Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : activite3filtrage azureadsso
activite3filtrage

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
activite3filtrage [2023/09/28 17:03] techer.charles_educ-valadon-limoges.fractivite3filtrage [2025/11/11 19:09] (Version actuelle) – [Retour] admin
Ligne 6: Ligne 6:
   * {{ :fiche5_configurationobjetsreseaux_sns.pdf |Fiche 5 – Configuration des objets réseaux}}   * {{ :fiche5_configurationobjetsreseaux_sns.pdf |Fiche 5 – Configuration des objets réseaux}}
   * {{ :fiche6_configurationnat_sns.pdf |Fiche 6 - configuration du NAT}}   * {{ :fiche6_configurationnat_sns.pdf |Fiche 6 - configuration du NAT}}
-  * {{ :fiche7_filtrage_protocolaire_sns.pdf |Fiche 7 – Filtrage protocolaire}} + 
-===== Présentation de l'activité ===== +===== Présentation des objets réseaux ===== 
-Le pare-feu Stormshield utilise la notion d’**objet** qui permet par exemple de représenter un **serveur (Host)** ou un **réseau (Network)** en respectant une convention de nommage sur l’interface d’administration. Des précisions sur le objets sont données dans le **document 1**.+Le pare-feu Stormshield utilise la notion d’**objet** qui permet par exemple de représenter un **serveur (Host)**un **réseau (Network)**, une adresse IP ou un numéro de port (TPC ou UDP) en respectant une convention de nommage sur l’interface d’administration. 
  
 Sur l’interface d’administration SNS de Stormshield, la création et l’utilisation d’objets sont **indispensables** à la mise en œuvre des différentes fonctionnalités du pare-feu. Sur l’interface d’administration SNS de Stormshield, la création et l’utilisation d’objets sont **indispensables** à la mise en œuvre des différentes fonctionnalités du pare-feu.
-{{ :exercicesactivite3filtrage.odt |Exercices}} 
-==== Document 1 : la notion d’objets réseaux dans l’interface d’administration SNS==== 
-Les objets réseaux sont un concept très important à appréhender pour être à l’aise avec l’administration d’un pare-feu Stormshield. En effet, au lieu de déclarer un hôte, un réseau, un port sous forme d’adresse IP ou de numéro, cela passera par la création et l’utilisation d’un objet qui respectera une convention de nommage propre à chaque structure. 
  
 L’intérêt d’utiliser des objets réseaux est multiple : L’intérêt d’utiliser des objets réseaux est multiple :
Ligne 19: Ligne 16:
   * en cas de **changement d’adresse IP ou de numéro de port**, il sera nécessaire de modifier uniquement l’information contenue dans l’objet et non dans l’ensemble des règles de sécurité ;   * en cas de **changement d’adresse IP ou de numéro de port**, il sera nécessaire de modifier uniquement l’information contenue dans l’objet et non dans l’ensemble des règles de sécurité ;
   * un certain nombre d’objets réseaux est **créé par défaut**. Il permet à l’administrateur de gagner du temps lors de la configuration du pare-feu.   * un certain nombre d’objets réseaux est **créé par défaut**. Il permet à l’administrateur de gagner du temps lors de la configuration du pare-feu.
 +==== Recommandations de l'ANSSI ====
  
-===== Analyse du filtrage proposé =====+L'ANSSI  a publié des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu. Voir le **document 1**.
  
