« Feuille classe » : différence entre les versions

De Travail-ivan
← Modification précédenteModification suivante →
VisuelWikicode
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 1 : Ligne 1 :
= Configuration du pare-feu Shorewall =
== Matrice RACI - Projet d'optimisation du SI MedicArgile ==
== Installation des paquets ==
Sur la machine virtuelle ''vmlb'', installez les paquets nécessaires :
<syntaxhighlight lang="bash">
apt install shorewall tcpdump nmap
</syntaxhighlight>
== Configuration des fichiers Shorewall ==
=== Zones (zones) ===
Le fichier ''/etc/shorewall/zones'' définit les différentes zones du réseau :
<syntaxhighlight lang="text">
fw  firewall
net ipv4
lan ipv4
</syntaxhighlight>
'''Explication des zones :'''


'''fw''' : Représente le pare-feu lui-même
=== Légende ===
'''net''' : Zone pour le réseau externe (Internet)
* '''R''' (Responsible) : Personne qui fait le travail
'''lan''' : Zone pour le réseau local interne
* '''A''' (Accountable) : Personne qui rend des comptes, responsable du résultat
* '''C''' (Consulted) : Personne consultée avant l'action
* '''I''' (Informed) : Personne informée des résultats
* '''-''' : Non impliqué


=== Interfaces (interfaces) ===
{| class="wikitable"
Le fichier ''/etc/shorewall/interfaces'' associe les interfaces physiques aux zones :
! Phases/Activités !! Directeur Général !! COPIL !! Consultant !! Resp. Info !! Alternant ASR !! Resp. Maintenance !! Resp. Production !! Resp. R&D
<syntaxhighlight lang="text">
|-
?FORMAT 2
! colspan="9" | '''PHASE DE CADRAGE'''
net enp0s3 dhcp,tcpflags,nosmurfs,sourceroute=0
|-
lan enp0s8 tcpflags,nosmurfs,sourceroute=0
| Validation des objectifs du projet || A || C || C || R || I || I || I || I
</syntaxhighlight>
|-
'''Paramètres des interfaces :'''
| Définition du budget || A || C || C || R || - || - || - || -
|-
| Validation planning || A || C || C || R || I || I || I || I
|-
! colspan="9" | '''MISSION 1 : MODÉLISATION INFRASTRUCTURE'''
|-
| Audit de l'existant || I || C || C || A || R || C || C || C
|-
| Schéma d'infrastructure || I || C || C || A || R || C || - || -
|-
| Plan d'implantation || I || C || C || A || R || C || C || C
|-
| Choix des équipements || I || C || C || A || R || C || - || -
|-
! colspan="9" | '''MISSION 2 : DÉPLOIEMENT'''
|-
| Configuration des serveurs || I || I || C || A || R || - || - || -
|-
| Paramétrage réseau || I || I || C || A || R || C || - || -
|-
| Migration des données || I || I || C || A || R || C || C || C
|-
| Tests de validation || I || C || C || A || R || C || C || C
|-
! colspan="9" | '''MISSION 3 : SÉCURISATION'''
|-
| Politique de sécurité || A || C || C || R || R || I || I || I
|-
| Plan de continuité || A || C || C || R || R || C || C || C
|-
| Supervision || I || I || C || A || R || C || C || -
|-
| Documentation || I || C || C || A || R || I || I || I
|-
! colspan="9" | '''GESTION DU CHANGEMENT'''
|-
| Formation utilisateurs || I || I || C || A || R || C || C || C
|-
| Communication || A || C || C || R || I || I || I || I
|-
| Suivi post-déploiement || I || C || C || A || R || C || C || C
|}


'''enp0s3''' : Interface réseau externe avec DHCP
=== Points clés ===
'''enp0s8''' : Interface réseau locale
* Le Directeur Général est principalement Accountable (A) sur les décisions stratégiques
'''Options de sécurité''' :
* Le COPIL est systématiquement Consulté (C) sur les décisions importantes
** tcpflags : Active la vérification des drapeaux TCP
* Le Responsable Informatique alterne entre Accountable (A) et Responsible (R) selon les tâches
** nosmurfs : Protection contre les attaques smurf
* L'alternant ASR est majoritairement Responsible (R) sur les tâches techniques
** sourceroute=0 : Désactive le source routing
* Les responsables de services sont généralement Consultés (C) sur les sujets qui les concernent
 
=== Politique (policy) ===
Le fichier ''/etc/shorewall/policy'' définit les règles par défaut :
<syntaxhighlight lang="text">
lan    net    ACCEPT
lan    $FW    ACCEPT
$FW    net    ACCEPT
$FW    lan    ACCEPT
net    all    DROP    info
all    all    REJECT  info
</syntaxhighlight>
'''Explication des politiques :'''
 
