Project Oxygen & Ideo-LabIDEO LAB Dashboard 2026
← Retour au PortFolio Réseau / Sécurité / CDN • Ingénieur Réseau / Sécurité

Durcissement Nginx + IAM + WAF + GeoIP2

NorthByte Analytics — Canada
Difficulté : Ultra complexe

Durcissement Nginx & Sécurité Avancée — IAM, WAF, GeoIP2 & Anti-Bots pour Plateforme Critique

NorthByte Analytics — Canada — Réseau / Sécurité / CDN

Période : 01/02/2024 → 30/11/2024 Rôle : Architecte Sécurité & Ingénieur Systèmes — responsable de : - Durcissement Linux (kernel, sysctl, firewalld, fail2ban custom) - Refonte complète de la stack Nginx (TLS 1.3 strict + OCSP) - Mise en place d’un WAF interne (rulesets IDEO-Lab) - Intégration IAM (JWT + certificats mTLS) - Blocage GeoIP2 performant (MaxMind + maps Nginx) - Séparation réseau + segmentation verticale (backends protégés) - Observabilité sécurité (Grafana + Loki + QueryWorkbench) - Scripts anti-bots + règles dynamiques - Tests sécurité + Red Hunting interne Métier : Ingénieur Réseau / Sécurité Type : Sécurité / durcissement Confidentialité : Semi-public (détails partiels)
Contexte du projet

Mission / objectif : Déployer un système de défense avancé Nginx + IAM interne + WAF custom + blocage GeoIP2 pour sécuriser une plateforme critique exposée à des attaques continues (bots, scans, crawlers frauduleux, brute force, DDoS léger).

SafeTech gère une plateforme critique utilisée par plusieurs gouvernements européens. Le trafic entrant comprend :
- attaques automatisées (scanners, bots, scrapers)
- tentatives d’accès admin depuis l’étranger
- DDoS léger mais constant (~4–7k req/sec)
- contournements d’IAM et de certificats clients.

L’ancienne stack Nginx n’était pas suffisamment durcie (TLS partiel, vhosts peu isolés, pas de WAF interne, logs incomplets, GeoIP obsolète). L’objectif : mettre en place une solution robuste, 100% contrôlée, sans Cloudflare (imposé par la confidentialité).

Méthodologie & organisation :

- Audit initial : Nginx, TLS, réseau, IAM, journaux
- Benchmarks de charge (wrk + vegeta) selon profils d’attaque
- Sprint de durcissement / sprint de validation
- Mise en place d’environnements jumeaux (preprod ≈ prod)
- Tests d’intrusion internes + revues Purple Team
- CI/CD pour déployer les configs Nginx sans downtime
- Validation conjointe avec l’équipe juridique (RGPD + logs)

Livrables principaux :

- Stack Nginx durcie (TLS 1.3 only, HSTS, OCSP stapling)
- WAF interne (80+ règles : scanners, bots, injections, exploit patterns)
- IAM interne : mTLS + JWT + rotation automatique + RBAC
- GeoIP2 blocking (pays listés + zones à risque + Tor exit nodes)
- Rate limiting avancé (par pays, par route, par user-agent, par cookie session)
- Système anti-bots heuristique (analyse timing + entropie UA + JS token)
- Séparation front/back via upstream isolés + firewall L4
- Dashboards sécurité (Grafana + Loki + filtres per-country)
- Scripts automation pour maj GeoIP2, renouvellement TLS, redémarrages propres Nginx
- Documentation & Playbooks (incident, panic mode, recovery)

Difficultés & enjeux

- Très fort volume d’attaques en continu (+200k évènements/jour)
- Attaques ciblant spécifiquement des endpoints sensibles (/admin, /auth)
- Besoin d’un WAF interne (pas de Cloudflare, pas de service externe autorisé)
- Gestion simultanée des exigences RGPD (cercles de logs, anonymisation IP)
- Support d’un IAM hybride (JWT + certificats clients mTLS)
- Système de mise à jour GeoIP2 totalement offline
- Impératif : 0 downtime (contraintes gouvernementales)

Solutions & architecture

- Nginx renforcé : worker_processes auto, reuseport, epoll, caching OCSP
- TLS 1.3 Strict + cipher suite restrictive + anti-protocol downgrade
- Reverse proxy avec isolation complète des upstreams + headers HIDS
- WAF interne basé sur :
• matching RegEx haute performance
• heuristiques sur longueurs d’URI / payload
• détection de robots via timing + signatures UA
- IAM : JWT RS256 + certificats mTLS (double validation)
- GeoIP2 : blocage par pays, VPN connus, TOR exit nodes, ranges AS
- Rate limiting dynamique : burst scaling, penalty box, deny +444
- Journaux structurés → Loki (format JSON enrichi)
- Détection d’anomalies via PromQL (pics par pays, UA suspects)
- Scripts Python pour monitoring des patterns d’attaque
- Systeme de 'Panic Mode' (verrou global admin en cas d'attaque L7 massive)

Résultats & impact

- Réduction de 92% des requêtes malveillantes atteignant l’app backend
- Latence globale réduite de 15% malgré les règles WAF (optimisation Nginx)
- Plus aucun accès admin depuis l’étranger (GeoIP2 + IAM)
- Diminution de 80% du trafic bots (UA heuristiques + JS-token challenge)
- Détection automatique de scans (+26 incidents bloqués/semaine)
- Aucun incident en production depuis le déploiement
- Conformité RGPD sécurisée (anonymisation IP dynamique)
- Observabilité temps réel : 1 tableau de bord = 100% de visibilité des attaques

Stack technique & outillage
Stack principale

Outillage, CI/CD, monitoring

Infos complémentaires

Type de projet : Sécurité / durcissement

Tags techniques :
Anti-Bots GeoIP2 IAM JWT Loki mTLS Nginx Prometheus Rate Limiting Reverse Proxy Security Terraform TLS 1.3 WAF

Sécurité & durcissement :

- HSTS 2 ans + preload
- CSP stricte + X-Frame-Options Deny
- Tuning Kernel (net.core + fs.file-max + rp_filter strict)
- mTLS obligatoire pour les endpoints admin
- Sécurité IAM basée sur rotation RSA + JWK
- Fail2ban sur logs structurés (Loki stream)
- Blocage TOR, botnets connus, ranges ASN à risque
- Scripts Python pour détection patterns scanners SQL/XSS
- PANIC MODE activable via API interne pour filtrage pays limité à {CH,FR,DE}

Notes d’architecture :

- Front Nginx (WAF + GeoIP + TLS) → Backend Python Django isolé
- Séparation réseau admin/public (segmentation L3)
- 2 reverse proxies actifs/actifs + réplication configs
- Logs centralisés JSON → Loki (multi-tenant)
- Terraform gère réseau + règles firewall + MàJ certs
- Rate limiter Redis + penalty box (délais + bannissements progressifs)

Publication : Visible sur le site public IDEO-Lab

Portfolio IDEO-Lab — Projets réalisés (DBA, DevOps, Fullstack, IA, Cloud, Réseau…)