Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste:
activite4filtrage

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
activite4filtrage [2022/11/06 18:14]
techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers] 		activite4filtrage [2023/10/08 22:38] (Version actuelle)
techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers]
Ligne 1: Ligne 1:
-====== Mise en œuvre du filtrage pour le contexte GSB ======+====== Mise en œuvre du filtrage pour le contexte ======
  
 Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l'ANSSI. Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l'ANSSI.
  
 ===== Evolution de votre infrastructure  ===== ===== Evolution de votre infrastructure  =====
-Vous devez placer dans le VLAN Serveurs : +Vous devez placer dans la DMZ :
-  * votre serveur Web GLPI+
   * votre serveur DNS   * votre serveur DNS
-Pour cela respectez le plan d'adressage défini dans ce VLAN et utilisant les adresses IP statique mises à disposition de chaque équipes. Vous avez 4 adresses IP statiquse disponibles. +  * voter serveur Web 
 + 
 +Vous devez placer dans le VLAN Serveurs : 
 +  * votre résolveur DNS 
 +Pour cela respectez le plan d'adressage défini dans ces VLAN et utilisant les adresses IP statique mises à disposition de chaque équipes.  
  
 Lien : [[https://sioppes.lycees.nouvelle-aquitaine.pro/doku.php/sisr/pages/sisr.ap3.2021_2022/ressources|Ressources pour le APs]] Lien : [[https://sioppes.lycees.nouvelle-aquitaine.pro/doku.php/sisr/pages/sisr.ap3.2021_2022/ressources|Ressources pour le APs]]
Ligne 14: Ligne 17:
  
 <WRAP center round todo> <WRAP center round todo>
 +  * **Placez** votre résolveurDNS dans le VLAN Serveurs ;
   * **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ;   * **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ;
-  * **Modifiez** leur configuration IP +  * **Modifiez/verrifiez** leur configuration IP 
   * **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs.   * **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs.
 </WRAP> </WRAP>
Ligne 22: Ligne 26:
 La mise en oeuvre de votre politique de filtrage doit s'appuyer sur les recommandations de l'ANSII. La mise en oeuvre de votre politique de filtrage doit s'appuyer sur les recommandations de l'ANSII.
  
-==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== +Complétez ce document avec les règles à mettre en oeuvre : {{ :politiquefiltrage.odt |}}
-  * un seul client doit pouvoir administrer le pare-feu depuis l'interface Web ou avec un accès SSH +
  
 +==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ====
 +  * autoriser les flux d'administration (https 443 en TCP, éventuellement ssh 22 en TCP) depuis le poste administrateur vers le SNS
 +  * **autorisez** les flux vers :
 +    * le serveur **Web** (http 80 en TCP) avec une **redirection de port**, 
 +    * le serveur **DNS** (dns 53 en  UDP) avec une **redirection de port**.
 +  * Pour des tests, les utilisateurs des autres réseaux sont autorisés à **pinger** l’interface externe de votre SNS ; cet événement devra lever une alarme mineure.
 ==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== ==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ====
 Pour l'instant, ne définissez pas de règles Pour l'instant, ne définissez pas de règles
  
 ==== Section n°3 Règle de protection du pare-feu ==== ==== Section n°3 Règle de protection du pare-feu ====
-  * Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle.+  * **Bloquer** tout ce qui arrive sur les interfaces du SNS suite aux autorisations définies dans la section 1. Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle.
   * journaliser cette règle afin de conserver la trace de ces flux illégitimes.   * journaliser cette règle afin de conserver la trace de ces flux illégitimes.
 ==== Section n°4 Règles d’autorisation des flux métiers ==== ==== Section n°4 Règles d’autorisation des flux métiers ====
-    * pour l'instant autoriser les accès au Web (80, 443) sur Internet+  * autoriser depuis le poste administrateur : 
 +    * les flux d'administration (22 SSH en TCP ; 3389 RDP en TCP - bureau à distance)  vers les serveurs (DNS, résolveur DNS, serveur Web) 
 +    * les flux vers le serveur de temps de l'Université de Tours qui a l'adresse IP 193.52.212.3 et port UDP 123. 
 +  * Interdire au PC d'administation l’accès à tout autre réseau (Ici Internet). En effet, ce poste ayant des privilèges élevés sur le réseau, le fait de lui bloquer entre autres l’accès internet permet de réduire considérablement sa surface d’attaque.  
 +  * seul le **serveur récursif DNS** peut rediriger les requêtes des clients vers le **serveur DNS cub.fr**. 
 +  * les autres ordinateurs doivent pouvoir utiliser le **résolveur DNS** du VLAN serveurs  
 +  * pour l'instant autoriser les flux des réseaux internes vers Internet (http 80, https 443 en TCP). 
 <WRAP center round info> <WRAP center round info>
 Dans une activité ultérieure, les accès vers le Web se feront par le serveur mandataire (proxy) transparent du SNS. Dans une activité ultérieure, les accès vers le Web se feront par le serveur mandataire (proxy) transparent du SNS.
 </WRAP> </WRAP>
-    autorisez les flux vers  +  autoriser les flux des réseaux internes vers le serveur de temps. 
-      * le serveur Web (http 80 en TCP),  +  * les serveurs de la **DMZ** :  
-      * le serveur résolveur DNS (dns 53 en  UDP) +    * ne doivent pas avoir accès au réseau utilisateurs. En cas de compromission d’un des serveurs hébergésil doit être impossible de pouvoir remonter vers un des VLAN de l’entreprise.  
-      *  et le serveur de temps de l'Université de Tours qui a l'adresse IP 193.52.212.3 et port UDP 123+    * doivent pouvoir accéder à Internet et au **serveur de temps**  
-    autoriser les flux d'administration (22 SSH en TCP ; 3389 RDP en TCP - bureau à distance) depuis le poste administrateur vers les serveurs (Web, résolveur DNS, serveur Web) +  * pour pouvoir effectuer des **tests**, autorisez le **protocole ICMP** depuis les **réseaux internes**
-    * Interdire au PC d'administation l’accès à tout autre réseau (Ici Internet). En effet, ce poste ayant des privilèges élevés sur le réseaule fait de lui bloquer entre autres l’accès internet permet de réduire considérablement sa surface d’attaque.  +
-    * pour pouvoir effectuer des tests, autorisez le protocole ICMP +
 ==== Section n°5 Règles “antiparasites” (facultatif) ==== ==== Section n°5 Règles “antiparasites” (facultatif) ====
 Pour l'instant, ne définissez pas de règles Pour l'instant, ne définissez pas de règles
 ==== Section n°6 Règle d’interdiction finale ==== ==== Section n°6 Règle d’interdiction finale ====
 L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes.
 +
 +==== Retour  ====
 +  * [[:reseau:stormshield:miseenoeuvreutm|Mise en oeuvre de l'UTM Stormshield]]
 +
 +
activite4filtrage.1667754885.txt.gz · Dernière modification: 2022/11/06 18:14 de techer.charles_educ-valadon-limoges.fr

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki