Aller au contenu
TAAF-OPS --:-- UTC

Infrastructure Réseau TAAF

Ce document définit l’architecture réseau de référence de la formation TAAF. L’infrastructure suit une montée en charge progressive (crescendo) : l’étudiant démarre des VMs nues acte après acte et y déploie lui-même les services (cf. Acte 0 — Setup Vagrant).


Toutes les VMs sont sur le même sous-réseau privé et communiquent par leurs adresses IP (notées IP_VM2, IP_SOC, IP_AUDIT ; relevez les vôtres avec hostname -I sur chaque VM).

réseau privé commun
+----------------+----------------+
| | |
TAAF-MONITORING-001 TAAF-SOC-01 TAAF-AUDIT-001
IP_VM2 IP_SOC IP_AUDIT
SI observé + SOC Toolbox
observabilité Grafana-natif d'audit

VM bonus : un Windows Server (Active Directory) est ajouté uniquement pour le TP d’intégration Windows (Acte 2). Il n’est pas requis pour le tronc commun.


Rôle : le SI observé ET la stack d’observabilité, en un seul docker compose (dépôt monitoring).

ParamètreValeur
Machine Vagrantmonitoring
Hostnametaaf-monitoring-001
IPIP_VM2
OSUbuntu 22.04
RAM6 GB
CPU2 vCPUs

Services hébergés :

  • SI observé : PostgreSQL base_af (port 5432), NextCloud (port 8081)
  • Observabilité : Grafana (3000), Prometheus (9090), Loki (3100), Alloy (collecteur), Alertmanager (9093), cAdvisor, node-exporter, postgres-exporter
  • Caddy : reverse proxy (*.univ-taaf.internal, bonus)
  • Falco : surveillance runtime (natif)

Accès :

Fenêtre de terminal
vagrant ssh monitoring
# Grafana / Prometheus / NextCloud (depuis le navigateur)
http://IP_VM2:3000 # Grafana (admin / AdminTAAF2024!)
http://IP_VM2:9090 # Prometheus
http://IP_VM2:8081 # NextCloud (admin.cloud.af / AdminCloudAF2024!)

Rôle : le SOC Grafana-natif — VM nue que l’étudiant monte à l’Acte 2.

ParamètreValeur
Machine Vagrantsoc
Hostnametaaf-soc-01
IPIP_SOC
OSUbuntu 22.04
RAM3 GB (Wazuh bonus : +4 GB)
CPU2 vCPUs

Services à monter :

  • Détection : Falco, Suricata, Zeek (capteurs), règles Sigma → LogQL
  • Alerting : Grafana Alerting → Discord
  • Bonus : Wazuh (Manager/Indexer/Dashboard) pour qui veut l’EDR-like

Accès :

Fenêtre de terminal
vagrant ssh soc
http://IP_SOC:3000 # Grafana SOC

Rôle : toolbox d’audit / Purple Team (Acte 3).

ParamètreValeur
Machine Vagrantaudit
Hostnametaaf-audit-001
IPIP_AUDIT
OSUbuntu 22.04
RAM2 GB
CPU2 vCPUs

Outils : nmap, lynis, OpenSCAP, nikto, syft, grype, hydra…

Fenêtre de terminal
vagrant ssh audit
docker exec -it taaf-audit-toolbox bash

Montée uniquement pour le TP d’intégration Windows (Acte 2).

ParamètreValeur
HostnameTAAF-AD-001
IPIP_AD
OSWindows Server 2019/2022
Domaineuniv-taaf.internal

Pour utiliser des noms plutôt que des IP, ajoutez sur les VMs Linux :

Fenêtre de terminal
sudo bash -c 'cat >> /etc/hosts <<EOF
# Infrastructure TAAF
IP_VM2 taaf-monitoring-001 cloud.univ-taaf.internal grafana.univ-taaf.internal prometheus.univ-taaf.internal
IP_SOC taaf-soc-01 soc.univ-taaf.internal
IP_AUDIT taaf-audit-001
IP_AD taaf-ad-001 ad.univ-taaf.internal
EOF'

Observabilité (Acte 1) — tout sur la VM monitoring

Section intitulée « Observabilité (Acte 1) — tout sur la VM monitoring »
PostgreSQL (postgres-af:5432)
↓ metrics
postgres-exporter
↓ scrape
Prometheus (9090)
↓ query
Grafana (3000)
Logs (app, Falco, NextCloud)
↓ collect
Alloy
↓ push
Loki (3100)
↓ query
Grafana (3000)

Tous ces services sont co-localisés sur TAAF-MONITORING-001 (réseau Docker interne) : pas de saut inter-VM pour l’observabilité.

Détection (Acte 2) — la VM SOC joint la VM monitoring

Section intitulée « Détection (Acte 2) — la VM SOC joint la VM monitoring »
Sources (Loki sur monitoring, IP_VM2:3100)
↓ datasource Loki distante
SOC Grafana (IP_SOC:3000) — règles Sigma→LogQL
↓ Grafana Alerting
Discord (webhook)

C’est ici que la connectivité inter-VM par IP est cruciale : la VM SOC doit joindre Loki de la VM monitoring (IP_VM2:3100) — jamais localhost.

SourceDestinationPortUsage
TAAF-SOC-01TAAF-MONITORING-0013100Datasource Loki (Sigma→LogQL)
TAAF-SOC-01TAAF-MONITORING-0019090Datasource Prometheus (corrélation)
TAAF-AUDIT-001TAAF-MONITORING-00122/80/5432…Scans, nmap, audit
AdministrateurTAAF-MONITORING-0013000Accès Grafana
AdministrateurTAAF-SOC-013000Accès Grafana SOC

#!/bin/bash
# test-infrastructure.sh — connectivité de base
echo "=== Test Infrastructure TAAF ==="
# VM monitoring
echo "[monitoring] TAAF-MONITORING-001..."
ping -c 2 IP_VM2 && echo "✅ accessible" || echo "❌ inaccessible"
curl -s -o /dev/null -w "%{http_code}" http://IP_VM2:3000 | grep -q "200\|302" && echo "✅ Grafana OK" || echo "❌ Grafana KO"
curl -s -o /dev/null -w "%{http_code}" http://IP_VM2:9090 | grep -q "200" && echo "✅ Prometheus OK" || echo "❌ Prometheus KO"
curl -s -o /dev/null -w "%{http_code}" http://IP_VM2:8081/status.php | grep -q "200" && echo "✅ NextCloud OK" || echo "❌ NextCloud KO"
# VM SOC (Acte 2)
echo "[soc] TAAF-SOC-01..."
ping -c 2 IP_SOC && echo "✅ accessible" || echo "❌ inaccessible"
# VM audit (Acte 3)
echo "[audit] TAAF-AUDIT-001..."
ping -c 2 IP_AUDIT && echo "✅ accessible" || echo "❌ inaccessible"
echo "=== Fin des tests ==="


Document de référence — Formation TAAF · Kodetis