stratégie de sécurité

**allomona** · 25/08/2014, 13h33

Soit la stratégie de sécurité suivante concernant l'utilisation de l'Internet:
* L'ordinateur du PDG, dont l'@ IP est 172.16.1.100 peut accéder à tous les services d'internet.
* L'ordinateur du DGA, dont l'@ IP ets 172.16.1.10 a le droit d'accéder uniquement au site web sécurisé de la banque dont l'@ IP est 41.220.252.31.
* L'ordinateur du responsable devise, dont l'@ IP est 172.16.1.20 utilise :
--le service de messagerie électronique sachant que le serveur de messagerie est hébergé chez le fournisseur d'accès Internet et l'@ IP est 41.225.30.23;
--le service de navigation;
--le service de téléchargement des fichiers.
*Aucun service entrant n'est autorisé.

A votre avis doit-on implémenter cette stratégie sur le proxy/firewall ou sur l'un des deux routeurs??

**becket** · 25/08/2014, 20h49

Il est toujours intéressant de filtrer au plus prêt de la source mais dans ce cas, il faut tenir compte des possibilités des routeurs.

**allomona** · 25/08/2014, 22h52

Merci pour votre réponse, mais est ce que vous pouvez m'expliquez d'avantage pour quelle raison vous avez choisi la solution des routeurs

**ram-0000** · 25/08/2014, 23h08

J'aurai une réponse inverse

Un routeur, c'est fait pour router
Un firewall, c'est fait pour filtrer

De plus, si tu dis que c'est un proxy/firewall, je soupçonne une interface graphique plus facile et agréable à manipuler que l'interface ligne de commande des routeurs.

Et puis, cela fait une seule règle de filtrage (sur le fw) plutôt que 2 (sur les 2 routeur) pour maintenir la cohérence c'est plus facile.

Une autre règle, toujours couper/filtrer les flux au plus près de la zone dangereuse (Internet dans ton cas) et donc sur le FW. Pas utile de les faire transiter sur ton réseau pour les filtrer un peu plus loin en interne (c'est de la bande passantre perdue et des risques supplémentaires)

==> Donc filtrage sur le FW

**allomona** · 26/08/2014, 11h33

un très grand merci pour cette réponse enrichie.

**allomona** · 26/08/2014, 17h24

Bonsoir,

J'ai essayé de remplir la table de filtrage correspondante à la stratégie ci-dessous, qu'est ce que vous en dites??

**ram-0000** · 26/08/2014, 17h37

Très bien, cela s'appelle une matrice de filtrage !!

Quelques commentaires maintenant :

Colonne "Ports" à renommer en "Ports Dst" (ou "Ports destination" si tu as de la place)
Colonne "Sens d'initialisation de la connexion" à supprimer. Le sens est toujours depuis l'IP Src vers l'IP Dst, c'est donc redondant avec une info que tu as déjà
Il manque une colonne divers pour mettre les options particulières de filtrage (log, heures autorisées, authentification au firewall, etc)

Par contre une politique de filtrage par autorisation explicite c'est toujours

Des lignes autorisées
La dernière ligne refusée (implicite ou explicite suivant ton FW mais de toute façon, j'aime bien le explicite)

ou alors une politique de filtrage par refus explicite c'est toujours

Des lignes refusées
La dernière ligne acceptée (implicite ou explicite suivant ton FW mais de toute façon, j'aime bien le explicite)

Iniutile de te préciser que je préfère la 1ere (politique de filtrage par autorisation explicite).

Une politique de filtrage dans laquelle tu mélange des allow et des deny comme tu as fait devient à plus ou moins courte échéance illisible et non maintenable (et peut comporter des trous de filtrage pas faciles à identifier). De plus, le résultat de ce type de politique n'est pas le même suivant l'ordre des règles (alors que les 2 premières, l'ordre n'a pas d'importance).

Donc soit tu choisis une politique par autorisation explicite, soit une politique par refus explicite mais pas un mélange des deux.

**allomona** · 27/08/2014, 09h57

merci pour votre réponse.

Donc ce que j'ai compris c'est que je dois garder uniquement les lignes dont la colonne Décision contient la valeur acceptée et juste la dernière ligne avec la valeur refusée pour la colonne décision.

Sur quelle base je dois choisir cette dernière ligne??

**ram-0000** · 27/08/2014, 10h00

Envoyé par allomona

Sur quelle base je dois choisir cette dernière ligne??

IP Src = Any
Ip Dst = Any
Port Dst = Any
Action = Deny + log (log facultatif mais utile)

**allomona** · 27/08/2014, 10h44

meeerci, c bien clair.

Juste une dernière question:

Le PDG veut accéder à son PC, dont l’adresse IP est 172.16.1.100, à partir de l’internet en utilisant le « bureau à distance » (cette application fonctionne sur le port TCP 2473). L’adresse IP publique de la banque est 41.x.x.41, cette dernière est une @ IP fixe. Quel est le mécanisme requis pour mettre en place cette solution ?

**ram-0000** · 27/08/2014, 11h15

Envoyé par allomona

Le PDG veut accéder à son PC, dont l’adresse IP est 172.16.1.100, à partir de l’internet en utilisant le « bureau à distance » (cette application fonctionne sur le port TCP 2473). L’adresse IP publique de la banque est 41.x.x.41, cette dernière est une @ IP fixe. Quel est le mécanisme requis pour mettre en place cette solution ?

Clairement, c'est de la NAT à mettre en place sur ton firewall avec une règle de filtrage supplémentaire pour autoriser ce flux.