD_VS_LDAP.md

3.2 Déploiement du second contrôleur de domaine (PAR-DC2)

  • Créer la VM PAR-DC2 (10.0.0.12) :
    • 4 cores, 8 Go RAM, 100 Go disque
  • Installer Windows Server 2022
  • Configurer le réseau :
    • IP statique : 10.0.0.12/24
    • DNS : 10.0.0.11 (PAR-DC1)
  • Promouvoir en contrôleur de domaine :
    • Joindre le domaine existant : smartmotion.ovh
    • Installer les rôles : AD DS, DNS
  • Vérifier la réplication AD : Automatique
  • Configurer les forwarders DNS : 1.1.1.1, 8.8.8.8

3.3 Configuration DNS interne

  • Créer les enregistrements DNS internes :
    • dc1.smartmotion.ovh → 10.0.0.11
    • dc2.smartmotion.ovh → 10.0.0.12
    • Enregistrements pour les futurs serveurs
  • Configurer les zones DNS :
    • Zone smartmotion.ovh (intégrée AD)
    • Zones de recherche inversée

Documentation : docs/services/DNS_SPLIT.md

3.4 Configuration DHCP

  • Installer le rôle DHCP sur PAR-DC1
  • Créer une étendue DHCP :
    • Plage : 10.0.0.100 - 10.0.0.200
    • Passerelle : 10.0.0.1
    • DNS : 10.0.0.11, 10.0.0.12
    • Domaine : smartmotion.ovh
  • Autoriser le serveur DHCP dans AD
  • Réservations IP pour les serveurs fixes

3.5 Déploiement RODC Lyon (LYO-RODC1)

  • Créer la VM LYO-RODC1 (10.1.0.10) :
    • 2 cores, 4 Go RAM, 50 Go disque
  • Installer Windows Server 2022
  • Configurer le réseau :
    • IP statique : 10.1.0.10/24
    • DNS : 10.0.0.11 (via VPN)
  • Promouvoir en RODC :
    • Read-Only Domain Controller
    • Pas de modifications AD possibles
  • Installer DHCP sur LYO-RODC1 :
    • Plage : 10.1.0.100 - 10.1.0.200
    • Passerelle : 10.1.0.1

3.6 Configuration Microsoft LAPS

  • Installer LAPS sur PAR-DC1 et PAR-DC2
  • Extension du schéma AD : Automatique
  • Créer une GPO pour LAPS :
    • Activer la gestion des mots de passe admin locaux
    • Configurer les paramètres (longueur, complexité)
  • Lier la GPO aux OUs des postes clients
  • Tester : Vérifier la rotation des mots de passe

Documentation : docs/windows/LAPS.md

3.7 Création des utilisateurs et groupes AD

  • Créer les OUs :
    • Departements/Direction
    • Departements/Commercial
    • Departements/Technique
    • Departements/Support
    • Servers/Paris
    • Servers/Lyon
    • Clients/Paris
    • Clients/Lyon
  • Créer les groupes de sécurité :
    • Direction, Commercial, Technique, Support
    • Chefs-Services (pour administrateurs locaux)
    • VPN-Users (pour VPN client)
  • Créer les comptes utilisateurs (50 utilisateurs)
  • Créer les comptes de service :
    • svc-nextcloud (pour Nextcloud LDAP)
    • svc-glpi (pour GLPI LDAP)
    • svc-veeam (pour Veeam)

Durée estimée : 2-3 jours

Phase 4 : Services Windows

Objectif

Déployer les services Windows : fichiers, RDS, sauvegardes, GPO.

Étapes

4.1 Serveur de fichiers Paris (PAR-FILE1)

  • Créer la VM PAR-FILE1 (10.0.0.20) :
    • 4 cores, 8 Go RAM, 2 To disque
  • Installer Windows Server 2022
  • Joindre au domaine : smartmotion.ovh
  • Installer le rôle File Server
  • Créer les partages :
    • \\PAR-FILE1\Departements\
    • \\PAR-FILE1\Public\
    • \\PAR-FILE1\Applications\
    • \\PAR-FILE1\Users\ (pour redirection profils)
  • Configurer FSRM :
    • Quotas par utilisateur (10 Go standard, 20 Go direction)
    • Filtrage de fichiers (bloquer multimédia)
  • Activer la déduplication :
    • Volume D:\
    • Type : General purpose file server
  • Activer Shadow Copies :
    • Volume D:\
    • Fréquence : 2 fois par jour
  • Configurer les permissions : Par groupes AD

