Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste: activite4filtrage

Panneau latéral

ACCUEIL

Support de cours

Bloc de compétences

Archives

SNT

* accès limité

activite4filtrage

Ceci est une ancienne révision du document !

Table des matières

Mise en œuvre du filtrage pour le contexte GSB

Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l'ANSSI.

Evolution de votre infrastructure

Vous devez placer dans le VLAN Serveurs :

  • votre serveur Web GLPI
  • votre serveur DNS

Pour cela respectez le plan d'adressage défini dans ce VLAN et utilisant les adresses IP statique mises à disposition de chaque équipes. Vous avez 4 adresses IP statiquse disponibles.

Lien : Ressources pour le APs

Vous devez placer dans le VLAN Utilisateurs un client Web d'administration.

  • Placez vos deux VM Web et DNS dans le VLAN Serveurs ;
  • Modifiez leur configuration IP
  • Vérifiez que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs.

Mise en oeuvre d'une politique de filtrage

La mise en oeuvre de votre politique de filtrage doit s'appuyer sur les recommandations de l'ANSII.

Section 1 – Règles d’autorisation des flux à destination du pare-feu

  • autoriser les flux d'administration (https 443 en TCP, éventuellement ssh 22 en TCP) depuis le poste administrateur vers le SNS
  • autorisez les flux vers :
    • le serveur Web GLPI (http 80 en TCP) avec une redirection de port,
    • le serveur résolveur DNS (dns 53 en UDP) avec une redirection de port.

Section n°2 - Règles d’autorisation des flux émis par le pare-feu

Pour l'instant, ne définissez pas de règles

Section n°3 Règle de protection du pare-feu

  • Bloquer tout ce qui arrive sur les interfaces du SNS suite aux autorisations définies dans la section 1. Cela est impératif pour prévenir l’ouverture de flux non légitimes à destination de la passerelle.
  • journaliser cette règle afin de conserver la trace de ces flux illégitimes.

Section n°4 Règles d’autorisation des flux métiers

  • autoriser depuis le poste administrateur :
    • les flux d'administration (22 SSH en TCP ; 3389 RDP en TCP - bureau à distance) vers les serveurs (Web, résolveur DNS, serveur Web)
    • les flux vers le serveur de temps de l'Université de Tours qui a l'adresse IP 193.52.212.3 et port UDP 123.
  • Interdire au PC d'administation l’accès à tout autre réseau (Ici Internet). En effet, ce poste ayant des privilèges élevés sur le réseau, le fait de lui bloquer entre autres l’accès internet permet de réduire considérablement sa surface d’attaque.
  • pour l'instant autoriser les flux des réseaux internes vers Internet (http 80, https 443 ern TCP).

Dans une activité ultérieure, les accès vers le Web se feront par le serveur mandataire (proxy) transparent du SNS.

  • autoriser les flux des réseaux internes vers le serveur de temps de l'Université de Tours qui a l'adresse IP 193.52.212.3 et port UDP 123.
  • pour pouvoir effectuer des tests, autorisez le protocole ICMP

Section n°5 Règles “antiparasites” (facultatif)

Pour l'instant, ne définissez pas de règles

Section n°6 Règle d’interdiction finale

L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes.

activite4filtrage.1667756353.txt.gz · Dernière modification: 2022/11/06 18:39 de techer.charles_educ-valadon-limoges.fr

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki