Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : a9
activite5filtrage

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
activite5filtrage [2022/10/17 21:09] – [Ressources] techer.charles_educ-valadon-limoges.fractivite5filtrage [2026/05/07 16:23] (Version actuelle) – [Mise en place des règles de filtrage] techer.charles_educ-valadon-limoges.fr
Ligne 1: Ligne 1:
-====== Premières règles de filtrage ======+====== Activité : Premières règles de filtrage ======
 ===== Ressources ===== ===== Ressources =====
  
Ligne 15: Ligne 15:
 **Étape 1 :** Copiez la politique de filtrage/NAT (1) **Block all** vers une autre politique vide où nous allons les copier les règles de NAT. **Étape 1 :** Copiez la politique de filtrage/NAT (1) **Block all** vers une autre politique vide où nous allons les copier les règles de NAT.
 </WRAP> </WRAP>
 +
   * Dans la liste déroulante des politiques de sécurité, choisissez **(1) Block all**.   * Dans la liste déroulante des politiques de sécurité, choisissez **(1) Block all**.
 +
 {{ :reseau:stormshield:sns_82.png |}} {{ :reseau:stormshield:sns_82.png |}}
  
 Cette politique bloque presque tous les flux (règle N°3) sauf ceux définis par les règles 1 et 2. Cette politique bloque presque tous les flux (règle N°3) sauf ceux définis par les règles 1 et 2.
  
-La règle numéro 1 autorise l’accès en **https** et sur le port prédéfini **1300 firewall_srv** à toutes les interfaces du firewall, elle permet donc l’administration à distance.+La règle numéro 1 autorise l’accès en **https** et sur le port prédéfini **1300 firewall\_srv** à toutes les interfaces du firewall, elle permet donc l’administration à distance.
  
 La règle numéro 2 autorise les requêtes **ICMP Echo** vers toutes les interfaces du firewall, afin de pouvoir vérifier la présence du firewall à l’aide des commandes ICMP. La règle numéro 2 autorise les requêtes **ICMP Echo** vers toutes les interfaces du firewall, afin de pouvoir vérifier la présence du firewall à l’aide des commandes ICMP.
 +
   * Cliquez **Éditer** puis **copier vers** et choisir une politique vide (par exemple **Filter 06**).   * Cliquez **Éditer** puis **copier vers** et choisir une politique vide (par exemple **Filter 06**).
   * Cliquez **Sauvegarder les modifications…**   * Cliquez **Sauvegarder les modifications…**
-  * Dans la liste déroulante des politiques de sécurité, choisissez la politique copiée **(06) Block all**. Cliquez **Éditer** puis **Renommer** et renommez-là en **Utilisateurs_Block all NAT**, puis **Mettre à jour**. +  * Dans la liste déroulante des politiques de sécurité, choisissez la politique copiée **(06) Block all**. Cliquez **Éditer** puis **Renommer** et renommez-là en **Utilisateurs\_Block all et NAT**, puis **Mettre à jour**. 
-  * Cliquez sur le bouton **Appliquer** puis **Activer la politique** "Utilisateurs_Block all & NAT".+  * Cliquez sur le bouton **Appliquer** puis **Activer la politique** "Utilisateurs\_Block all & NAT".
   * Dans la liste des politiques de sécurité, choisissez la politique précédente, celle où vous avez défini du NAT puis sélectionnez la règle de NAT et cliquez sur **Copier**.   * Dans la liste des politiques de sécurité, choisissez la politique précédente, celle où vous avez défini du NAT puis sélectionnez la règle de NAT et cliquez sur **Copier**.
-  * Dans la liste des politiques de sécurité, choisissez la politique **(06) Utilisateurs_Block all & NAT** / onglet **NAT** puis cliquez sur **Coller**. La règle de NAT/PAT est copiée.+  * Dans la liste des politiques de sécurité, choisissez la politique **(06) Utilisateurs\_Block all & NAT** / onglet **NAT** puis cliquez sur **Coller**. La règle de NAT/PAT est copiée. 
 <WRAP center round todo> <WRAP center round todo>
 **Étape 2** : Nous allons mettre en place une première série de règles sur le Trafic sortant. Utilisez les bandeaux séparateurs en indiquant le rôle de chaque règle pour plus de lisibilité. **Étape 2** : Nous allons mettre en place une première série de règles sur le Trafic sortant. Utilisez les bandeaux séparateurs en indiquant le rôle de chaque règle pour plus de lisibilité.
- 
 </WRAP> </WRAP>
 +
 a) Votre réseau interne doit pouvoir émettre un **ping vers n’importe quelle destination**. a) Votre réseau interne doit pouvoir émettre un **ping vers n’importe quelle destination**.
   * Cliquez la règle numéro 2 qui passe en surbrillance et choisissez **Nouvelle règle / séparateur – Regroupement de règle**.   * Cliquez la règle numéro 2 qui passe en surbrillance et choisissez **Nouvelle règle / séparateur – Regroupement de règle**.
 +
 {{ :reseau:stormshield:sns_83.png |}} {{ :reseau:stormshield:sns_83.png |}}
 +
   * Cliquez le symbole du crayon et modifiez le nom du séparateur en **ping vers n’importe quelle destination**.   * Cliquez le symbole du crayon et modifiez le nom du séparateur en **ping vers n’importe quelle destination**.
   * Cliquez **Nouvelle règle / règle simple**   * Cliquez **Nouvelle règle / règle simple**
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
-    * **Source** : L’adresse IP ou le réseau source, ici **Network_internals** ; +    * **Source** : L’adresse IP ou le réseau source, ici **Network\_internals** ; 
     * **Protocole dest** : laisser **Any**.     * **Protocole dest** : laisser **Any**.
   * Double-cliquez sur **Protocole** et remplir les champs comme ci-dessous :   * Double-cliquez sur **Protocole** et remplir les champs comme ci-dessous :
Ligne 53: Ligne 59:
  
 b) Votre réseau interne doit pouvoir accéder aux serveurs privés de la DMZ (DNS, WEB pour l'instant). b) Votre réseau interne doit pouvoir accéder aux serveurs privés de la DMZ (DNS, WEB pour l'instant).
 +
   * Ajoutez un séparateur nommé **Accès aux serveurs DMZ**, choisissez **Nouvelle règle / séparateur – Regroupement de règle** puis éditez-le.   * Ajoutez un séparateur nommé **Accès aux serveurs DMZ**, choisissez **Nouvelle règle / séparateur – Regroupement de règle** puis éditez-le.
   * Cliquez sur **Nouvelle règle /règle simple** :   * Cliquez sur **Nouvelle règle /règle simple** :
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
-    * **Source** : **Network_in** ; +    * **Source** : **Network\_in** ; 
-    * **Destination** : **srv_http_priv**+    * **Destination** : **srv\_http\_priv**
     * **Port dest** : Port destination, ici **http**     * **Port dest** : Port destination, ici **http**
  
 {{ :reseau:stormshield:sns_87.png |}} {{ :reseau:stormshield:sns_87.png |}}
  
- c) Seul votre serveur DNS interne  sera autorisé à résoudre vers l’extérieur, et plus précisément vers l’IP publique du DNS de Google (8.8.8.8).+ c) Seul votre résolveur DNS interne sera autorisé à résoudre vers l’extérieur, et plus précisément vers l’IP publique du DNS de Google (8.8.8.8) et le serveur DNS de cub.fr géré par le le SNS CUB de sortie du contexte. Deux règles doivent être crééesVoici la première : 
   * Cliquez **Nouvelle règle /règle simple**    * Cliquez **Nouvelle règle /règle simple** 
     * **Action** : **Passer** ;     * **Action** : **Passer** ;
-    * **Source** : **srv_dns_priv** ;  +    * **Source** : **srv\_dns\_priv** ;  
-    * **Destination** : DNS_Google ;+    * **Destination** : DNS\_Google ;
     * **Port dest** : Port destination, ici **dns_udp**.     * **Port dest** : Port destination, ici **dns_udp**.
 +
 {{ :reseau:stormshield:sns_90.png |}} {{ :reseau:stormshield:sns_90.png |}}
 +
 Double cliquez sur le symbole **off** des règles pour les passer à l’état **on**, puis cliquez **Appliquer et Oui, activer la politique**. Double cliquez sur le symbole **off** des règles pour les passer à l’état **on**, puis cliquez **Appliquer et Oui, activer la politique**.
  
Ligne 81: Ligne 91:
 ==== Trafics sortants : ==== ==== Trafics sortants : ====
  
-  * Votre réseau interne (DMZ incluse / VLAN Serveurs) doit pouvoir joindre les serveurs Web de vos voisins. Pour cela, vous devez devez configurer une redirection de port vers votre serveur Web interne. +  * Seul le PC d'administration doit pouvoir accéder à l'administration des serveurs et du SNS
-  * Votre réseau interne, à l’exception de vos serveurs en DMZ, doit pouvoir naviguer sur les sites web d’Internet en HTTP et HTTPS, sauf sur les sites de la République de Corée (test avec www.visitkorea.or.kr). +
-  * L’accès au site https://www.cnn.com doit être bloqué depuis le réseau interne, en utilisant un objet FQDN. +
  
 ==== Trafics entrants : ==== ==== Trafics entrants : ====
-  * Les utilisateurs de l'autre agence peuvent joindre votre serveur Web ; ces événements doivent être tracés. 
   * Les utilisateurs de l'autre agence sont autorisés à pinger l’interface externe de votre SNS ; cet événement  devra lever une alarme mineure.   * Les utilisateurs de l'autre agence sont autorisés à pinger l’interface externe de votre SNS ; cet événement  devra lever une alarme mineure.
   * Les utilisateurs de l'autre agence peuvent se connecter à votre SNS : via l’interface web et en SSH. Ces événements devront lever des alarmes majeures.   * Les utilisateurs de l'autre agence peuvent se connecter à votre SNS : via l’interface web et en SSH. Ces événements devront lever des alarmes majeures.
activite5filtrage.1666033784.txt.gz · Dernière modification : 2022/10/17 21:09 de techer.charles_educ-valadon-limoges.fr