|
Taille: 471
Commentaire: converted to 1.6 markup
|
Taille: 2707
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| Le CRANS pour plusieurs raisons évoquées ci-aprés se doit de restreindre l'accés de notre réseau vers l'extérieur et inversement. | Le CRANS pour plusieurs raisons évoquées ci-après se doit de restreindre l’accès de notre réseau vers l'extérieur et inversement. |
| Ligne 3: | Ligne 3: |
| = Les règles de filtrage = | = Fonctions du Firewall = * Ne laisser passer que les couple [[VieCrans/ÇaMarchePlus/VérificationIpMac|adresse MAC, adresse IP]] correspondant aux machines enregistré par les adhérents à jour de leur cotisation. * Assurer la séparation des [[CransTechnique/VLAN|vlans]] par exemple que le vlan adm ne soit pas accessible à toute personne se connectant sur zamok) * Limiter la bande passante vers internet en correspondance avec les accord entre le Cr@ns et la DSI de l'ENS Cachan (voir [[CransTechnique/LimitationDébit|LimitationDébit]]) * Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de [[http://www.ipp2p.org/|ipp2p]]). * Partager équitablement le débit entre les adhérents * effectuer la redirection vers la [[CransTechnique/SystèmeSecours|connexion de secours]] lorsque la connexion via l'ENS est indisponible. * Ne laisser passer que les connections initiées par les adhérents (sauf sur le port 22 (ssh) qui est ouvert par défaut) (voir [[CransTechnique/LimitationPortsExtérieurs|LimitationPortsExtérieurs]]). * Ouvrir les port renseigner dans l'annuaire ldap ves les machines correspondantes * Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir [[CransTechnique/SurveillanceTrafic|SurveillanceTrafic]]). * Logguer touts les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur komaz. * Bloquer complètement les adhérents déconnectés et redirigé vers une page explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexion pour [[VieCrans/DéconnexionPourP2P|P2P]], [[VieCrans/DéconnexionPourUpload|Upload]], [[VieCrans/DéconnexionPourVirus|Virus]]). * Limiter le nombre de connexions établie sur le port 22 par minute * Bloquer les [[CransTechnique/IpNonRoutables|ip non routables]] (10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.168.0.0/16, 224.0.0.0/4) * Ne router que les [[CransTechnique/PlanAdressage|plages ip déléguées au Cr@ns]] par la DSI de l'ENS |
| Ligne 10: | Ligne 26: |
| * CatégoriePagePublique |
Le CRANS pour plusieurs raisons évoquées ci-après se doit de restreindre l’accès de notre réseau vers l'extérieur et inversement.
Fonctions du Firewall
Ne laisser passer que les couple adresse MAC, adresse IP correspondant aux machines enregistré par les adhérents à jour de leur cotisation.
Assurer la séparation des vlans par exemple que le vlan adm ne soit pas accessible à toute personne se connectant sur zamok)
Limiter la bande passante vers internet en correspondance avec les accord entre le Cr@ns et la DSI de l'ENS Cachan (voir LimitationDébit)
Bloquer les protocole de p2p d'échange de fichiers et mettre un entrée de log pour les IP contrevenantes (à l'aide de ipp2p).
- Partager équitablement le débit entre les adhérents
effectuer la redirection vers la connexion de secours lorsque la connexion via l'ENS est indisponible.
Ne laisser passer que les connections initiées par les adhérents (sauf sur le port 22 (ssh) qui est ouvert par défaut) (voir LimitationPortsExtérieurs).
- Ouvrir les port renseigner dans l'annuaire ldap ves les machines correspondantes
Détecter les machines du réseau ayant un comportement anormal (flood, virus, p2p, etc…) et mettre un entrée de log pour les IP contrevenantes (voir SurveillanceTrafic).
- Logguer touts les n-uplets (mac source,mac destination,ip source, ip destination,port source, port destination, protocole, date) transitant par le routeur komaz.
Bloquer complètement les adhérents déconnectés et redirigé vers une page explicative les adhérents partiellement déconnectés (déconnexion hard et soft) (Explication des déconnexion pour P2P, Upload, Virus).
- Limiter le nombre de connexions établie sur le port 22 par minute
Bloquer les ip non routables (10.0.0.0/8, 172.16.0.0/12, 169.254.0.0/16, 192.168.0.0/16, 224.0.0.0/4)
Ne router que les plages ip déléguées au Cr@ns par la DSI de l'ENS
L'application
Pour connaître le coté technique de l'application de ces règles on peut lire CransNounous/FirewallKomaz
CatégorieCrans/PageNonTerminée (Détailler simplement en français le fonctionnement du firewall de komaz dans un premier temps, puis ceux des autres serveurs)