Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fiche7filtrageprotocolaire [2022/10/11 09:45] – [Fiche savoirs technologiques : Filtrage protocolaire] techer.charles_educ-valadon-limoges.fr
+++ fiche7filtrageprotocolaire [2022/10/17 10:06] (Version actuelle) – [Trafics entrants :] techer.charles_educ-valadon-limoges.fr
@@ Ligne 2: / Ligne 2: @@
 La mise en place d’une politique de filtrage, permet à l’administrateur de définir les règles qui permettront d’autoriser ou de bloquer les flux au travers de l’UTM Stormshield Network.
-Selon les flux, certaines inspections de sécurité (analyse antivirale, analyse antispam, filtrage URL, …) peuvent être activées (Cela sera détaillé dans la partie **Filtrage applicatif**).
+Selon les flux, certaines inspections de sécurité (analyse antivirale, analyse antispam, filtrage URL, …) peuvent être activées : il s'agit du **Filtrage applicatif**.
-Les règles de filtrage définies doivent respecter la politique de sécurité de l’entreprise.
+Les règles de filtrage définies doivent respecter la politique de sécurité de l’entreprise et prendre en compte les **bonnes pratiques** telles que préconisées par l'**ANSSI**.
 ===== Présentation des fonctionnalités =====
@@ Ligne 11: / Ligne 11: @@
 Parmi ces critères, il est notamment possible de préciser :
-  * l’adresse IP source et/ou destination ;
+  * l’**adresse IP** source et/ou destination ;
-  * la réputation et la géolocalisation de l’adresse IP source et/ou destination ;
+  * la **réputation et la géolocalisation** de l’adresse IP source et/ou destination ;
-  * l’interface d’entrée et/ou sortie ;
+  * l’**interface** d’entrée et/ou sortie ;
-  * l’adresse réseau source et/ou destination ;
+  * l’**adresse réseau** source et/ou destination ;
-  * le FQDN source et/ou destination ;
+  * le **FQDN** source et/ou destination ;
-  * la valeur du champ DSCP ;
+  * la valeur du **champ DSCP** ;
-  * le service TCP/UDP (n° de port de destination) ;
+  * le **service de la couche transport** TCP/UDP (n° de port de destination) ;
-  * le protocole IP (dans le cas d’ICMP, le type de message ICMP peut être précisé) ;
+  * le **protocole IP** (dans le cas d’ICMP, le type de message ICMP peut être précisé) ;
-  * l’utilisateur ou le groupe d’utilisateurs devant être authentifié.
+  * l’**utilisateur ou le groupe d’utilisateurs** devant être authentifié.
-Le nombre de règles de filtrage actives dans une politique est limité. Cette limite dépend exclusivement
+Le nombre de règles de filtrage actives dans une politique est **limité**. Cette limite dépend exclusivement
 du modèle de firewall SNS.
 <WRAP center round info>
 Le premier paquet appartenant à chaque nouveau flux reçu par le pare-feu est confronté aux règles de
-filtrage de la première à la dernière ligne. Il est donc recommandé d’**ordonner au mieux** les règles de la
+filtrage **de la première à la dernière ligne**.
+Il est donc recommandé d’**ordonner au mieux** les règles de la
 **plus restrictive à la plus généraliste**.
@@ Ligne 34: / Ligne 36: @@
 </WRAP>
-Dans les recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu publiées par l’ANSSI le 30 mars 2013, il est précisé que la règle finale qui consiste à bloquer et journaliser tout ce qui n’est pas autorisé par les règles précédentes doit apparaître explicitement à la fin de la politique de filtrage appliquée. L’ajout de cette règle explicite garantit l’application du modèle de sécurité positif (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de s’assurer que la trace des flux non légitimes est conservée.
+Dans les recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu publiées par l’ANSSI le 30 mars 2013, il est précisé que la règle finale qui consiste à **bloquer et journaliser** tout ce qui n’est pas autorisé par les règles précédentes doit apparaître explicitement à la fin de la politique de filtrage appliquée.
+L’ajout de cette règle explicite garantit l’application du **modèle de sécurité positif** (tout ce qui n’a pas été autorisé précédemment est interdit) et permet de s’assurer que la **trace des flux non légitimes est conservée**.
 {{ :reseau:stormshield:sns_92.png |}}
@@ Ligne 41: / Ligne 45: @@
 La conséquence directe de ce suivi **Stateful** est l’autorisation d’un flux par une règle de filtrage uniquement dans le sens de **l’initiation de la connexion**.
-Les réponses faisant partie de la même connexion sont implicitement autorisées. Ainsi, nous n’avons nul besoin d’une règle de filtrage supplémentaire pour autoriser les paquets réponse d’une connexion établie au travers du firewall.
+Les réponses faisant partie de la même connexion sont implicitement autorisées. Ainsi, nous n’avons **nul besoin d’une règle de filtrage supplémentaire pour autoriser les paquets réponse** d’une connexion établie au travers du firewall.
 La figure suivante présente l’ordre d’application des règles de filtrage et de NAT, il est important de noter que les paquets sont filtrés **avant** la phase de traduction (NAPT).
@@ Ligne 78: / Ligne 82: @@
 Cette politique bloque presque tous les flux (règle N°3) sauf ceux définis par les règles 1 et 2.
-**La règle numéro 1** autorise l’accès en https et sur le port prédéfini **1300 pare-feu_srv** à toutes les interfaces du pare-feu, elle permet donc l’administration à distance depuis n’importe quel réseau.
+**La règle numéro 1** autorise l’accès en **https (443)** et sur le port prédéfini **1300 pare-feu_srv** à toutes les interfaces du pare-feu, elle permet donc l’administration à distance depuis n’importe quel réseau.
 **La règle numéro 2** autorise les requêtes **ICMP Echo** vers toutes les interfaces du pare-feu, afin de pouvoir vérifier la présence du pare-feu à l’aide des commandes ICMP.
@@ Ligne 101: / Ligne 105: @@
-===== Mise en place des règles de filtrage =====
-Vous allez mettre en place une nouvelle politique de sécurité, il faudra commencer par désactiver la règle de filtrage **Pass all** et ajouter les règles de filtrage qui respecteront le cahier des charges décrit ci-après.
-<WRAP center round todo >
-**Étape 1 :** Copiez la politique de filtrage/NAT (1) **Block all** vers une autre politique vide où nous allons les copier les règles de NAT de la politique 5.
-</WRAP>
-  * Dans la liste déroulante des politiques de sécurité, choisissez **(1) Block all**.
-{{ :reseau:stormshield:sns_82.png |}}
-Cette politique bloque presque tous les flux (règle N°3) sauf ceux définis par les règles 1 et 2.
-La règle numéro 1 autorise l’accès en **https** et sur le port prédéfini **1300 firewall_srv** à toutes les interfaces du firewall, elle permet donc l’administration à distance.
-La règle numéro 2 autorise les requêtes **ICMP Echo** vers toutes les interfaces du firewall, afin de pouvoir vérifier la présence du firewall à l’aide des commandes ICMP.
-  * Cliquez **Éditer** puis **copier vers** et choisir une politique vide (par exemple **Filter 06**).
-  * Cliquez **Sauvegarder les modifications…**
-  * Dans la liste déroulante des politiques de sécurité, choisissez la politique copiée **(06) Block all**. Cliquez **Éditer** puis **Renommer** et renommez-là en **AgenceX_Block all & NAT**, puis **Mettre à jour**.
-  * Cliquez sur le bouton **Appliquer** puis **Activer la politique** "AgenceX_Block all & NAT".
-  * Dans la liste des politiques de sécurité, choisissez la politique précédente **(05) AgenceX** / onglet **NAT** puis sélectionnez les 6 règles et cliquez sur **Copier**.
-  * Dans la liste des politiques de sécurité, choisissez la politique **(06) AgenceX_Block all & NAT** / onglet **NAT** puis cliquez sur **Coller**. Les 6 règles de NAT/PAT sont copiées.
-<WRAP center round todo>
-**Étape 2** : Nous allons mettre en place une première série de règles sur le Trafic sortant. Nous vous proposons d’utiliser les bandeaux séparateurs en indiquant le rôle de chaque règle pour plus de lisibilité.
-</WRAP>
-a) Votre réseau interne doit pouvoir émettre un **ping vers n’importe quelle destination**.
-  * Cliquez la règle numéro 2 qui passe en surbrillance et choisissez **Nouvelle règle / séparateur – Regroupement de règle**.
-{{ :reseau:stormshield:sns_83.png |}}
-  * Cliquez le symbole du crayon et modifiez le nom du séparateur en **ping vers n’importe quelle destination**.
-  * Cliquez **Nouvelle règle / règle simple**
-    * **Action** : **Passer** ;
-    * **Source** : L’adresse IP ou le réseau source, ici **Network_internals** ;
-    * **Protocole dest** : laisser **Any**.
-  * Double-cliquez sur **Protocole** et remplir les champs comme ci-dessous :
-    * **Type de protocole** : **Protocole IP** ;
-    * **Protocole IP** : **icmp** ;
-    * **Message ICMP** : choisir au milieu de la liste **requête Echo (Ping, type 8, code 0)**
-{{ :reseau:stormshield:sns_84.png |}}
-La nouvelle règle se présente ainsi :
-{{ :reseau:stormshield:sns_85.png |}}
-  * Double-cliquez sur le bouton **off** pour passer la règle à l’état **on**, puis cliquez **Appliquer** puis **Oui, activer la politique**.
-b) Votre réseau interne doit pouvoir accéder aux serveurs privés de la DMZ (DNS, WEB (ports 80 et 808 pour le webmail), FTP et SMTP).
-  * Ajoutez un séparateur nommé **Accès aux serveurs DMZ**, choisissez **Nouvelle règle / séparateur – Regroupement de règle** puis éditez-le.
-  * Cliquez **Nouvelle règle /règle simple**
-    * **Action** : **Passer** ;
-    * **Source** : **Network_in** ;
-    * **Destination** : **srv_ftp_priv** ;
-    * **Port dest** : Port destination, ici **ftp**.
-{{ :reseau:stormshield:sns_86.png |}}
-  * Cliquez sur **Copier** puis **Coller** pour créer la deuxième règle à partir de la précédente :
-    * **Action** : **Passer** ;
-    * **Source** : **Network_in** ;
-    * **Destination** : **srv_http_priv**
-    * **Port dest** : Port destination, ici **http**
-{{ :reseau:stormshield:sns_87.png |}}
-  * Cliquez sur **Copier** puis **Coller** pour créer la troisième règle pour le webmail à partir de la précédente :
-    * **Action** : **Passer** ;
-    * **Source** : **Network_in** ;
-    * **Destination** : **srv_http_priv** ;
-    * **Port dest** : Port destination, ici **webmail** (port **TCP 808**).
-{{ :reseau:stormshield:sns_88.png |}}
-  * Cliquez sur **Copier** puis **Coller** pour créer la quatrième règle pour le serveur mail smtp à partir de la précédente :
-    * **Action** : **Passer** ;
-    * **Source** : **Network_in** ;
-    * **Destination** : **srv_mail_priv** ;
-    * **Port dest** : Port destination, ici **smtp**.
-{{ :reseau:stormshield:sns_89.png |}}
-c) Seul votre serveur DNS interne (172.16.x.10) sera autorisé à résoudre vers l’extérieur, et plus précisément vers l’IP publique du DNS de Google (8.8.8.8).
-  * Cliquez **Nouvelle règle /règle simple**
-    * **Action** : **Passer** ;
-    * **Source** : **srv_dns_priv** ;
-    * **Destination** : DNS_Google ;
-    * **Port dest** : Port destination, ici **dns_udp**.
-{{ :reseau:stormshield:sns_90.png |}}
-Double cliquez sur le symbole **off** des règles pour les passer à l’état **on**, puis cliquez **Appliquer et Oui, activer la politique**.
-Les règles actuellement mises en place sont les suivantes :
-{{ :reseau:stormshield:sns_91.png |}}
-<WRAP center round todo>
-**Étape 3 :** Vous allez mettre en place une deuxième série de règles sur les trafics entrants et sortants qui respecteront le cahier des charges ci-dessous (utilisez les séparateurs en indiquant le rôle de chaque règle).
-</WRAP>
-==== Trafics sortants : ====
-  * Votre réseau interne (DMZ incluse) doit pouvoir joindre les serveurs FTP et Web de vos voisins.
-  * Un stagiaire, nouvellement arrivé dans l’entreprise, a l’interdiction d’effectuer la moindre requête FTP. L’adresse IP de sa machine est 192.168.x.200.
-  * Votre serveur de messagerie peut envoyer des mails vers les serveurs publiés par vos voisins.
-  * Votre réseau interne, à l’exception de vos serveurs en DMZ, doit pouvoir naviguer sur les sites web d’Internet en HTTP et HTTPS, sauf sur les sites de la République de Corée (test avec www.visitkorea.or.kr).
-  * L’accès au site https://www.cnn.com doit être bloqué depuis le réseau interne, en utilisant un objet FQDN.
-==== Trafics entrants : ====
-  * Les utilisateurs de l'autre agence peuvent joindre vos serveurs Web et FTP ; ces événements doivent être tracés.
-  * Le serveur mails de l'autre agence est autorisés à transmettre des e-mails à votre serveur de  messagerie
-  * Les utilisateurs de l'autre agence sont autorisés à pinger l’interface externe de votre SNS ; cet événement  devra lever une alarme mineure.
-  * Le formateur est autorisé à pinger l’interface externe de votre SNS.
-  * Les utilisateurs de l'autre agence peuvent se connecter à votre SNS : via l’interface web et en SSH. Ces événements devront lever des alarmes majeures.
+==== Retour  ====
+  * [[:reseau:stormshield:miseenoeuvreutm|Mise en oeuvre de l'UTM Stormshield]]
-===== Retour Accueil Stormshield =====
-  * [[:reseau:stormshield:accueil|Stormshield]]