Documentation : docs/windows/SERVEUR_FICHIERS.md

4.2 Serveur de fichiers Lyon (LYO-FILE1)

  • Créer la VM LYO-FILE1 (10.1.0.20) :
    • 2 cores, 4 Go RAM, 1 To disque
  • Installer Windows Server 2022
  • Joindre au domaine
  • Installer le rôle File Server
  • Créer les partages locaux
  • Configurer FSRM (quotas)

4.3 Configuration DFS-R (Réplication)

  • Installer DFS Replication sur PAR-FILE1 et LYO-FILE1
  • Créer un groupe de réplication :
    • Nom : Sylvestre-Replication
  • Ajouter les membres : PAR-FILE1, LYO-FILE1
  • Créer un dossier répliqué :
    • Documents : Réplication bidirectionnelle
  • Configurer la topologie : Hub (Paris) - Spoke (Lyon)
  • Tester la réplication : Vérifier la synchronisation

Documentation : docs/windows/SERVEUR_FICHIERS.md

4.4 Remote Desktop Services (PAR-RDS1)

  • Créer la VM PAR-RDS1 (10.0.0.60) :
    • 8 cores, 16 Go RAM, 100 Go disque
  • Installer Windows Server 2022
  • Joindre au domaine
  • Installer les rôles RDS :
    • RD Session Host
    • RD Web Access
    • RD Gateway
    • RD Licensing
  • Configurer le déploiement RDS :
    • RD Connection Broker : PAR-RDS1
    • RD Session Host : PAR-RDS1
    • RD Web Access : PAR-RDS1
  • Publier des applications RemoteApp :
    • Microsoft Office
    • Applications métier
  • Configurer TLS : Certificat SSL
  • Tester l'accès : Via navigateur web

Documentation : docs/windows/RDS_REMOTE_DESKTOP.md

4.5 Veeam Backup & Replication (PAR-VEEAM1)

  • Créer la VM PAR-VEEAM1 (10.0.0.50) :
    • 4 cores, 8 Go RAM, 5 To disque
  • Installer Windows Server 2022
  • Joindre au domaine
  • Installer Veeam Backup & Replication
  • Configurer le repository :
    • Chemin : D:\Backups
    • Espace : 5 To
  • Créer les jobs de sauvegarde :
    • PAR-DC1, PAR-DC2 : Quotidien
    • PAR-FILE1, LYO-FILE1 : Quotidien
    • PAR-RDS1 : Quotidien
    • Autres serveurs : Hebdomadaire
  • Configurer la rétention : 30 jours
  • Tester une restauration : Fichier individuel

Documentation : docs/windows/VEEAM_SAUVEGARDE.md

4.6 Group Policy Objects (GPO)

  • Créer les GPO de base :
    • GPO-Departement-Direction
    • GPO-Departement-Commercial
    • GPO-Departement-Technique
    • GPO-Postes-Clients
    • GPO-Chefs-Services (administrateurs locaux)
  • Configurer le déploiement automatique :
    • Imprimantes par département
    • Lecteurs réseau mappés
    • Redirection de profils (Documents, Desktop, AppData)
  • Configurer les administrateurs locaux :
    • Groupe Chefs-Services → Administrateurs locaux
  • Tester les GPO : Sur un poste de test

Documentation : docs/windows/GPO_GROUP_POLICY.md

Durée estimée : 3-4 jours

Phase 5 : Services Infrastructure

Objectif

Déployer les services d'infrastructure : GLPI, Zabbix, DNS Split, déploiement.

Étapes

5.1 GLPI - Gestion de parc (PAR-GLPI1)

  • Créer la VM PAR-GLPI1 (10.0.0.30) :
    • 2 cores, 4 Go RAM, 100 Go disque
  • Installer Debian 12
  • Installer GLPI :
    • Apache, PHP, MariaDB
    • GLPI 10.0.7
  • Configurer l'intégration AD :
    • LDAP : 10.0.0.11
    • Compte de service : svc-glpi
    • Synchronisation automatique
  • Installer OCS Inventory :
    • Serveur OCS
    • Agents sur les postes clients
  • Configurer GLPI + OCS :
    • Plugin OCS dans GLPI
    • Synchronisation inventaire
  • Créer les catégories d'incidents
  • Tester la création de tickets

