Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l'ANSSI.

Vous devez placer dans le VLAN Serveurs :

• votre serveur Web GLPI
• votre serveur DNS

Pour cela respectez le plan d'adressage défini dans ce VLAN et utilisant les adresses IP statique mises à disposition de chaque équipes. Vous avez 4 adresses IP statiquse disponibles.

Lien : Ressources pour le APs

Vous devez placer dans le VLAN Utilisateurs un client Web d'administration.

La mise en oeuvre de votre politique de filtrage doit s'appuyer sur les recommandations de l'ANSII.

• un seul client doit pouvoir administrer le pare-feu depuis l'interface Web ou avec un accès SSH

Pour l'instant, ne définissez pas de règles

• Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle.
• journaliser cette règle afin de conserver la trace de ces flux illégitimes.

• autorisez les flux vers
  • le serveur Web (TCP),
  • le serveur résolveur DNS (UDP)
  • et le serveur de temps qui a l'adresse IP 193.52.212.3 et port UDP 123.
• autoriser les flux d'administration (22 SSH en TCP ; 3389 RDP en TCP - bureau à distance) depuis le poste administrateur vers les serveurs Web et résolveur DNS
• Interdire au PC d'administation l’accès à tout autre réseau (Ici Internet). En effet, ce poste ayant des privilèges élevés sur le réseau, le fait de lui bloquer entre autres l’accès internet permet de réduire considérablement sa surface d’attaque.

Pour l'instant, ne définissez pas de règles

L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes.