Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
activite3filtrage

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
activite3filtrage [2022/10/10 23:31] – [Présentation de l'activité] techer.charles_educ-valadon-limoges.fractivite3filtrage [2024/11/03 15:58] (Version actuelle) – [Document 2 : comparaison entre une table de filtrage « papier » et une table de filtrage sur SNS] techer.charles_educ-valadon-limoges.fr
Ligne 1: Ligne 1:
-====== Mise en œuvre du filtrage ======+====== Activité : Mise en œuvre du filtrage ======
 ===== Ressources ===== ===== Ressources =====
  
Ligne 5: Ligne 5:
  
   * {{ :fiche5_configurationobjetsreseaux_sns.pdf |Fiche 5 – Configuration des objets réseaux}}   * {{ :fiche5_configurationobjetsreseaux_sns.pdf |Fiche 5 – Configuration des objets réseaux}}
 +  * {{ :fiche6_configurationnat_sns.pdf |Fiche 6 - configuration du NAT}}
   * {{ :fiche7_filtrage_protocolaire_sns.pdf |Fiche 7 – Filtrage protocolaire}}   * {{ :fiche7_filtrage_protocolaire_sns.pdf |Fiche 7 – Filtrage protocolaire}}
 ===== Présentation de l'activité ===== ===== Présentation de l'activité =====
Ligne 23: Ligne 24:
 Vous devez mettre en place des règles de règles de filtrage pour sécuriser votre infrastrcture en tenant compte des informations suivantes  : Vous devez mettre en place des règles de règles de filtrage pour sécuriser votre infrastrcture en tenant compte des informations suivantes  :
   * vous ne devez autoriser que les flux nécessaires entre les différents réseaux. Tous les autres flux doivent  être bloqués.   * vous ne devez autoriser que les flux nécessaires entre les différents réseaux. Tous les autres flux doivent  être bloqués.
-  * le serveur DNS (VLAN serveur) a l'adrese IP 192.168.228.125/26+  * le serveur DNS (VLAN serveur) a l'adresse IP 192.168.228.125/26
  
 Voici un extrait de la table de filtrage à implémenter sur votre pare-feu. Voici un extrait de la table de filtrage à implémenter sur votre pare-feu.
Ligne 35: Ligne 36:
 **Question 1 :** expliquez chacune des quatres règles puis proposer éventuellement une modification.  **Question 1 :** expliquez chacune des quatres règles puis proposer éventuellement une modification. 
  
-**Question 2 :** quelles sont les deux règles générales qui manquent ? +**Question 2 :** en vous aidant du document 3 qui explicite une liste de recommandations de l’ANSSI, indiquez quelles sont les deux règles générales qui manquent ? 
 </WRAP> </WRAP>
  
Ligne 47: Ligne 48:
  
 ==== Document 2 : comparaison entre une table de filtrage « papier » et une table de filtrage sur SNS====  ==== Document 2 : comparaison entre une table de filtrage « papier » et une table de filtrage sur SNS==== 
-Voici à titre d'exemple la **traduction** d'une **proposition** de table de filtrage et sa mise en oeuver avec le SN Stormshield+Voici à titre d'exemple la **traduction** d'une **proposition** de table de filtrage et sa mise en oeuvre avec le SNS Stormshield
 ^  N°  ^  Adresse IP Source  ^  Port S  ^  Adresse IP Destination  ^  Port D  ^  Proto  ^  Action  ^ ^  N°  ^  Adresse IP Source  ^  Port S  ^  Adresse IP Destination  ^  Port D  ^  Proto  ^  Action  ^
 |1 |  *  |  >1023  |  192.168.0.1  |  25  |  TCP  |  Autoriser  | |1 |  *  |  >1023  |  192.168.0.1  |  25  |  TCP  |  Autoriser  |
-|2  |  192.168.192.16  |  >1023  |  192.168.192.254  |  22, 443 TCP  |  Autoriser +|2  |  192.168.192.16  |  >1023  |  192.168.192.254  |  22, 443 |  TCP  |  Autoriser 
-|3  |  *  |  *  |192.168.0.254 \\ 192.168.192.16854 \\ 192.168.20.254 \\ 192.168.30.254 \\ 194.0.0.1  |  *  |  *  |  Bloquer  |+|3  |  *  |  *  |192.168.0.254 \\ 192.168.192.254 \\ 192.168.20.254 \\ 192.168.30.254 \\ 194.0.0.1  |  *  |  *  |  Bloquer  |
 |4 |  192.168.20.0/24  |  >1023  |  *  |  80, 443  |  TCP  |  Autoriser  | |4 |  192.168.20.0/24  |  >1023  |  *  |  80, 443  |  TCP  |  Autoriser  |
-|5|  192.168.20.0/24  |  >1023  |  192.168.30.1 53  |  UDP  |  Autoriser  |+|5|  192.168.20.0/24  |  >1023  |  192.168.30.1 | 53  |  UDP  |  Autoriser  |
 |6|  192.168.30.1  |  *  |  *  |  53  |  TCP/UDP  |  Autoriser  | |6|  192.168.30.1  |  *  |  *  |  53  |  TCP/UDP  |  Autoriser  |
 |7|  *  |  *  |  *  |  *  |  *  |  Bloquer  | |7|  *  |  *  |  *  |  *  |  *  |  Bloquer  |
Ligne 82: Ligne 83:
  
 ==== Propositions de modification ==== ==== Propositions de modification ====
-Proposez des modifications et améliorations à apporter aux règles de filtrage en les classant dans les 5 sections préconisées.+<WRAP center round todo> 
 +Question 4 : Proposez des modifications et améliorations à apporter aux règles de filtrage en les classant dans les 5 sections préconisées. 
 +</WRAP> 
  
-Pour cela, aidez-vous du **document 3** qui explicite une liste de recommandations de l’ANSSI que vous allez mettre en œuvre dans voter pare-feu.+Pour cela, aidez-vous du **document 3** qui explicite une liste de recommandations de l’ANSSI que vous allez mettre en œuvre dans votre pare-feu.
  
 ^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action  ^ ^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action  ^
Ligne 90: Ligne 94:
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 2 – Règles de protection du pare-feu  |||||||+|  Section 2 – Règles d’autorisation des flux émis par le pare-feu  |||||||
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 3 – Règles d’autorisation des flux métiers  |||||||+|  Section 3 – Règles de protection du pare-feu  |||||||
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 4 – Règles d’autorisation pour la DMZ  |||||||+|  Section 4 – Règles d’autorisation des flux métiers  |||||||
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 5 – Règle d’interdiction finale  ||||||| +|  Section 5 – Règles “antiparasites” (facultatif)  ||||||| 
 +| . |  .  |  .  |  .  |  .  |  .  |  .  |  
 +| . |  .  |  .  |  .  |  .  |  .  |  .  |  
 +|  Section 6 – Règle d’interdiction finale  ||||||| 
 +| . |  .  |  .  |  .  |  .  |  .  |  .  | 
  
 ==== Document 3 : extrait « des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu » publiées par l’ANSSI ====  ==== Document 3 : extrait « des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu » publiées par l’ANSSI ==== 
Ligne 169: Ligne 176:
   * Il est recommandé de renommer la politique de filtrage de production   * Il est recommandé de renommer la politique de filtrage de production
   * Il est recommandé de définir une politique de journalisation locale et une politique de journalisation centralisée   * Il est recommandé de définir une politique de journalisation locale et une politique de journalisation centralisée
- 
  
  
activite3filtrage.1665437512.txt.gz · Dernière modification : 2022/10/10 23:31 de techer.charles_educ-valadon-limoges.fr