Construire un réseau Homelab sécurisé avec des VLANs et une architecture intelligente

Le commencement : pourquoi mon Homelab nécessitait une refonte de la sécurité

Lorsque j'ai mis en place mon Homelab pour la première fois, comme la plupart des passionnés, j'ai tout branché sur le même commutateur réseau et j'en suis resté là. Mon cluster Kubernetes, mes appareils domestiques intelligents, mes serveurs multimédias et mes caméras de sécurité se trouvaient tous sur le même sous-réseau — une véritable bombe à retardement en matière de vulnérabilités. Un appareil IoT compromis aurait pu signifier un accès instantané à l'ensemble de mon réseau. C'est à ce moment-là que j'ai réalisé que je devais concevoir une meilleure architecture.

Voici l'histoire de la façon dont j'ai transformé mon réseau domestique chaotique en une infrastructure segmentée et sécurisée utilisant des VLANs (Virtual Local Area Networks) et une architecture réfléchie — tout en apprenant ce que signifie réellement concevoir pour la sécurité à la maison.

Partie 1 : Comprendre le problème - Pourquoi la segmentation du réseau est cruciale

Le cauchemar du réseau plat

Imaginez que toute votre maison soit un seul grand couloir. Le système de sécurité de la porte d'entrée, votre ordinateur personnel, le réfrigérateur intelligent de la cuisine et votre serveur contenant toutes vos photos et documents se trouvent tous dans le même couloir, sans aucun mur pour les séparer.

Si quelqu'un (ou quelque chose) compromet n'importe quel appareil de votre réseau, il a un accès direct à tout le reste. C'est exactement ce qui se produit avec un réseau plat et non segmenté.

Les risques réels : - Les appareils IoT compromis (comme une ampoule intelligente piratée) peuvent scanner et exploiter d'autres appareils - Les attaques Man-in-the-Middle (MITM) se produisent lorsque quelqu'un intercepte le trafic entre les appareils - Mouvement latéral - Un attaquant obtient l'accès à un appareil, puis pivote vers des systèmes sensibles - Exfiltration de données - Des fichiers sensibles sont volés par des malwares ou des attaquants à votre insu

La solution VLAN

Les VLANs sont comme ériger des murs dans ce couloir. Ils créent des réseaux distincts qui apparaissent comme des sous-réseaux séparés, même s'ils partagent la même infrastructure réseau physique. Considérez-le ainsi :

  • VLAN 10 (Gestion): Votre infrastructure réseau, caméras et outils d'administration - hautement restreint
  • VLAN 20 (Serveurs): Services de production comme Kubernetes, bases de données, stockage de fichiers
  • VLAN 30 (IoT/Maison Intelligente): Ampoules intelligentes, thermostats et caméras - non fiables par défaut
  • VLAN 40 (Invités): Appareils des visiteurs - complètement isolés
  • VLAN 50 (Travail/Personnel): Vos PC, ordinateurs portables et appareils de confiance

Avec les VLANs, même si quelqu'un compromet votre réseau IoT, il ne peut pas accéder directement à votre infrastructure de serveurs. Il se heurte à une règle de pare-feu au lieu d'une connexion ouverte.

Partie 2 : Mon architecture réseau - Une histoire de conception réfléchie

La fondation matérielle

Internet
   ↓
[pfSense Firewall/Router]
   ↓
[Managed Switch with VLAN Support]
   ↓
├─ VLAN 10 (Management) → Network monitoring, SSH access points
├─ VLAN 20 (Servers) → Kubernetes, databases, services
├─ VLAN 30 (IoT) → Smart home devices, restricted access
├─ VLAN 40 (Guests) → Isolated visitor network
└─ VLAN 50 (Trusted) → Personal computers, laptops

Composant clé : Le commutateur géré (Managed Switch)

Le commutateur est votre point de segmentation. Il comprend les VLANs et peut étiqueter le trafic de manière appropriée. J'utilise un commutateur qui prend en charge : - VLAN tagging (802.1Q) - Ports d'accès et de jonction (trunk) - QoS de base pour la priorisation du trafic - Configuration gérée (pas seulement plug-and-play)

Pourquoi pfSense comme pare-feu :

J'ai choisi pfSense parce que : 1. Conscient des VLANs - Il comprend l'étiquetage VLAN et peut acheminer le trafic entre eux 2. Règles de pare-feu par VLAN - Je peux créer des règles granulaires comme « IoT ne peut atteindre que le DNS et des serveurs spécifiques » 3. Open source - Transparence totale sur les règles de sécurité 4. Soutenu par la communauté - Constamment mis à jour avec des correctifs de sécurité

Partie 3 : Configuration des VLANs - L'implémentation

Étape 1 : Configurer le commutateur

Sur votre commutateur géré, vous devez :

  1. Créer des ID VLAN (non étiquetés) :

    VLAN 10 - Management (10.0.10.0/24)
VLAN 20 - Servers (10.0.20.0/24)
VLAN 30 - IoT (10.0.30.0/24)
VLAN 40 - Guests (10.0.40.0/24)
VLAN 50 - Trusted (10.0.50.0/24)

