Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
activite4filtrage [2022/11/06 18:39] techer.charles_educ-valadon-limoges.fr |
activite4filtrage [2023/10/08 22:38] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Mise en œuvre du filtrage pour le contexte | + | ====== Mise en œuvre du filtrage pour le contexte ====== |
Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | ||
===== Evolution de votre infrastructure | ===== Evolution de votre infrastructure | ||
- | Vous devez placer dans le VLAN Serveurs | + | Vous devez placer dans la DMZ : |
- | * votre serveur Web GLPI | + | |
* votre serveur DNS | * votre serveur DNS | ||
- | Pour cela respectez le plan d' | + | * voter serveur Web |
+ | |||
+ | Vous devez placer dans le VLAN Serveurs : | ||
+ | * votre résolveur DNS | ||
+ | Pour cela respectez le plan d' | ||
Lien : [[https:// | Lien : [[https:// | ||
Ligne 14: | Ligne 17: | ||
<WRAP center round todo> | <WRAP center round todo> | ||
+ | * **Placez** votre résolveurDNS dans le VLAN Serveurs ; | ||
* **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | * **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | ||
- | * **Modifiez** leur configuration IP | + | * **Modifiez/verrifiez** leur configuration IP |
* **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | * **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | ||
</ | </ | ||
Ligne 21: | Ligne 25: | ||
===== Mise en oeuvre d'une politique de filtrage ===== | ===== Mise en oeuvre d'une politique de filtrage ===== | ||
La mise en oeuvre de votre politique de filtrage doit s' | La mise en oeuvre de votre politique de filtrage doit s' | ||
+ | |||
+ | Complétez ce document avec les règles à mettre en oeuvre : {{ : | ||
==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | ||
* autoriser les flux d' | * autoriser les flux d' | ||
* **autorisez** les flux vers : | * **autorisez** les flux vers : | ||
- | * le serveur **Web GLPI** (http 80 en TCP) avec une **redirection de port**, | + | * le serveur **Web** (http 80 en TCP) avec une **redirection de port**, |
- | * le serveur **résolveur | + | * le serveur **DNS** (dns 53 en UDP) avec une **redirection de port**. |
+ | * Pour des tests, les utilisateurs des autres réseaux sont autorisés à **pinger** l’interface externe de votre SNS ; cet événement devra lever une alarme mineure. | ||
==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ||
Pour l' | Pour l' | ||
Ligne 36: | Ligne 42: | ||
==== Section n°4 Règles d’autorisation des flux métiers ==== | ==== Section n°4 Règles d’autorisation des flux métiers ==== | ||
* autoriser depuis le poste administrateur : | * autoriser depuis le poste administrateur : | ||
- | * les flux d' | + | * les flux d' |
* les flux vers le serveur de temps de l' | * les flux vers le serveur de temps de l' | ||
* Interdire au PC d' | * Interdire au PC d' | ||
- | * pour l' | + | |
+ | * les autres ordinateurs doivent pouvoir utiliser le **résolveur DNS** du VLAN serveurs | ||
+ | | ||
<WRAP center round info> | <WRAP center round info> | ||
Dans une activité ultérieure, | Dans une activité ultérieure, | ||
</ | </ | ||
- | | + | |
- | * pour pouvoir effectuer des tests, autorisez le protocole ICMP | + | * les serveurs |
+ | * ne doivent pas avoir accès au réseau utilisateurs. En cas de compromission d’un des serveurs hébergés, il doit être impossible de pouvoir remonter vers un des VLAN de l’entreprise. | ||
+ | | ||
+ | | ||
==== Section n°5 Règles “antiparasites” (facultatif) ==== | ==== Section n°5 Règles “antiparasites” (facultatif) ==== | ||
Pour l' | Pour l' | ||
==== Section n°6 Règle d’interdiction finale ==== | ==== Section n°6 Règle d’interdiction finale ==== | ||
L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | ||
+ | |||
+ | ==== Retour | ||
+ | * [[: | ||
+ | |||
+ |