Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : a1 activite4filtrage glpiticket fichesavoirglpicomptegroupe clessh
activite4filtrage

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
activite4filtrage [2023/10/08 22:38] – [Section n°4Règles d’autorisation des flux métiers] techer.charles_educ-valadon-limoges.fractivite4filtrage [2025/11/11 21:39] (Version actuelle) – [Section n°6Règle d’interdiction finale] admin
Ligne 3: Ligne 3:
 Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l'ANSSI. Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l'ANSSI.
  
-===== Evolution de votre infrastructure  ===== +===== Configuration de votre infrastructure  =====
-Vous devez placer dans la DMZ : +
-  * votre serveur DNS +
-  * voter serveur Web+
  
-Vous devez placer dans le VLAN Serveurs +Vous avez dans la DMZ 
-  * votre résolveur DNS +  * un serveur NS0 qui a autorité sur la zone DNS de votre agence  
-Pour cela respectez le plan d'adressage défini dans ces VLAN et utilisant les adresses IP statique mises à disposition de chaque équipes.  +  * un serveur Web 
 +  * etc.
  
-Lien [[https://sioppes.lycees.nouvelle-aquitaine.pro/doku.php/sisr/pages/sisr.ap3.2021_2022/ressources|Ressources pour le APs]]+Vous avez dans le VLAN Serveurs : 
 +  * un serveur DHCP 
 +  * un contrôleur de domaine Active Directory pour votre agence 
 +  * etc.
  
-Vous devez placer dans le VLAN Utilisateurs un client Web d'administration.+Vous avez dans le VLAN Utilisateurs 
 +  * un résolveur DNS0 
 +  * un agent-relais DHCP
  
-<WRAP center round todo> +Pour ces différents serveurs, respectez le plan d'adressage défini dans ces VLAN et utilisez des adresses IP statique mises à disposition pour chaque équipe  
-  * **Placez** votre résolveurDNS dans le VLAN Serveurs ; + 
-  * **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; +Lien : [[https://sioppes.lycees.nouvelle-aquitaine.pro/doku.php/sisr/pages/sisr.ap3.2021_2022/ressources|Ressources pour le APs]]
-  * **Modifiez/verrifiez** leur configuration IP  +
-  * **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs+
-</WRAP>+
  
 ===== Mise en oeuvre d'une politique de filtrage ===== ===== Mise en oeuvre d'une politique de filtrage =====
Ligne 29: Ligne 29:
  
 ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ====
-  * autoriser les flux d'administration (https 443 en TCP, éventuellement ssh 22 en TCP) depuis le poste administrateur vers le SNS+  * autoriser les flux d'administration (https 443 en TCP, éventuellement ssh 22 en TCP) pour un PC identifié comme **PC d'administration** ;
   * **autorisez** les flux vers :   * **autorisez** les flux vers :
     * le serveur **Web** (http 80 en TCP) avec une **redirection de port**,      * le serveur **Web** (http 80 en TCP) avec une **redirection de port**, 
Ligne 42: Ligne 42:
 ==== Section n°4 Règles d’autorisation des flux métiers ==== ==== Section n°4 Règles d’autorisation des flux métiers ====
   * autoriser depuis le poste administrateur :   * autoriser depuis le poste administrateur :
-    * les flux d'administration (22 SSH en TCP ; 3389 RDP en TCP - bureau à distance)  vers les serveurs (DNS, résolveur DNS, serveur Web)+    * les flux d'administration (22 SSH en TCP ; 3389 RDP en TCP - bureau à distance)  vers les serveurs (DNS, résolveur DNS, serveur Web, DHCP, agent-relais, contrôleur Active Directory)
     * les flux vers le serveur de temps de l'Université de Tours qui a l'adresse IP 193.52.212.3 et port UDP 123.     * les flux vers le serveur de temps de l'Université de Tours qui a l'adresse IP 193.52.212.3 et port UDP 123.
   * Interdire au PC d'administation l’accès à tout autre réseau (Ici Internet). En effet, ce poste ayant des privilèges élevés sur le réseau, le fait de lui bloquer entre autres l’accès internet permet de réduire considérablement sa surface d’attaque.    * Interdire au PC d'administation l’accès à tout autre réseau (Ici Internet). En effet, ce poste ayant des privilèges élevés sur le réseau, le fait de lui bloquer entre autres l’accès internet permet de réduire considérablement sa surface d’attaque. 
Ligne 49: Ligne 49:
   * pour l'instant autoriser les flux des réseaux internes vers Internet (http 80, https 443 en TCP).    * pour l'instant autoriser les flux des réseaux internes vers Internet (http 80, https 443 en TCP). 
 <WRAP center round info> <WRAP center round info>
-Dans une activité ultérieure, les accès vers le Web se feront par le serveur mandataire (proxy) transparent du SNS.+Dans une activité ultérieure, vous contrôlerez les accès vers le Web avec le serveur mandataire (proxy) transparent du SNS.
 </WRAP> </WRAP>
   * autoriser les flux des réseaux internes vers le serveur de temps.   * autoriser les flux des réseaux internes vers le serveur de temps.
   * les serveurs de la **DMZ** :    * les serveurs de la **DMZ** : 
-    * ne doivent pas avoir accès au réseau utilisateurs. En cas de compromission d’un des serveurs hébergés, il doit être impossible de pouvoir remonter vers un des VLAN de l’entreprise. +    * ne doivent pas avoir accès au réseau utilisateurs sauf pour le résolveur DNS. En cas de compromission d’un des serveurs hébergés, il doit être impossible de pouvoir remonter vers un des VLAN de l’entreprise. 
     * doivent pouvoir accéder à Internet et au **serveur de temps**      * doivent pouvoir accéder à Internet et au **serveur de temps** 
   * pour pouvoir effectuer des **tests**, autorisez le **protocole ICMP** depuis les **réseaux internes**   * pour pouvoir effectuer des **tests**, autorisez le **protocole ICMP** depuis les **réseaux internes**
Ligne 60: Ligne 60:
 ==== Section n°6 Règle d’interdiction finale ==== ==== Section n°6 Règle d’interdiction finale ====
 L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes.
 +
 +<WRAP center round important>
 +  * **Vérifiez** que toutes les VM (serveurs et clients) accèdent à Internet : configurer le NAT dynamique ; 
 +  * Vos serveurs NS0 et Web doivent être **accessibles depuis Internet (CUB WAN)** : configurez du NAT sur destination (redirection de ports) ;
 +</WRAP>
 +
 +===== Implémentation de nouveaux besoins =====
 +
 +Suite à une analyse des besoins de l’entreprise et des fonctionnalités avancées de l’appliance Stormshield, vous prenez en compte les besoins suivants.
 +
 +  * Interdire explicitement les plages d’adresses du groupe RFC 5735  provenant d’Internet.
 +  * Toutes les machines provenant d’Internet et ayant une réputation de Botnet, Malware, Scanneur, Noeud de sortie Tor, Anonymiseur ou Phishing ont interdiction d’accéder à l’interface externe du firewall.
 +  * L’ensemble des hôtes du site ont interdiction de pouvoir émettre des requêtes vers des machines sur Internet considérées comme Botnet, Malware, Scanneur, Noeud de sortie Tor, Anonymiseur ou Phishing.
 +
  
 ==== Retour  ==== ==== Retour  ====
activite4filtrage.1696797485.txt.gz · Dernière modification : 2023/10/08 22:38 de techer.charles_educ-valadon-limoges.fr