Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
activite4filtrage [2022/11/06 18:17] techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers] |
activite4filtrage [2023/10/08 22:38] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Mise en œuvre du filtrage pour le contexte | + | ====== Mise en œuvre du filtrage pour le contexte ====== |
Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | ||
===== Evolution de votre infrastructure | ===== Evolution de votre infrastructure | ||
- | Vous devez placer dans le VLAN Serveurs | + | Vous devez placer dans la DMZ : |
- | * votre serveur Web GLPI | + | |
* votre serveur DNS | * votre serveur DNS | ||
- | Pour cela respectez le plan d' | + | * voter serveur Web |
+ | |||
+ | Vous devez placer dans le VLAN Serveurs : | ||
+ | * votre résolveur DNS | ||
+ | Pour cela respectez le plan d' | ||
Lien : [[https:// | Lien : [[https:// | ||
Ligne 14: | Ligne 17: | ||
<WRAP center round todo> | <WRAP center round todo> | ||
+ | * **Placez** votre résolveurDNS dans le VLAN Serveurs ; | ||
* **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | * **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | ||
- | * **Modifiez** leur configuration IP | + | * **Modifiez/verrifiez** leur configuration IP |
* **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | * **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | ||
</ | </ | ||
Ligne 22: | Ligne 26: | ||
La mise en oeuvre de votre politique de filtrage doit s' | La mise en oeuvre de votre politique de filtrage doit s' | ||
- | ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | + | Complétez ce document |
- | * un seul client doit pouvoir administrer le pare-feu depuis l' | + | |
+ | ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | ||
+ | * autoriser les flux d' | ||
+ | * **autorisez** les flux vers : | ||
+ | * le serveur **Web** (http 80 en TCP) avec une **redirection de port**, | ||
+ | * le serveur **DNS** (dns 53 en UDP) avec une **redirection de port**. | ||
+ | * Pour des tests, les utilisateurs des autres réseaux sont autorisés à **pinger** l’interface externe de votre SNS ; cet événement devra lever une alarme mineure. | ||
==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ||
Pour l' | Pour l' | ||
==== Section n°3 Règle de protection du pare-feu ==== | ==== Section n°3 Règle de protection du pare-feu ==== | ||
- | * Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle. | + | * **Bloquer** tout ce qui arrive sur les interfaces du SNS suite aux autorisations définies dans la section 1. Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle. |
* journaliser cette règle afin de conserver la trace de ces flux illégitimes. | * journaliser cette règle afin de conserver la trace de ces flux illégitimes. | ||
==== Section n°4 Règles d’autorisation des flux métiers ==== | ==== Section n°4 Règles d’autorisation des flux métiers ==== | ||
- | | + | * autoriser depuis le poste administrateur : |
+ | * les flux d' | ||
+ | * les flux vers le serveur de temps de l' | ||
+ | * Interdire au PC d' | ||
+ | * seul le **serveur récursif DNS** peut rediriger les requêtes des clients vers le **serveur DNS cub.fr**. | ||
+ | * les autres ordinateurs doivent pouvoir utiliser le **résolveur DNS** du VLAN serveurs | ||
+ | | ||
<WRAP center round info> | <WRAP center round info> | ||
Dans une activité ultérieure, | Dans une activité ultérieure, | ||
</ | </ | ||
- | * **autorisez** les flux vers | + | |
- | * le serveur | + | * les serveurs |
- | * le serveur **résolveur DNS** (dns 53 en UDP) avec une **redirection | + | * ne doivent pas avoir accès |
- | | + | |
- | | + | |
- | * Interdire | + | |
- | * pour pouvoir effectuer des tests, autorisez le protocole ICMP | + | |
==== Section n°5 Règles “antiparasites” (facultatif) ==== | ==== Section n°5 Règles “antiparasites” (facultatif) ==== | ||
Pour l' | Pour l' | ||
==== Section n°6 Règle d’interdiction finale ==== | ==== Section n°6 Règle d’interdiction finale ==== | ||
L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | ||
+ | |||
+ | ==== Retour | ||
+ | * [[: | ||
+ | |||
+ |