|
Taille: 2796
Commentaire: Putain de liens morts
|
Taille: 2904
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 8: | Ligne 8: |
| * Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de [[http://www.ipp2p.org/|ipp2p]]). | * --(Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de [[http://www.ipp2p.org/|ipp2p]]))--. |
| Ligne 13: | Ligne 13: |
| * Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir [[CransTechnique/ServicesMineurs/SurveillanceTrafic|SurveillanceTrafic]]). * Logguer touts les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur komaz. * Bloquer complètement les adhérents déconnectés et redirigé vers une page explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexions pour [[VieCrans/DéconnexionPourP2P|P2P]], [[VieCrans/DéconnexionPourUpload|Upload]], [[VieCrans/DéconnexionPourVirus|Virus]]). |
* --(Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir [[CransTechnique/ServicesMineurs/SurveillanceTrafic|SurveillanceTrafic]]))--. * Logguer touts les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur [[CransTechnique/LesServeurs/ServeurKomaz|Komaz]]. * Bloquer complètement les adhérents déconnectés et redirigé vers une [[VieCrans/PagesDeDeconnexion|page de déconnexion]] explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexions pour [[VieCrans/DéconnexionPourP2P|P2P]], [[VieCrans/DéconnexionPourUpload|Upload]], [[VieCrans/DéconnexionPourVirus|Virus]], …). |
Le CRANS pour plusieurs raisons évoquées ci-après se doit de restreindre l’accès de notre réseau vers l'extérieur et inversement.
Fonctions du Firewall
Ne laisser passer que les couple adresse MAC, adresse IP correspondant aux machines enregistré par les adhérents à jour de leur cotisation.
Assurer la séparation des vlans par exemple que le vlan adm ne soit pas accessible à toute personne se connectant sur zamok)
Limiter la bande passante vers internet en correspondance avec les accord entre le Cr@ns et la DSI de l'ENS Cachan (voir LimitationDébit)
Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de ipp2p).
- Partager équitablement le débit entre les adhérents
effectuer la redirection vers la connexion de secours lorsque la connexion via l'ENS est indisponible.
Ne laisser passer que les connections initiées par les adhérents (sauf sur le port 22 (ssh) qui est ouvert par défaut) (voir LimitationPortsExtérieurs).
- Ouvrir les port renseigner dans l'annuaire ldap ves les machines correspondantes
Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir SurveillanceTrafic).
Logguer touts les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur Komaz.
Bloquer complètement les adhérents déconnectés et redirigé vers une page de déconnexion explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexions pour P2P, Upload, Virus, …).
- Limiter le nombre de connexions établies sur le port 22 par minute
Bloquer les ip non routables (10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.168.0.0/16, 224.0.0.0/4, 100.64.0.0/10, …)
Ne router que les plages ip déléguées au Cr@ns par la DSI de l'ENS
L'application
Pour connaître le coté technique de l'application de ces règles on peut lire CransTechnique/FireWall
CatégoriePageNonTerminée (Détailler simplement en français le fonctionnement du firewall de komaz dans un premier temps, puis ceux des autres serveurs)