Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : activite3filtrage
activite3filtrage

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
activite3filtrage [2025/11/11 18:52] adminactivite3filtrage [2025/11/11 19:09] (Version actuelle) – [Retour] admin
Ligne 7: Ligne 7:
   * {{ :fiche6_configurationnat_sns.pdf |Fiche 6 - configuration du NAT}}   * {{ :fiche6_configurationnat_sns.pdf |Fiche 6 - configuration du NAT}}
  
-===== Présentation de l'activité ===== +===== Présentation des objets réseaux ===== 
-Le pare-feu Stormshield utilise la notion d’**objet** qui permet par exemple de représenter un **serveur (Host)** ou un **réseau (Network)** en respectant une convention de nommage sur l’interface d’administration. Des précisions sur le objets sont données dans le **document 1**.+Le pare-feu Stormshield utilise la notion d’**objet** qui permet par exemple de représenter un **serveur (Host)**un **réseau (Network)**, une adresse IP ou un numéro de port (TPC ou UDP) en respectant une convention de nommage sur l’interface d’administration. 
  
 Sur l’interface d’administration SNS de Stormshield, la création et l’utilisation d’objets sont **indispensables** à la mise en œuvre des différentes fonctionnalités du pare-feu. Sur l’interface d’administration SNS de Stormshield, la création et l’utilisation d’objets sont **indispensables** à la mise en œuvre des différentes fonctionnalités du pare-feu.
-{{ :exercicesactivite3filtrage.odt |Exercices}} 
  
 +L’intérêt d’utiliser des objets réseaux est multiple :
 +  * une **convention de nommage** est davantage explicite qu’une adresse IP ou un numéro de port. Elle permet une **identification plus rapide** de l’information ;
 +  * en cas de **changement d’adresse IP ou de numéro de port**, il sera nécessaire de modifier uniquement l’information contenue dans l’objet et non dans l’ensemble des règles de sécurité ;
 +  * un certain nombre d’objets réseaux est **créé par défaut**. Il permet à l’administrateur de gagner du temps lors de la configuration du pare-feu.
 ==== Recommandations de l'ANSSI ==== ==== Recommandations de l'ANSSI ====
  
 +L'ANSSI  a publié des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu. Voir le **document 1**.
  
-Pour celaaidez-vous du **document 3** qui explicite une liste de recommandations de lANSSI que vous allez mettre en œuvre dans votre pare-feu.+Cela consiste à organiser les règles de filtrage en 6 sections rigoureusement ordonnéesselon un modèle de sécurité positif (tout ce qui nest pas explicitement autorisé est interdit) :
  
 ^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action  ^ ^  N°  ^  Adresse IP Source  ^  Port Source  ^  Adresse IP Destination  ^  Port Destination  ^  Proto(cole)  ^  Action  ^
Ligne 37: Ligne 41:
 | . |  .  |  .  |  .  |  .  |  .  |  .  |  | . |  .  |  .  |  .  |  .  |  .  |  .  | 
  
-==== Document : extrait « des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu » publiées par l’ANSSI ====  +==== Document : extrait « des recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu » publiées par l’ANSSI ====  
-L’organisation proposée est construite selon un modèle de sécurité positif (tout ce qui n’est pas explicitement autorisé est interdit)il est possible de la décomposer en 6 sections rigoureusement ordonnées de la façon suivante :+L’organisation proposée des règles de filtragedéfinit 6 sections rigoureusement ordonnées de la façon suivante :
  
 ^  Ordre  ^  Contenu  ^ ^  Ordre  ^  Contenu  ^
Ligne 89: Ligne 93:
   * La politique de filtrage doit être testée et passée en revue deux fois par an.   * La politique de filtrage doit être testée et passée en revue deux fois par an.
  