-Vous devez mettre en place des règles de règles de filtrage pour sécuriser votre infrastrcture en tenant compte des informations suivantes +Cela consiste à organiser les règles de filtrage en 6 sections rigoureusement ordonnéesselon un modèle de sécurité positif (tout ce qui n’est pas explicitement autorisé est interdit) :
-  * vous ne devez autoriser que les flux nécessaires entre les différents réseaux. Tous les autres flux doivent  être bloqués. +
-  * le serveur DNS (VLAN serveur) a l'adresse IP 192.168.228.125/26 +
- +
-Voici un extrait de la table de filtrage à implémenter sur votre pare-feu. +
-^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action +
-|1 |  *  |  >1023  |  192.168.228.125  |  *  |  *  |  Autoriser +
-|2 |  adresse réseau Wifi  |  >1023  |  adresse réseau serveurs  |  *  |  *  |  Autoriser +
-|3 |  adresse réseau utilisateur  |  >1023  |  *  |  22, 80, 443  |  TCP  |  Autoriser +
-|4 |  adresse réseau utilisateur  |  >1023  |  *  |  53  |  UDP  |  Autoriser +
- +
-<WRAP center round todo> +
-**Question 1 :** expliquez chacune des quatres règles puis proposer éventuellement une modification.  +
- +
-**Question 2 :** quelles sont les deux règles générales qui manquent ?  +
-</WRAP> +
- +
- +
-Le **document 2** compare une table de filtrage « papier » et une table de filtrage sur SNS. +
-<WRAP center round todo> +
-**Question 3 :** quel est, selon vous, l'intérêt de la règle 3 ?  +
-</WRAP> +
- +
- +
- +
-==== Document 2 : comparaison entre une table de filtrage « papier » et une table de filtrage sur SNS====  +
-Voici à titre d'exemple la **traduction** d'une **proposition** de table de filtrage et sa mise en oeuver avec le SNS Stormshield +
-^  N°  ^  Adresse IP Source  ^  Port S  ^  Adresse IP Destination  ^  Port D  ^  Proto  ^  Action +
-|1 |  *  |  >1023  |  192.168.0.1  |  25  |  TCP  |  Autoriser +
-|2  |  192.168.192.16  |  >1023  |  192.168.192.254  |  22, 443 |  TCP  |  Autoriser +
-|3  |  *  |  *  |192.168.0.254 \\ 192.168.192.254 \\ 192.168.20.254 \\ 192.168.30.254 \\ 194.0.0.1  |  *  |  *  |  Bloquer +
-|4 |  192.168.20.0/24  |  >1023  |  *  |  80, 443  |  TCP  |  Autoriser +
-|5|  192.168.20.0/24  |  >1023  |  192.168.30.1 | 53  |  UDP  |  Autoriser +
-|6|  192.168.30.1  |  *  |  *  |  53  |  TCP/UDP  |  Autoriser +
-|7|  *  |  *  |  *  |  *  |  *  |  Bloquer +
- +
-Cette table de filtrage est celle d’un pare-feu « stateful » ainsi les règles correspondantes à des réponses à une connexion préalablement établie et autorisée sont implicites. Le filtrage se fait ici uniquement en entrée. +
- +
-Légende aidant à la compréhension du tableau suivant : +
-  * VLAN 10 Administration = 192.168.10.0/24 +
-  * VLAN 20 Production = 192.168.20.0/24 +
-  * VLAN 30 Serveurs = 192.168.30.0/24 +
-  * DMZ = 192.168.0.0/24 +
-  * PC d’administration = 192.168.192.16/32 +
-  * Serveur DNS récursif = 192.168.30.1/32 +
-  * Serveur Mail en DMZ = 192.168.0.1/32 +
-  * Interfaces du pare-feu = 192.168.0.254192.168.192.254, 192.168.20.254, 192.168.30.254, 194.0.0.1 +
-  * N’importe quelles adresses IP = * (Any, Toutes ou 0.0.0.0/0) +
-  * SSH = port 22/TCP, SMTP = port 25/TCP, DNS = port 53, HTTP = port 80/TCP, HTTPS = port 443/TCP, Tous les ports = *, Ports clients = >1023. +
- +
- +
-Stormshield permet d’organiser les règles de filtrage à l’aide de séparateurs colorés afin de gagner en lisibilité. Il est également possible de donner un nom à chaque règle. Pour cela, il suffit de demander à afficher la colonne « nom » dans la table de filtrage. +
- +
-{{ :sns_01.png |}} +
- +
-  * Le serveur mail disposant dune adresse IP privée, son accès depuis l’extérieur se fait par l’interface externe du pare-feu. La première règle combine à la fois une autorisation au niveau du filtrage et une redirection de port. +
-  * L’objet Internet correspond à toutes les adresses IP différentes des adresses IP internes alors que l’objet Any englobe absolument toutes les adresses IP. +
-  * L’objet Firewall_all est un groupe contenant l’ensemble des interfaces du pare-feu. +
-  * Les ports sources ne sont, par défaut, pas représentés. Il est toutefois possible de forcer l’utilisation d’une plage de ports particulière si on le souhaite. +
- +
-==== Propositions de modification ==== +
-<WRAP center round todo> +
-Question 4 Proposez des modifications et améliorations à apporter aux règles de filtrage en les classant dans les 5 sections préconisées. +
-</WRAP> +
- +
- +
-Pour cela, aidez-vous du **document 3** qui explicite une liste de recommandations de l’ANSSI que vous allez mettre en œuvre dans votre pare-feu.+
  