  2. Configurer les ports en accès ou en jonction (trunk) :

    • Ports d'accès (se connectent aux appareils ordinaires) :
      • Port 1 → VLAN 30 (Appareil IoT)
      • Port 2 → VLAN 50 (Votre ordinateur portable)
      • Port 3 → VLAN 40 (Point d'accès WiFi Invité)
    • Ports de jonction (trunk) (se connectent à d'autres commutateurs/pare-feu) :
      • Port 24 → Se connecte à pfSense (transporte tous les VLANs)

  3. Définir le VLAN 1 comme natif (le trafic non étiqueté utilise par défaut le VLAN 1)

Étape 2 : Configurer pfSense pour le routage VLAN

Dans pfSense, créez des interfaces virtuelles pour chaque VLAN :

Interfaces → Assignments
- VLAN 10 (em0.10) → OPT1 (Management)
- VLAN 20 (em0.20) → OPT2 (Servers)
- VLAN 30 (em0.30) → OPT3 (IoT)
- VLAN 40 (em0.40) → OPT4 (Guests)
- VLAN 50 (em0.50) → OPT5 (Trusted)

Attribuez des adresses IP à chaque interface :

Management:  10.0.10.1/24
Servers:     10.0.20.1/24
IoT:         10.0.30.1/24
Guests:      10.0.40.1/24
Trusted:     10.0.50.1/24

Étape 3 : Créer des règles de pare-feu

Maintenant, place à la magie — les règles qui appliquent réellement la sécurité :

Règles VLAN IoT (les plus restrictives) :

- Allow: IoT → DNS (53)
- Allow: IoT → NTP (123)
- Allow: IoT → Specific server (e.g., Home Assistant on VLAN 50)
- Deny: IoT → Any other network (default)
- Deny: IoT → Internet (no direct outbound)

Règles VLAN Serveur :

- Allow: Servers ↔ Servers (internal communication)
- Allow: Servers → Internet (managed outbound)
- Allow: Trusted → Servers (selective access)
- Deny: IoT → Servers (complete isolation)

Règles VLAN de Confiance :

- Allow: Trusted → All VLANs (user devices need flexibility)
- Allow: Trusted → Internet
- Deny: Untrusted → Trusted

Règles VLAN Invité :

- Allow: Guests → Internet only
- Allow: Guests → Public services (e.g., Plex, HomeAssistant)
- Deny: Guests → Any internal network

Partie 4 : Les avantages de sécurité que j'ai réalisés

Protection en situation réelle

Après avoir implémenté cette architecture, voici ce qui a changé :

  1. Réduction de la surface d'attaque: Même si ma caméra de sécurité est compromise, elle reste piégée dans le VLAN 30. Elle ne peut pas atteindre mes données de serveur, mon ordinateur portable de travail ou mes fichiers personnels.

  2. Prêt pour la conformité: Si jamais je dois réussir des audits de sécurité, je dispose d'une segmentation réseau documentée.

  3. Isolation des services: Les pannes de mon cluster Kubernetes n'affectent pas les appareils IoT. Une application mal configurée dans le VLAN 20 ne perturbe pas l'automatisation de la maison intelligente dans le VLAN 30.

  4. Visibilité: Les journaux pfSense me montrent exactement qui communique avec qui. Un appareil IoT suspect tentant d'atteindre des réseaux internes est immédiatement enregistré.

  5. Confiance envers les invités: Je peux fournir le WiFi aux invités (VLAN 40) sans craindre qu'ils ne tombent sur mes données de serveur.

Partie 5 : Techniques avancées et leçons apprises

Saut de VLAN (VLAN Hopping) - Une menace réelle contre laquelle je me suis défendu

Lorsque j'ai configuré les VLANs pour la première fois, je pensais que les règles de pare-feu suffiraient à me protéger. Faux. Un attaquant pourrait potentiellement « sauter » entre les VLANs en utilisant : - Double étiquetage 802.1Q: Envoi de paquets spécialement conçus - Exploitation de commutateur: ACLs de commutateur mal configurées

Ma défense : 1. Maintenir tous les firmwares de commutateur à jour 2. Désactiver les ports inutilisés (configurés en mode accès sur un VLAN inactif) 3. Protéger l'accès de gestion avec des identifiants forts 4. Mettre en œuvre le DHCP snooping et l'inspection ARP 5. Audits de sécurité réguliers des configurations VLAN

Intégration WiFi - Relier le physique et le sans fil

Mes points d'accès WiFi se trouvent dans le VLAN 40 (Invités), VLAN 50 (Personnel) et VLAN 30 (IoT). Chaque SSID est configuré pour étiqueter le trafic de manière appropriée :

SSID "HomeNetwork" → Tagged VLAN 50 (WPA3, strong password)
SSID "IoT-Devices" → Tagged VLAN 30 (WPA2, unique password)
SSID "Guests" → Tagged VLAN 40 (WPA2, shared password)

Le point d'accès n'a pas besoin de comprendre profondément les VLANs — il doit juste étiqueter le trafic avec le bon ID VLAN en fonction du SSID auquel l'appareil se connecte.

