Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Dernière révision Les deux révisions suivantes | ||
activite4filtrage [2022/11/06 17:23] techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers] |
activite4filtrage [2023/10/08 22:36] techer.charles_educ-valadon-limoges.fr [Section 1 – Règles d’autorisation des flux à destination du pare-feu] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Mise en œuvre du filtrage pour le contexte | + | ====== Mise en œuvre du filtrage pour le contexte ====== |
Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | ||
===== Evolution de votre infrastructure | ===== Evolution de votre infrastructure | ||
- | Vous devez placer dans le VLAN Serveurs | + | Vous devez placer dans la DMZ : |
- | * votre serveur Web GLPI | + | |
* votre serveur DNS | * votre serveur DNS | ||
- | Pour cela respectez le plan d' | + | * voter serveur Web |
+ | |||
+ | Vous devez placer dans le VLAN Serveurs : | ||
+ | * votre résolveur DNS | ||
+ | Pour cela respectez le plan d' | ||
Lien : [[https:// | Lien : [[https:// | ||
Ligne 14: | Ligne 17: | ||
<WRAP center round todo> | <WRAP center round todo> | ||
+ | * **Placez** votre résolveurDNS dans le VLAN Serveurs ; | ||
* **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | * **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | ||
- | * **Modifiez** leur configuration IP | + | * **Modifiez/verrifiez** leur configuration IP |
* **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | * **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | ||
</ | </ | ||
Ligne 22: | Ligne 26: | ||
La mise en oeuvre de votre politique de filtrage doit s' | La mise en oeuvre de votre politique de filtrage doit s' | ||
- | ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | + | Complétez ce document |
- | * un seul client doit pouvoir administrer le pare-feu depuis l' | + | |
+ | ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | ||
+ | * autoriser les flux d' | ||
+ | * **autorisez** les flux vers : | ||
+ | * le serveur **Web** (http 80 en TCP) avec une **redirection de port**, | ||
+ | * le serveur **DNS** (dns 53 en UDP) avec une **redirection de port**. | ||
+ | * Pour des tests, les utilisateurs des autres réseaux sont autorisés à **pinger** l’interface externe de votre SNS ; cet événement devra lever une alarme mineure. | ||
==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ||
Pour l' | Pour l' | ||
==== Section n°3 Règle de protection du pare-feu ==== | ==== Section n°3 Règle de protection du pare-feu ==== | ||
- | * Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle. | + | * **Bloquer** tout ce qui arrive sur les interfaces du SNS suite aux autorisations définies dans la section 1. Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle. |
* journaliser cette règle afin de conserver la trace de ces flux illégitimes. | * journaliser cette règle afin de conserver la trace de ces flux illégitimes. | ||
==== Section n°4 Règles d’autorisation des flux métiers ==== | ==== Section n°4 Règles d’autorisation des flux métiers ==== | ||
- | | + | |
- | * le serveur Web (TCP), | + | * les flux d' |
- | * le serveur | + | * les flux vers le serveur de temps de l' |
- | * | + | * Interdire au PC d' |
- | * autoriser les flux d' | + | * seul le **serveur récursif DNS** peut rediriger les requêtes des clients vers les serveurs DNS sur Internet |
- | | + | * les autres ordinateurs doivent pouvoir utiliser le **résolveur DNS** du VLAN serveurs |
+ | * pour l' | ||
+ | <WRAP center round info> | ||
+ | Dans une activité ultérieure, | ||
+ | </ | ||
+ | * autoriser les flux des réseaux internes vers le serveur de temps. | ||
+ | * les serveurs de la **DMZ** : | ||
+ | * ne doivent pas avoir accès au réseau utilisateurs. En cas de compromission d’un des serveurs hébergés, il doit être impossible de pouvoir remonter vers un des VLAN de l’entreprise. | ||
+ | * doivent pouvoir accéder à Internet et au **serveur de temps** | ||
+ | * pour pouvoir effectuer des **tests**, autorisez le **protocole ICMP** depuis les **réseaux internes** | ||
==== Section n°5 Règles “antiparasites” (facultatif) ==== | ==== Section n°5 Règles “antiparasites” (facultatif) ==== | ||
Pour l' | Pour l' | ||
==== Section n°6 Règle d’interdiction finale ==== | ==== Section n°6 Règle d’interdiction finale ==== | ||
L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | ||
+ | |||
+ | ==== Retour | ||
+ | * [[: | ||
+ | |||
+ |