Documentation : docs/services/GLPI_GESTION_PARC.md

5.2 Zabbix - Supervision (PAR-ZABBIX1)

  • Créer la VM PAR-ZABBIX1 (10.0.0.40) :
    • 4 cores, 8 Go RAM, 200 Go disque
  • Installer Ubuntu 22.04
  • Installer Zabbix Server :
    • Zabbix 6.0
    • PostgreSQL
    • Nginx
  • Configurer les hôtes :
    • Serveurs Windows (via Zabbix Agent)
    • Serveurs Linux (via Zabbix Agent)
    • Équipements réseau (via SNMP si supporté)
  • Créer des tableaux de bord :
    • Dashboard Infrastructure
    • Dashboard Réseau
    • Dashboard Services
  • Configurer les alertes :
    • Notifications email
    • Seuils d'alerte
  • Tester les alertes : Simulation d'incident

Documentation : docs/services/ZABBIX_SUPERVISION.md

5.3 DNS Split (Interne/Externe)

  • Acheter un nom de domaine :
    • smartmotion.ovh (ou autre)
    • Registrar : OVH, Gandi, Online, etc.
  • Configurer DNS interne (AD) :
    • Enregistrements A pour tous les services
    • www.smartmotion.ovh → 10.0.0.30 (GLPI)
    • mail.smartmotion.ovh → 10.0.0.XX (Zimbra)
    • zabbix.smartmotion.ovh → 10.0.0.40
    • etc.
  • Configurer DNS externe (Hébergeur) :
    • Enregistrements A pour services exposés
    • www.smartmotion.ovh → IP publique
    • ftp.smartmotion.ovh → IP publique DMZ
    • Enregistrements MX pour email
  • Configurer les forwarders DNS : 1.1.1.1, 8.8.8.8
  • Tester la résolution :
    • Interne : nslookup www.smartmotion.ovh 10.0.0.11
    • Externe : nslookup www.smartmotion.ovh 8.8.8.8

Documentation : docs/services/DNS_SPLIT.md

5.4 Solution de déploiement des postes

  • Créer la VM PAR-DEPLOY1 (10.0.0.80) :
    • 4 cores, 8 Go RAM, 500 Go disque
  • Installer Windows Server 2022
  • Joindre au domaine
  • Installer WDS + MDT :
    • Windows Deployment Services
    • Microsoft Deployment Toolkit
    • Windows ADK
  • Créer les images de référence :
    • Windows 11 Pro - PC fixes
    • Windows 11 Pro - Portables
  • Configurer les Task Sequences :
    • Installation Windows 11
    • Applications pré-installées
    • Jointure au domaine
  • Tester le déploiement : Sur un poste de test

Documentation : docs/services/DEPLOIEMENT_POSTES.md

Durée estimée : 2-3 jours

Phase 6 : Services applicatifs

Objectif

Déployer les services applicatifs : messagerie, Nextcloud, DMZ.

Étapes

6.1 Service de messagerie (Zimbra ou M365)

Option A : Zimbra (hébergé localement)

  • Créer la VM PAR-MAIL1 (10.0.0.XX) :
    • 4 cores, 8 Go RAM, 200 Go disque
  • Installer Zimbra :
    • Debian 12
    • Zimbra Open Source ou Network Edition
  • Configurer le domaine : smartmotion.ovh
  • Créer les boîtes mail : 50 utilisateurs
  • Configurer l'intégration AD : LDAP
  • Configurer les enregistrements DNS :
    • MX : mail.smartmotion.ovh
    • SPF, DKIM, DMARC

Option B : Microsoft 365 (SaaS)

  • Souscrire à Microsoft 365 :
    • Plan Business Standard ou Premium
    • 50 licences utilisateur
  • Configurer le domaine : smartmotion.ovh
    • Vérification du domaine
    • Enregistrements DNS (MX, SPF, etc.)
  • Synchroniser avec AD : Azure AD Connect (optionnel)
  • Créer les boîtes mail : 50 utilisateurs

Documentation : docs/messagerie/COMPARAISON_ZIMBRA_M365.md

6.2 Nextcloud

  • Créer la VM PAR-NEXTCLOUD1 (10.0.0.XX) :
    • 2 cores, 4 Go RAM, 500 Go disque
  • Installer Nextcloud :
    • Debian 12
    • Nextcloud 28+
    • Apache, PHP, MariaDB
  • Configurer l'intégration AD :
    • LDAP : 10.0.0.11
    • Compte de service : svc-nextcloud
    • Synchronisation automatique
  • Configurer les partages :
    • Intégration avec serveur de fichiers
    • Quotas par utilisateur
  • Tester l'accès : Via navigateur web

