Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l'ANSSI.

Vous devez placer dans le VLAN Serveurs :

• votre serveur Web GLPI
• votre serveur DNS

Pour cela respectez le plan d'adressage défini dans ce VLAN et utilisant les adresses IP statique mises à disposition de chaque équipes. Vous avez 4 adresses IP statiquse disponibles.

Lien : Ressources pour le APs

Vous devez placer dans le VLAN Utilisateurs un client Web d'administration.

La mise en oeuvre de votre politique de filtrage doit s'appuyer sur les recommandations de l'ANSII.

• un seul client doit pouvoir administrer le pare-feu depuis l'interface Web ou avec un accès SSH

Pour l'instant, ne définissez pas de règles

• Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle.
• journaliser cette règle afin de conserver la trace de ces flux illégitimes.

• pour l'instant autoriser les accès au Web (80, 443) sur Internet.

• autorisez les flux vers
  • le serveur Web (http 80 en TCP),
  • le serveur résolveur DNS (dns 53 en UDP)
  • et le serveur de temps de l'Université de Tours qui a l'adresse IP 193.52.212.3 et port UDP 123.
• autoriser les flux d'administration (22 SSH en TCP ; 3389 RDP en TCP - bureau à distance) depuis le poste administrateur vers les serveurs (Web, résolveur DNS, serveur Web)
• Interdire au PC d'administation l’accès à tout autre réseau (Ici Internet). En effet, ce poste ayant des privilèges élevés sur le réseau, le fait de lui bloquer entre autres l’accès internet permet de réduire considérablement sa surface d’attaque.
• pour pouvoir effectuer des tests, autorisez le protocole ICMP

Pour l'instant, ne définissez pas de règles

L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes.