Différences

Ci-dessous, les différences entre deux révisions de la page.

--- activite5filtrage [2022/10/16 21:28] – techer.charles_educ-valadon-limoges.fr
+++ activite5filtrage [2025/09/22 13:51] (Version actuelle) – admin
@@ Ligne 1: / Ligne 1: @@
-====== Premières règles de filtrage ======
+====== Activité : Premières règles de filtrage ======
 ===== Ressources =====
@@ Ligne 5: / Ligne 5: @@
   * {{ :fiche5_configurationobjetsreseaux_sns.pdf |Fiche 5 – Configuration des objets réseaux}}
   * {{ :fiche7_filtrage_protocolaire_sns.pdf |Fiche 7 – Filtrage protocolaire}}
+  * {{ :fiche6_configurationnat_sns.pdf |Fiche 6 – Configuration du NAT/PAT}}
@@ Ligne 24: / Ligne 25: @@
   * Cliquez **Éditer** puis **copier vers** et choisir une politique vide (par exemple **Filter 06**).
   * Cliquez **Sauvegarder les modifications…**
-  * Dans la liste déroulante des politiques de sécurité, choisissez la politique copiée **(06) Block all**. Cliquez **Éditer** puis **Renommer** et renommez-là en **Utilisateurs_Block all & NAT**, puis **Mettre à jour**.
+  * Dans la liste déroulante des politiques de sécurité, choisissez la politique copiée **(06) Block all**. Cliquez **Éditer** puis **Renommer** et renommez-là en **Utilisateurs_Block all et NAT**, puis **Mettre à jour**.
-  * Cliquez sur le bouton **Appliquer** puis **Activer la politique** "Utilisateurs_Block all & NAT".
+  * Cliquez sur le bouton **Appliquer** puis **Activer la politique** "Utilisateurs\_Block all & NAT".
-  * Dans la liste des politiques de sécurité, choisissez la politique précédente **(05) AgenceX** / onglet **NAT** puis sélectionnez les 6 règles et cliquez sur **Copier**.
+  * Dans la liste des politiques de sécurité, choisissez la politique précédente, celle où vous avez défini du NAT puis sélectionnez la règle de NAT et cliquez sur **Copier**.
-  * Dans la liste des politiques de sécurité, choisissez la politique **(06) AgenceX_Block all & NAT** / onglet **NAT** puis cliquez sur **Coller**. Les 6 règles de NAT/PAT sont copiées.
+  * Dans la liste des politiques de sécurité, choisissez la politique **(06) Utilisateurs_Block all & NAT** / onglet **NAT** puis cliquez sur **Coller**. La règle de NAT/PAT est copiée.
 <WRAP center round todo>
-**Étape 2** : Nous allons mettre en place une première série de règles sur le Trafic sortant. Nous vous proposons d’utiliser les bandeaux séparateurs en indiquant le rôle de chaque règle pour plus de lisibilité.
+**Étape 2** : Nous allons mettre en place une première série de règles sur le Trafic sortant. Utilisez les bandeaux séparateurs en indiquant le rôle de chaque règle pour plus de lisibilité.
 </WRAP>
@@ Ligne 51: / Ligne 52: @@
   * Double-cliquez sur le bouton **off** pour passer la règle à l’état **on**, puis cliquez **Appliquer** puis **Oui, activer la politique**.
-b) Votre réseau interne doit pouvoir accéder aux serveurs privés de la DMZ (DNS, WEB (ports 80 et 808 pour le webmail), FTP et SMTP).
+b) Votre réseau interne doit pouvoir accéder aux serveurs privés de la DMZ (DNS, WEB pour l'instant).
   * Ajoutez un séparateur nommé **Accès aux serveurs DMZ**, choisissez **Nouvelle règle / séparateur – Regroupement de règle** puis éditez-le.