 ^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action  ^ ^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action  ^
Ligne 94: Ligne 26:
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 2 – Règles de protection du pare-feu  |||||||+|  Section 2 – Règles d’autorisation des flux émis par le pare-feu  |||||||
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 3 – Règles d’autorisation des flux métiers  |||||||+|  Section 3 – Règles de protection du pare-feu  |||||||
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 4 – Règles d’autorisation pour la DMZ  |||||||+|  Section 4 – Règles d’autorisation des flux métiers  |||||||
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
-|  Section 5 – Règle d’interdiction finale  ||||||| +|  Section 5 – Règles “antiparasites” (facultatif)  ||||||| 
 +| . |  .  |  .  |  .  |  .  |  .  |  .  |  
 +| . |  .  |  .  |  .  |  .  |  .  |  .  |  
 +|  Section 6 – Règle d’interdiction finale  ||||||| 
 +| . |  .  |  .  |  .  |  .  |  .  |  .  | 
  
-==== Document : extrait « des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu » publiées par l’ANSSI ====  +==== Document : extrait « des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu » publiées par l’ANSSI ====  
-L’organisation proposée est construite selon un modèle de sécurité positif (tout ce qui n’est pas explicitement autorisé est interdit)il est possible de la décomposer en 6 sections rigoureusement ordonnées de la façon suivante :+L’organisation proposée des règles de filtragedéfinit 6 sections rigoureusement ordonnées de la façon suivante :
  
 ^  Ordre  ^  Contenu  ^ ^  Ordre  ^  Contenu  ^
Ligne 158: Ligne 93:
   * La politique de filtrage doit être testée et passée en revue deux fois par an.   * La politique de filtrage doit être testée et passée en revue deux fois par an.
  
-==== Document : extrait « des recommandations pour la sécurisation d’un pare-feu Stormshield SNS » publiées par l’ANSSI==== +==== Document : extrait « des recommandations pour la sécurisation d’un pare-feu Stormshield SNS » publiées par l’ANSSI==== 
 === Précisions sur la gestion du réseau d’Administration === === Précisions sur la gestion du réseau d’Administration ===
 Idéalement, un équipement SNS doit être raccordé à un réseau d’administration sur une interface Ethernet dédiée (une sous-interface virtuelle peut être envisagée si aucune interface Ethernet physique n’est disponible). Il ne doit être administrable que depuis ce réseau et cette interface. La politique de filtrage doit être configurée afin de n’autoriser l’accès aux services d’administration de l’équipement (HTTPS et non SSH) qu’aux adresses IP des postes d’administration déclarées dans le groupe défini pour cet usage. Idéalement, un équipement SNS doit être raccordé à un réseau d’administration sur une interface Ethernet dédiée (une sous-interface virtuelle peut être envisagée si aucune interface Ethernet physique n’est disponible). Il ne doit être administrable que depuis ce réseau et cette interface. La politique de filtrage doit être configurée afin de n’autoriser l’accès aux services d’administration de l’équipement (HTTPS et non SSH) qu’aux adresses IP des postes d’administration déclarées dans le groupe défini pour cet usage.
Ligne 174: Ligne 109:
   * Il est recommandé de définir une politique de journalisation locale et une politique de journalisation centralisée   * Il est recommandé de définir une politique de journalisation locale et une politique de journalisation centralisée
  