-==== Document : extrait « des recommandations pour la sécurisation d’un pare-feu Stormshield SNS » publiées par l’ANSSI==== +==== Document : extrait « des recommandations pour la sécurisation d’un pare-feu Stormshield SNS » publiées par l’ANSSI==== 
 === Précisions sur la gestion du réseau d’Administration === === Précisions sur la gestion du réseau d’Administration ===
 Idéalement, un équipement SNS doit être raccordé à un réseau d’administration sur une interface Ethernet dédiée (une sous-interface virtuelle peut être envisagée si aucune interface Ethernet physique n’est disponible). Il ne doit être administrable que depuis ce réseau et cette interface. La politique de filtrage doit être configurée afin de n’autoriser l’accès aux services d’administration de l’équipement (HTTPS et non SSH) qu’aux adresses IP des postes d’administration déclarées dans le groupe défini pour cet usage. Idéalement, un équipement SNS doit être raccordé à un réseau d’administration sur une interface Ethernet dédiée (une sous-interface virtuelle peut être envisagée si aucune interface Ethernet physique n’est disponible). Il ne doit être administrable que depuis ce réseau et cette interface. La politique de filtrage doit être configurée afin de n’autoriser l’accès aux services d’administration de l’équipement (HTTPS et non SSH) qu’aux adresses IP des postes d’administration déclarées dans le groupe défini pour cet usage.
Ligne 104: Ligne 108:
   * Il est recommandé de renommer la politique de filtrage de production   * Il est recommandé de renommer la politique de filtrage de production
   * Il est recommandé de définir une politique de journalisation locale et une politique de journalisation centralisée   * Il est recommandé de définir une politique de journalisation locale et une politique de journalisation centralisée
- 
- 
- 
- 
-==== Document 1 : la notion d’objets réseaux dans l’interface d’administration SNS==== 
-Les objets réseaux sont un concept très important à appréhender pour être à l’aise avec l’administration d’un pare-feu Stormshield. En effet, au lieu de déclarer un hôte, un réseau, un port sous forme d’adresse IP ou de numéro, cela passera par la création et l’utilisation d’un objet qui respectera une convention de nommage propre à chaque structure. 
- 
-L’intérêt d’utiliser des objets réseaux est multiple : 
-  * une **convention de nommage** est davantage explicite qu’une adresse IP ou un numéro de port. Elle permet une **identification plus rapide** de l’information ; 
-  * en cas de **changement d’adresse IP ou de numéro de port**, il sera nécessaire de modifier uniquement l’information contenue dans l’objet et non dans l’ensemble des règles de sécurité ; 
-  * un certain nombre d’objets réseaux est **créé par défaut**. Il permet à l’administrateur de gagner du temps lors de la configuration du pare-feu. 
  
 ===== Analyse du filtrage proposé ===== ===== Analyse du filtrage proposé =====
  
-Vous devez mettre en place des règles de règles de filtrage pour sécuriser votre infrastrcture en tenant compte des informations suivantes  :+Vous devez mettre en place des règles de règles de filtrage pour sécuriser votre infrastructure en tenant compte des informations suivantes  :
   * vous ne devez autoriser que les flux nécessaires entre les différents réseaux. Tous les autres flux doivent  être bloqués.   * vous ne devez autoriser que les flux nécessaires entre les différents réseaux. Tous les autres flux doivent  être bloqués.
   * le serveur DNS (VLAN serveur) a l'adresse IP 192.168.228.125/26   * le serveur DNS (VLAN serveur) a l'adresse IP 192.168.228.125/26
Ligne 130: Ligne 123:
  
 <WRAP center round todo> <WRAP center round todo>
-**Question 1 :** expliquez chacune des quatres règles puis proposer éventuellement une modification. +**Question 1 :** expliquez chacune des quatre règles puis proposer éventuellement une modification. 
  
 **Question 2 :** en vous aidant du document 3 qui explicite une liste de recommandations de l’ANSSI, indiquez quelles sont les deux règles générales qui manquent ?  **Question 2 :** en vous aidant du document 3 qui explicite une liste de recommandations de l’ANSSI, indiquez quelles sont les deux règles générales qui manquent ? 
Ligne 143: Ligne 136:
  
  
-==== Document : comparaison entre une table de filtrage « papier » et une table de filtrage sur SNS==== +==== Document : comparaison entre une table de filtrage « papier » et une table de filtrage sur SNS==== 
 Voici à titre d'exemple la **traduction** d'une **proposition** de table de filtrage et sa mise en oeuvre avec le SNS Stormshield Voici à titre d'exemple la **traduction** d'une **proposition** de table de filtrage et sa mise en oeuvre avec le SNS Stormshield
 ^  N°  ^  Adresse IP Source  ^  Port S  ^  Adresse IP Destination  ^  Port D  ^  Proto  ^  Action  ^ ^  N°  ^  Adresse IP Source  ^  Port S  ^  Adresse IP Destination  ^  Port D  ^  Proto  ^  Action  ^
Ligne 182: Ligne 175:
 Question 4 : Proposez des modifications et améliorations à apporter aux règles de filtrage en les classant dans les 5 sections préconisées. Question 4 : Proposez des modifications et améliorations à apporter aux règles de filtrage en les classant dans les 5 sections préconisées.
 </WRAP> </WRAP>
 +
 +
 +
 +==== Implémentation de nouveaux besoins ====
 +
 +Suite à une analyse des besoins de l’entreprise et des fonctionnalités avancées de l’appliance Stormshield, le RSSI vous demande de prendre en compte les besoins suivants.
 +
 +  * Interdire explicitement les plages d’adresses du groupe RFC 5735  provenant d’Internet.
 +  * Toutes les machines provenant d’Internet et ayant une réputation de Botnet, Malware, Scanneur, Noeud de sortie Tor, Anonymiseur ou Phishing ont interdiction d’accéder à l’interface externe du firewall.
 +  * L’ensemble des hôtes du site ont interdiction de pouvoir émettre des requêtes vers des machines sur Internet considérées comme Botnet, Malware, Scanneur, Noeud de sortie Tor, Anonymiseur ou Phishing.
  
  
activite3filtrage.1762883547.txt.gz · Dernière modification : 2025/11/11 18:52 de admin