-  * Cliquez **Nouvelle règle /règle simple**
+  * Cliquez sur **Nouvelle règle /règle simple** :
-    * **Action** : **Passer** ;
-    * **Source** : **Network_in** ;
-    * **Destination** : **srv_ftp_priv** ;
-    * **Port dest** : Port destination, ici **ftp**.
-{{ :reseau:stormshield:sns_86.png |}}
-  * Cliquez sur **Copier** puis **Coller** pour créer la deuxième règle à partir de la précédente :
     * **Action** : **Passer** ;
     * **Source** : **Network_in** ;
@@ Ligne 68: / Ligne 62: @@
 {{ :reseau:stormshield:sns_87.png |}}
-  * Cliquez sur **Copier** puis **Coller** pour créer la troisième règle pour le webmail à partir de la précédente :
+ c) Seul votre résolveur DNS interne sera autorisé à résoudre vers l’extérieur, et plus précisément vers l’IP publique du DNS de Google (8.8.8.8) et le serveur DNS de cub.fr géré par le le SNS CUB de sortie du contexte. Deux règles doivent être créées. Voici la première :
-    * **Action** : **Passer** ;
-    * **Source** : **Network_in** ;
-    * **Destination** : **srv_http_priv** ;
-    * **Port dest** : Port destination, ici **webmail** (port **TCP 808**).
-{{ :reseau:stormshield:sns_88.png |}}
-  * Cliquez sur **Copier** puis **Coller** pour créer la quatrième règle pour le serveur mail smtp à partir de la précédente :
-    * **Action** : **Passer** ;
-    * **Source** : **Network_in** ;
-    * **Destination** : **srv_mail_priv** ;
-    * **Port dest** : Port destination, ici **smtp**.
-{{ :reseau:stormshield:sns_89.png |}}
-c) Seul votre serveur DNS interne (172.16.x.10) sera autorisé à résoudre vers l’extérieur, et plus précisément vers l’IP publique du DNS de Google (8.8.8.8).
   * Cliquez **Nouvelle règle /règle simple**
     * **Action** : **Passer** ;
@@ Ligne 88: / Ligne 69: @@
     * **Port dest** : Port destination, ici **dns_udp**.
 {{ :reseau:stormshield:sns_90.png |}}
 Double cliquez sur le symbole **off** des règles pour les passer à l’état **on**, puis cliquez **Appliquer et Oui, activer la politique**.
@@ Ligne 100: / Ligne 82: @@
 ==== Trafics sortants : ====
-  * Votre réseau interne (DMZ incluse) doit pouvoir joindre les serveurs FTP et Web de vos voisins.
+  * Seul le PC d'administration doit pouvoir accéder à l'administration des serveurs et du SNS
-  * Un stagiaire, nouvellement arrivé dans l’entreprise, a l’interdiction d’effectuer la moindre requête FTP. L’adresse IP de sa machine est 192.168.x.200.
-  * Votre serveur de messagerie peut envoyer des mails vers les serveurs publiés par vos voisins.
-  * Votre réseau interne, à l’exception de vos serveurs en DMZ, doit pouvoir naviguer sur les sites web d’Internet en HTTP et HTTPS, sauf sur les sites de la République de Corée (test avec www.visitkorea.or.kr).
-  * L’accès au site https://www.cnn.com doit être bloqué depuis le réseau interne, en utilisant un objet FQDN.
 ==== Trafics entrants : ====
-  * Les utilisateurs de l'autre agence peuvent joindre vos serveurs Web et FTP ; ces événements doivent être tracés.
-  * Le serveur mails de l'autre agence est autorisés à transmettre des e-mails à votre serveur de  messagerie
   * Les utilisateurs de l'autre agence sont autorisés à pinger l’interface externe de votre SNS ; cet événement  devra lever une alarme mineure.
-  * Le formateur est autorisé à pinger l’interface externe de votre SNS.
   * Les utilisateurs de l'autre agence peuvent se connecter à votre SNS : via l’interface web et en SSH. Ces événements devront lever des alarmes majeures.