Surveillance et journalisation

J'ai configuré la surveillance des tables d'état de pfSense :

# Monitor active connections
pfctl -s states

# View firewall logs
tail -f /var/log/filter.log

# Count traffic between VLANs
tcpdump -i em0 vlan 10 and vlan 30

Les modèles suspects que je surveille : - Appareils IoT initiant des connexions aux serveurs (ils ne devraient que répondre aux requêtes) - Transferts de données importants depuis des réseaux de confiance - Connexions à des ports inhabituels - Tout trafic des invités vers des réseaux internes

Partie 6 : Coût et considérations pratiques

Exigences matérielles

Ce dont vous aurez besoin : - Commutateur géré avec support VLAN : 200 à 600 USD selon le nombre de ports - Matériel compatible pfSense : 150 à 400 USD (ou réutilisation d'un ancien PC) - Points d'accès WiFi avec étiquetage VLAN : 100 à 300 USD par PA (UniFi, TP-Link Omada)

Facultatif mais recommandé : - Outil de surveillance réseau (Zabbix, Prometheus) - Serveur de journalisation dédié - Système de détection d'intrusion (Suricata)

Compromis entre complexité et sécurité

Les VLANs ajoutent une certaine complexité, mais elle est gérable : - La configuration initiale prend 4 à 8 heures - Gestion mensuelle : 30 minutes - Dépannage : Les VLANs sont parfois tenus responsables de problèmes qui se trouvent en réalité ailleurs (j'en ai fait l'expérience)

Partie 7 : Leçons que j'aurais aimé connaître plus tôt

  1. Documentez tout - Conservez un schéma des ID VLAN, des plages IP et des règles de pare-feu. Votre futur vous remerciera.

  2. Commencez simple, développez progressivement - Ne créez pas 20 VLANs le premier jour. Commencez avec 3-4 et ajoutez-en au besoin.

  3. Testez les règles avant de les appliquer - Configurez d'abord la journalisation, puis passez progressivement de « Tout autoriser » à « Tout refuser sauf... »

  4. Le VLAN 1 est spécial - Gardez-le inutilisé ou utilisé uniquement pour la gestion. N'y placez pas d'appareils de production.

  5. L'accès au VLAN de gestion est critique - Si vous vous enfermez hors de votre VLAN de gestion, vous aurez besoin d'un accès physique pour récupérer. J'ai appris cela à mes dépens.

  6. Tous les appareils ne supportent pas bien les VLANs - Certains appareils IoT plus anciens ne comprennent pas l'étiquetage VLAN. Maintenez un réseau de secours non segmenté pour les appareils hérités si nécessaire.

Conclusion : Du chaos à l'architecture

Ce qui a commencé comme un réseau plat où tout était connecté à un seul commutateur s'est transformé en une infrastructure segmentée de manière réfléchie. Chaque appareil vit désormais dans son propre quartier avec des règles claires sur qui peut rendre visite à qui.

L'amélioration de la sécurité est significative. La complexité opérationnelle ? En réalité minimale une fois que vous comprenez les concepts.

Si vous construisez un Homelab aujourd'hui, je vous recommande fortement de commencer par la segmentation VLAN dès le premier jour. C'est comme construire avec des murs dès le départ au lieu d'essayer de les ajouter plus tard.

Cette architecture ne concerne pas seulement la sécurité — il s'agit d'avoir confiance en votre réseau. Lorsque vous comprenez le flux de trafic et que vous avez des règles explicites pour chaque segment, vous pouvez vous détendre en sachant qu'un appareil IoT compromis ne constitue pas une menace pour l'ensemble de votre infrastructure.

Référence rapide : Ma configuration finale

┌─────────────────────────────────────────────────────────┐
│                  HOMELAB NETWORK DESIGN                 │
├─────────────────────────────────────────────────────────┤
│ VLAN 10: Management    (10.0.10.0/24) - CRITICAL        │
│ VLAN 20: Servers       (10.0.20.0/24) - CORE SERVICES   │
│ VLAN 30: IoT/Smart     (10.0.30.0/24) - UNTRUSTED       │
│ VLAN 40: Guests        (10.0.40.0/24) - ISOLATED        │
│ VLAN 50: Trusted/Work  (10.0.50.0/24) - PERSONAL        │
└─────────────────────────────────────────────────────────┘

Traffic Rules (Default: DENY)
├─ Trusted ↔ All (flexible access)
├─ Servers ↔ Servers + controlled access
├─ Management → All (admin access)
├─ IoT → DNS, NTP, specific services only
└─ Guests → Internet only

Construisez intelligemment. Segmentez intentionnellement. Dormez tranquille en sachant que votre réseau est sécurisé.