Mise en place d'un réseau local avec Ubiquiti Unifi : Bonnes pratiques de sécurité

Présentation du projet

Dans le cadre de l’amélioration d’un réseau local, j’ai entrepris la mise en place d’une infrastructure réseau basée sur les équipements Ubiquiti Unifi, avec pour objectif de garantir sécurité, fiabilité et évolutivité. Ce réseau devait non seulement supporter des équipements informatiques classiques mais aussi intégrer un système de télésurveillance et une solution de stockage centralisé.

L’architecture repose sur une Dream Machine, qui assure le rôle de routeur et de contrôleur, un switch PoE 8 ports, un switch PoE 5 ports, une borne WiFi Unifi pour une couverture sans fil performante, ainsi que deux caméras de télésurveillance et une Cloud Key Gen2 pour l’administration centralisée. Un NAS Synology a également été ajouté afin de gérer les sauvegardes et le stockage des enregistrements vidéos.

Ce projet a été l’occasion d’appliquer des bonnes pratiques de cybersécurité pour garantir un réseau local résilient et protéger les données contre les menaces internes et externes.

Objectifs du projet

Le principal objectif était de concevoir un réseau performant et sécurisé, garantissant une connectivité fluide pour l’ensemble des équipements, tout en préservant l’intégrité et la confidentialité des données.

Un des enjeux majeurs était de segmenter intelligemment le réseau en isolant les différents flux : les appareils informatiques, les caméras de surveillance et le NAS devaient fonctionner de manière cloisonnée pour éviter tout risque d’intrusion ou d’attaque latérale.

La gestion des sauvegardes centralisées était également un point clé du projet. Il fallait garantir une protection efficace des données sensibles, notamment en automatisant les sauvegardes des appareils connectés ainsi que celles des enregistrements vidéo des caméras de surveillance.

Enfin, l’administration simplifiée et centralisée à travers l’écosystème Unifi et le NAS Synology devait permettre un suivi en temps réel de l’état du réseau et une réaction rapide en cas d’incident.

Notions abordées

L’installation et la configuration de ce réseau ont impliqué plusieurs étapes clés pour assurer une sécurité maximale et une gestion optimisée des flux réseau.

Tout d’abord, la configuration de la Dream Machine a été essentielle pour définir une politique de sécurité stricte. La mise en place d’un pare-feu avancé et de règles de filtrage réseau a permis de limiter les communications entre les VLANs, réduisant ainsi les surfaces d’attaque.

La segmentation réseau via VLANs a joué un rôle crucial. Trois segments principaux ont été créés : un VLAN dédié aux appareils administratifs (ordinateurs et NAS), un VLAN spécifique aux appareils de télésurveillance, et un VLAN invité pour isoler tout appareil extérieur. Cette isolation permet d’empêcher qu’un appareil compromis ne puisse compromettre le reste du réseau.

La sécurisation du WiFi a été renforcée par la mise en place de plusieurs SSID distincts, chacun étant relié à un VLAN spécifique. L’activation du chiffrement WPA3 et le contrôle des accès via filtrage MAC et authentification 802.1X ont permis de restreindre l’accès aux seuls équipements autorisés.

La gestion des sauvegardes via un NAS Synology a été un élément central du projet. Le NAS a été configuré pour :

• Stocker automatiquement les enregistrements des caméras en évitant toute dépendance à des solutions cloud externes.

• Sauvegarder régulièrement les configurations réseau, notamment celles de la Dream Machine et des switches, afin de pouvoir restaurer rapidement le système en cas de panne.

• Héberger un système de sauvegarde centralisée pour les appareils connectés, permettant une protection contre la perte de données et une restauration rapide en cas d’attaque par ransomware.

Grâce aux fonctionnalités avancées du NAS, des stratégies de sauvegarde incrémentielle et de versioning ont été mises en place pour assurer une conservation optimale des fichiers critiques.

Contraintes techniques rencontrées

La mise en œuvre de ce réseau a présenté plusieurs défis techniques. L’hébergement mutualisé de certaines fonctions réseau sur la Dream Machine a nécessité un paramétrage précis pour éviter des conflits entre les services et garantir un bon routage des flux entre les VLANs.

L’ajout du NAS Synology et son intégration au réseau cloisonné a été un challenge. Il a fallu s’assurer que le NAS puisse communiquer avec les autres équipements tout en restant isolé des réseaux non sécurisés. L’activation du chiffrement des données stockées et la gestion des permissions avancées ont été des étapes essentielles pour éviter toute fuite d’informations sensibles.

Le paramétrage des priorités réseau (QoS) a également été un point critique, notamment pour assurer une bande passante suffisante aux caméras de surveillance sans affecter les performances des autres équipements. Un équilibre a dû être trouvé entre sécurité, latence et fluidité de navigation.

Enfin, la gestion des mises à jour et de la maintenance a exigé une organisation rigoureuse. Un suivi régulier des mises à jour du firmware des équipements Unifi, ainsi que celles du NAS et des caméras, a été mis en place afin de réduire les risques liés aux vulnérabilités logicielles.

Ce que ce projet m’a apporté

Ce projet m’a permis d’acquérir une expertise approfondie en gestion de réseau local sécurisé, en combinant administration réseau, cybersécurité et gestion du stockage.

J’ai pu expérimenter la segmentation avancée avec VLANs, ainsi que l’optimisation de la sécurité via des pare-feu, des authentifications renforcées et des protocoles de surveillance active.

L’intégration du NAS Synology a été une excellente opportunité pour comprendre les enjeux de sauvegarde et de protection des données, notamment à travers des stratégies de backup automatisées et des politiques de rétention des fichiers.

En termes de gestion de projet, cette mise en place m’a permis d’acquérir une méthodologie efficace pour gérer un environnement en évolution constante, en assurant maintenance, surveillance et mise à jour des équipements.

Conclusion

La mise en place d’un réseau local sécurisé avec Ubiquiti Unifi et un NAS Synology m’a offert une expérience complète en administration et sécurisation des infrastructures. Grâce à une segmentation rigoureuse des flux, une gestion centralisée et un stockage protégé, j’ai pu construire un réseau performant et résilient face aux menaces.

Ce projet représente un excellent cas d’étude pour allier cybersécurité et administration réseau, en appliquant des bonnes pratiques essentielles pour garantir confidentialité, disponibilité et intégrité des données.