Documentation : docs/active-directory/NEXTCLOUD_LDAP_AD.md

6.3 DMZ - FTP et Extranet (PAR-FTP1)

  • Créer la VM PAR-FTP1 (10.0.0.70) :
    • 2 cores, 2 Go RAM, 100 Go disque
    • Interface DMZ (10.0.0.100/24)
  • Installer Debian 12
  • Installer vsftpd :
    • Configuration FTP sécurisé
    • Utilisateurs virtuels
  • Installer Apache :
    • Extranet web
    • PHP, base de données
  • Configurer les règles firewall :
    • WAN → DMZ (ports FTP et HTTP/HTTPS)
    • DMZ → LAN (bloqué)
  • Tester l'accès :
    • FTP depuis Internet
    • Extranet depuis Internet

Documentation : docs/services/DMZ_FTP_EXTRANET.md

6.4 VPN Client avec authentification RADIUS

  • Configurer NPS (Network Policy Server) sur PAR-DC1 :
    • Installer le rôle NPS
    • Créer un RADIUS client (pfSense)
    • Créer une Network Policy (groupe VPN-Users)
  • Configurer OpenVPN sur pfSense :
    • Serveur OpenVPN
    • Authentification RADIUS
    • Certificats SSL
  • Créer les profils VPN :
    • Fichiers .ovpn pour les clients
  • Tester la connexion VPN :
    • Depuis un poste externe
    • Authentification avec compte AD

Documentation : docs/services/VPN_CLIENT_RADIUS.md

Durée estimée : 2-3 jours

Phase 7 : Postes clients et finalisation

Objectif

Déployer les postes clients, effectuer les tests et finaliser la documentation.

Étapes

7.1 Déploiement des postes clients

  • Déployer les 40 PC fixes (Paris) :
    • Via WDS + MDT
    • Windows 11 Pro
    • Applications pré-installées
    • Jointure au domaine
  • Déployer les 5 portables (Paris) :
    • Via WDS + MDT
    • Windows 11 Pro
    • Configuration portable
  • Déployer les 5 portables (Lyon) :
    • Via WDS + MDT (depuis Paris via VPN)
    • Windows 11 Pro
  • Vérifier les GPO :
    • Imprimantes déployées
    • Lecteurs réseau mappés
    • Redirection de profils active
  • Vérifier LAPS :
    • Mots de passe admin locaux gérés
    • Rotation automatique

Documentation : docs/services/DEPLOIEMENT_POSTES.md

7.2 Tests fonctionnels

  • Tests de connectivité :
    • Ping entre tous les serveurs
    • Accès aux partages réseau
    • Résolution DNS (interne et externe)
  • Tests de services :
    • Accès GLPI (gestion de parc)
    • Accès Zabbix (supervision)
    • Accès RDS (bureaux à distance)
    • Accès Nextcloud
    • Accès messagerie
  • Tests de réplication :
    • Réplication AD (Paris ↔ Lyon)
    • Réplication DFS-R (fichiers)
  • Tests de sauvegarde :
    • Jobs Veeam fonctionnels
    • Restauration test (fichier individuel)
    • Shadow Copies accessibles
  • Tests VPN :
    • VPN Site-to-Site (Paris ↔ Lyon)
    • VPN Client (depuis Internet)

7.3 Tests de sécurité (Pentest)

  • Installation des outils :
    • Nmap
    • Nessus (Community Edition ou commercial)
  • Scan réseau avec Nmap :
    • Scan de tous les réseaux (10.0.0.0/24, 10.1.0.0/24)
    • Détection des ports ouverts
    • Identification des services
  • Scan de vulnérabilités avec Nessus :
    • Scan de tous les serveurs
    • Identification des vulnérabilités
    • Classification (Critique, Haute, Moyenne, Faible)
  • Correction des vulnérabilités :
    • Mises à jour système
    • Fermeture de ports inutiles
    • Renforcement de la configuration
  • Nouveau scan de validation :
    • Vérifier que les vulnérabilités sont corrigées
  • Rapport de pentest :
    • Documenter les résultats
    • Liste des vulnérabilités corrigées
    • Recommandations