Trafic du LAN vers Internet : Autorisé
Trafic du LAN vers le pare-feu : Autorisé
Trafic du pare-feu vers Internet : Autorisé
Trafic du pare-feu vers le LAN : Autorisé
Trafic d'Internet vers toute destination : Bloqué avec journalisation
Tout autre trafic : Rejeté avec journalisation
 
=== Translation d'adresses (snat) ===
Le fichier ''/etc/shorewall/snat'' configure le masquerading :
<syntaxhighlight lang="text">
MASQUERADE 192.168.72.0/24 enp0s3
</syntaxhighlight>
'''Explication :'''
 
Masque le réseau 192.168.72.0/24 derrière l'interface enp0s3
 
=== Paramètres (params) ===
Le fichier ''/etc/shorewall/params'' définit les variables :
<syntaxhighlight lang="text">
IP_GCH=192.168.1.18
</syntaxhighlight>
=== Règles (rules) ===
Le fichier ''/etc/shorewall/rules'' contient les règles spécifiques :
<syntaxhighlight lang="text">
ACCEPT  all    all    icmp    8
ACCEPT  net:$IP_GCH    $FW    tcp    22
ACCEPT  net    $FW    tcp    80
ACCEPT  net:$IP_GCH    $FW    tcp    8282
DNAT
DNAT    net:$IP_GCH    lan:192.168.72.11:22    tcp    2221
DNAT    net:$IP_GCH    lan:192.168.72.12:22    tcp    2222
</syntaxhighlight>
'''Explication des règles :'''
 
Autorise le ping (ICMP type 8) depuis toutes les sources
Autorise SSH (port 22) depuis l'IP spécifiée vers le pare-feu
Autorise HTTP (port 80) depuis Internet vers le pare-feu
Autorise le port 8282 depuis l'IP spécifiée vers le pare-feu
Redirige le port 2221 vers SSH (port 22) sur 192.168.72.11
Redirige le port 2222 vers SSH (port 22) sur 192.168.72.12
 
== Activation et test ==
=== Démarrage de Shorewall ===
Exécutez les commandes suivantes :
<syntaxhighlight lang="bash">
shorewall check
shorewall safe-start
systemctl enable shorewall
</syntaxhighlight>
=== Test de la configuration ===
Depuis une machine externe, testez avec nmap :
<syntaxhighlight lang="bash">
$ nmap -p 22,80,8282,2221,2222 IP_FIREWALL
</syntaxhighlight>
'''Ports testés :'''
 
22 : SSH vers le pare-feu
80 : HTTP vers le pare-feu
8282 : Port personnalisé vers le pare-feu
2221 : Redirection SSH vers 192.168.72.11
2222 : Redirection SSH vers 192.168.72.12
 
[[Catégorie:Sécurité]]
[[Catégorie:Pare-feu]]
[[Catégorie:Shorewall]]

Version du 8 novembre 2024 à 14:37

Matrice RACI - Projet d'optimisation du SI MedicArgile

Légende

  • R (Responsible) : Personne qui fait le travail
  • A (Accountable) : Personne qui rend des comptes, responsable du résultat
  • C (Consulted) : Personne consultée avant l'action
  • I (Informed) : Personne informée des résultats
  • - : Non impliqué
Phases/Activités Directeur Général COPIL Consultant Resp. Info Alternant ASR Resp. Maintenance Resp. Production Resp. R&D
PHASE DE CADRAGE
Validation des objectifs du projet A C C R I I I I
Définition du budget A C C R - - - -
Validation planning A C C R I I I I
MISSION 1 : MODÉLISATION INFRASTRUCTURE
Audit de l'existant I C C A R C C C
Schéma d'infrastructure I C C A R C - -
Plan d'implantation I C C A R C C C
Choix des équipements I C C A R C - -
MISSION 2 : DÉPLOIEMENT
Configuration des serveurs I I C A R - - -
Paramétrage réseau I I C A R C - -
Migration des données I I C A R C C C
Tests de validation I C C A R C C C
MISSION 3 : SÉCURISATION
Politique de sécurité A C C R R I I I
Plan de continuité A C C R R C C C
Supervision I I C A R C C -
Documentation I C C A R I I I
GESTION DU CHANGEMENT
Formation utilisateurs I I C A R C C C
Communication A C C R I I I I
Suivi post-déploiement I C C A R C C C

Points clés

  • Le Directeur Général est principalement Accountable (A) sur les décisions stratégiques
  • Le COPIL est systématiquement Consulté (C) sur les décisions importantes
  • Le Responsable Informatique alterne entre Accountable (A) et Responsible (R) selon les tâches
  • L'alternant ASR est majoritairement Responsible (R) sur les tâches techniques
  • Les responsables de services sont généralement Consultés (C) sur les sujets qui les concernent
Récupérée de "https://mediawiki.gallaisivan.synology.me/index.php?title=Feuille_classe&oldid=1368"