 +===== Analyse du filtrage proposé =====
 +
 +Vous devez mettre en place des règles de règles de filtrage pour sécuriser votre infrastructure en tenant compte des informations suivantes  :
 +  * vous ne devez autoriser que les flux nécessaires entre les différents réseaux. Tous les autres flux doivent  être bloqués.
 +  * le serveur DNS (VLAN serveur) a l'adresse IP 192.168.228.125/26
 +
 +Voici un extrait de la table de filtrage à implémenter sur votre pare-feu.
 +^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action  ^
 +|1 |  *  |  >1023  |  192.168.228.125  |  *  |  *  |  Autoriser  |
 +|2 |  adresse réseau Wifi  |  >1023  |  adresse réseau serveurs  |  *  |  *  |  Autoriser  |
 +|3 |  adresse réseau utilisateur  |  >1023  |  *  |  22, 80, 443  |  TCP  |  Autoriser  |
 +|4 |  adresse réseau utilisateur  |  >1023  |  *  |  53  |  UDP  |  Autoriser  |
 +
 +<WRAP center round todo>
 +**Question 1 :** expliquez chacune des quatre règles puis proposer éventuellement une modification. 
 +
 +**Question 2 :** en vous aidant du document 3 qui explicite une liste de recommandations de l’ANSSI, indiquez quelles sont les deux règles générales qui manquent ? 
 +</WRAP>
 +
 +
 +Le **document 2** compare une table de filtrage « papier » et une table de filtrage sur SNS.
 +<WRAP center round todo>
 +**Question 3 :** quel est, selon vous, l'intérêt de la règle 3 ? 
 +</WRAP>
 +
 +
 +
 +==== Document 3 : comparaison entre une table de filtrage « papier » et une table de filtrage sur SNS==== 
 +Voici à titre d'exemple la **traduction** d'une **proposition** de table de filtrage et sa mise en oeuvre avec le SNS Stormshield
 +^  N°  ^  Adresse IP Source  ^  Port S  ^  Adresse IP Destination  ^  Port D  ^  Proto  ^  Action  ^
 +|1 |  *  |  >1023  |  192.168.0.1  |  25  |  TCP  |  Autoriser  |
 +|2  |  192.168.192.16  |  >1023  |  192.168.192.254  |  22, 443 |  TCP  |  Autoriser  |
 +|3  |  *  |  *  |192.168.0.254 \\ 192.168.192.254 \\ 192.168.20.254 \\ 192.168.30.254 \\ 194.0.0.1  |  *  |  *  |  Bloquer  |
 +|4 |  192.168.20.0/24  |  >1023  |  *  |  80, 443  |  TCP  |  Autoriser  |
 +|5|  192.168.20.0/24  |  >1023  |  192.168.30.1 | 53  |  UDP  |  Autoriser  |
 +|6|  192.168.30.1  |  *  |  *  |  53  |  TCP/UDP  |  Autoriser  |
 +|7|  *  |  *  |  *  |  *  |  *  |  Bloquer  |
 +
 +Cette table de filtrage est celle d’un pare-feu « stateful » ainsi les règles correspondantes à des réponses à une connexion préalablement établie et autorisée sont implicites. Le filtrage se fait ici uniquement en entrée.
 +
 +Légende aidant à la compréhension du tableau suivant :
 +  * VLAN 10 Administration = 192.168.10.0/24
 +  * VLAN 20 Production = 192.168.20.0/24
 +  * VLAN 30 Serveurs = 192.168.30.0/24
 +  * DMZ = 192.168.0.0/24
 +  * PC d’administration = 192.168.192.16/32
 +  * Serveur DNS récursif = 192.168.30.1/32
 +  * Serveur Mail en DMZ = 192.168.0.1/32
 +  * Interfaces du pare-feu = 192.168.0.254, 192.168.192.254, 192.168.20.254, 192.168.30.254, 194.0.0.1
 +  * N’importe quelles adresses IP = * (Any, Toutes ou 0.0.0.0/0)
 +  * SSH = port 22/TCP, SMTP = port 25/TCP, DNS = port 53, HTTP = port 80/TCP, HTTPS = port 443/TCP, Tous les ports = *, Ports clients = >1023.
 +
 +
 +Stormshield permet d’organiser les règles de filtrage à l’aide de séparateurs colorés afin de gagner en lisibilité. Il est également possible de donner un nom à chaque règle. Pour cela, il suffit de demander à afficher la colonne « nom » dans la table de filtrage.
 +
 +{{ :sns_01.png |}}
 +
 +  * Le serveur mail disposant d’une adresse IP privée, son accès depuis l’extérieur se fait par l’interface externe du pare-feu. La première règle combine à la fois une autorisation au niveau du filtrage et une redirection de port.
 +  * L’objet Internet correspond à toutes les adresses IP différentes des adresses IP internes alors que l’objet Any englobe absolument toutes les adresses IP.
 +  * L’objet Firewall_all est un groupe contenant l’ensemble des interfaces du pare-feu.
 +  * Les ports sources ne sont, par défaut, pas représentés. Il est toutefois possible de forcer l’utilisation d’une plage de ports particulière si on le souhaite.
 +
 +==== Propositions de modification ====
 +<WRAP center round todo>
 +Question 4 : Proposez des modifications et améliorations à apporter aux règles de filtrage en les classant dans les 5 sections préconisées.
 +</WRAP>
 +
 +
 +
 +==== Implémentation de nouveaux besoins ====
 +
 +Suite à une analyse des besoins de l’entreprise et des fonctionnalités avancées de l’appliance Stormshield, le RSSI vous demande de prendre en compte les besoins suivants.
 +
 +  * Interdire explicitement les plages d’adresses du groupe RFC 5735  provenant d’Internet.
 +  * Toutes les machines provenant d’Internet et ayant une réputation de Botnet, Malware, Scanneur, Noeud de sortie Tor, Anonymiseur ou Phishing ont interdiction d’accéder à l’interface externe du firewall.
 +  * L’ensemble des hôtes du site ont interdiction de pouvoir émettre des requêtes vers des machines sur Internet considérées comme Botnet, Malware, Scanneur, Noeud de sortie Tor, Anonymiseur ou Phishing.
  
  
activite3filtrage.1695913389.txt.gz · Dernière modification : 2023/09/28 17:03 de techer.charles_educ-valadon-limoges.fr