Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
activite4filtrage [2022/11/06 18:45] techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers] |
activite4filtrage [2023/10/08 22:38] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Section n°4Règles d’autorisation des flux métiers] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Mise en œuvre du filtrage pour le contexte | + | ====== Mise en œuvre du filtrage pour le contexte ====== |
Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | Vous devez mettre en oeuvre une politique de filtrage protocolaire avec votre pare-feu Stormshield en tenant compte des recommandations de l' | ||
===== Evolution de votre infrastructure | ===== Evolution de votre infrastructure | ||
- | Vous devez placer dans le VLAN Serveurs | + | Vous devez placer dans la DMZ : |
- | * votre serveur Web GLPI | + | |
* votre serveur DNS | * votre serveur DNS | ||
- | Pour cela respectez le plan d' | + | * voter serveur Web |
+ | |||
+ | Vous devez placer dans le VLAN Serveurs : | ||
+ | * votre résolveur DNS | ||
+ | Pour cela respectez le plan d' | ||
Lien : [[https:// | Lien : [[https:// | ||
Ligne 14: | Ligne 17: | ||
<WRAP center round todo> | <WRAP center round todo> | ||
+ | * **Placez** votre résolveurDNS dans le VLAN Serveurs ; | ||
* **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | * **Placez** vos deux VM Web et DNS dans le VLAN Serveurs ; | ||
- | * **Modifiez** leur configuration IP | + | * **Modifiez/verrifiez** leur configuration IP |
* **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | * **Vérifiez** que les VM accèdent à Internet et sont également accessibles depuis le réseau utilisateurs. | ||
</ | </ | ||
Ligne 21: | Ligne 25: | ||
===== Mise en oeuvre d'une politique de filtrage ===== | ===== Mise en oeuvre d'une politique de filtrage ===== | ||
La mise en oeuvre de votre politique de filtrage doit s' | La mise en oeuvre de votre politique de filtrage doit s' | ||
+ | |||
+ | Complétez ce document avec les règles à mettre en oeuvre : {{ : | ||
==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | ==== Section 1 – Règles d’autorisation des flux à destination du pare-feu ==== | ||
* autoriser les flux d' | * autoriser les flux d' | ||
* **autorisez** les flux vers : | * **autorisez** les flux vers : | ||
- | * le serveur **Web GLPI** (http 80 en TCP) avec une **redirection de port**, | + | * le serveur **Web** (http 80 en TCP) avec une **redirection de port**, |
- | * le serveur **résolveur | + | * le serveur **DNS** (dns 53 en UDP) avec une **redirection de port**. |
+ | * Pour des tests, les utilisateurs des autres réseaux sont autorisés à **pinger** l’interface externe de votre SNS ; cet événement devra lever une alarme mineure. | ||
==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ==== Section n°2 - Règles d’autorisation des flux émis par le pare-feu ==== | ||
Pour l' | Pour l' | ||
Ligne 36: | Ligne 42: | ||
==== Section n°4 Règles d’autorisation des flux métiers ==== | ==== Section n°4 Règles d’autorisation des flux métiers ==== | ||
* autoriser depuis le poste administrateur : | * autoriser depuis le poste administrateur : | ||
- | * les flux d' | + | * les flux d' |
* les flux vers le serveur de temps de l' | * les flux vers le serveur de temps de l' | ||
* Interdire au PC d' | * Interdire au PC d' | ||
- | * seul le serveur récursif DNS peut rediriger les requêts | + | * seul le **serveur récursif DNS** peut rediriger les requêtes |
- | * les autres ordinateurs | + | * les autres ordinateurs |
* pour l' | * pour l' | ||
<WRAP center round info> | <WRAP center round info> | ||
Dans une activité ultérieure, | Dans une activité ultérieure, | ||
</ | </ | ||
- | * autoriser les flux des réseaux internes vers le serveur de temps de l' | + | * autoriser les flux des réseaux internes vers le serveur de temps. |
- | * pour pouvoir effectuer des tests, autorisez le protocole ICMP | + | * les serveurs |
+ | * ne doivent pas avoir accès au réseau utilisateurs. En cas de compromission d’un des serveurs hébergés, il doit être impossible de pouvoir remonter vers un des VLAN de l’entreprise. | ||
+ | * doivent pouvoir accéder à Internet | ||
+ | * pour pouvoir effectuer des **tests**, autorisez le **protocole ICMP** depuis les **réseaux internes** | ||
==== Section n°5 Règles “antiparasites” (facultatif) ==== | ==== Section n°5 Règles “antiparasites” (facultatif) ==== | ||
Pour l' | Pour l' | ||
==== Section n°6 Règle d’interdiction finale ==== | ==== Section n°6 Règle d’interdiction finale ==== | ||
L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | L’ajout d’une règle explicite d’interdiction finale journalisée garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de conserver la trace des flux non légitimes. | ||
+ | |||
+ | ==== Retour | ||
+ | * [[: | ||
+ | |||
+ |