Documentation : docs/security/PENTEST_NMAP_NESSUS.md

7.4 Documentation finale

  • Vérifier la documentation :
    • Tous les documents à jour
    • Procédures complètes
    • Schémas réseau
  • Créer un guide utilisateur :
    • Accès aux services
    • Utilisation de Nextcloud
    • Utilisation de la messagerie
    • Accès VPN
  • Créer un guide administrateur :
    • Procédures de maintenance
    • Procédures de sauvegarde/restauration
    • Procédures de dépannage
  • Documenter les mots de passe :
    • Stockage sécurisé (Vault)
    • Liste des comptes de service
    • Accès aux équipements

Durée estimée : 2-3 jours

Checklist complète

Phase 1 : Préparation

  • Proxmox installé et configuré
  • Templates créés (Windows, Debian, Ubuntu, pfSense)
  • Réseau configuré (bridges, VLAN)

Phase 2 : Réseau et Sécurité

  • pfSense déployé (Paris et Lyon)
  • Configuration manuelle initiale
  • VPN Site-to-Site configuré
  • DMZ configurée
  • Configuration automatisée (Ansible)

Phase 3 : Active Directory

  • PAR-DC1 déployé et promu
  • PAR-DC2 déployé et promu
  • LYO-RODC1 déployé et promu
  • DNS interne configuré
  • DHCP configuré (Paris et Lyon)
  • LAPS installé et configuré
  • Utilisateurs et groupes créés

Phase 4 : Services Windows

  • PAR-FILE1 déployé et configuré
  • LYO-FILE1 déployé et configuré
  • DFS-R configuré
  • PAR-RDS1 déployé et configuré
  • PAR-VEEAM1 déployé et configuré
  • GPO créées et configurées

Phase 5 : Services Infrastructure

  • PAR-GLPI1 déployé et configuré
  • PAR-ZABBIX1 déployé et configuré
  • DNS Split configuré
  • Solution de déploiement configurée

Phase 6 : Services applicatifs

  • Messagerie déployée (Zimbra ou M365)
  • Nextcloud déployé et configuré
  • DMZ (FTP/Extranet) déployée
  • VPN Client configuré

Phase 7 : Finalisation

  • Postes clients déployés (50 postes)
  • Tests fonctionnels réussis
  • Pentest effectué et vulnérabilités corrigées
  • Documentation complète

Dépendances entre services

Graphique des dépendances

Proxmox
  ↓
pfSense (VPN Site-to-Site)
  ↓
Active Directory (PAR-DC1, PAR-DC2)
  ├─→ DNS interne
  ├─→ DHCP
  ├─→ LAPS
  └─→ Utilisateurs/Groups
      ↓
      ├─→ GPO
      ├─→ Serveur fichiers (FSRM, DFS-R)
      ├─→ RDS
      ├─→ Veeam
      ├─→ GLPI (LDAP)
      ├─→ Nextcloud (LDAP)
      ├─→ VPN Client (RADIUS/NPS)
      └─→ Déploiement postes (jointure domaine)
          ↓
          Postes clients

Ordre critique

  1. Proxmox : Nécessaire pour tout le reste
  2. pfSense : Nécessaire pour la connectivité réseau
  3. Active Directory : Nécessaire pour tous les services Windows et authentification
  4. DNS : Nécessaire pour la résolution de noms
  5. DHCP : Nécessaire pour l'attribution d'IPs automatiques
  6. Services dépendants : Tous les autres services

Points d'attention

  • ⚠️ Ne pas déployer de services avant AD : Tous les services Windows nécessitent AD
  • ⚠️ VPN Site-to-Site avant RODC Lyon : Le RODC doit pouvoir communiquer avec les DC Paris
  • ⚠️ DNS avant autres services : La résolution de noms est critique
  • ⚠️ GPO avant déploiement postes : Les postes doivent être configurés dès le déploiement

Durée totale estimée

Phase Durée Description
Phase 1 1-2 jours Préparation infrastructure
Phase 2 1-2 jours Réseau et sécurité
Phase 3 2-3 jours Active Directory
Phase 4 3-4 jours Services Windows
Phase 5 2-3 jours Services Infrastructure
Phase 6 2-3 jours Services applicatifs
Phase 7 2-3 jours Postes clients et finalisation
TOTAL 13-19 jours 3-4 semaines

Document créé le : Novembre 2025
Version : 1.0
Projet : Smart-Motions - Plan de déploiement

Reference in New Issue View Git Blame Copy Permalink