Nouveau cycle de vie pour les ouvertures du parefeu
La première ligne de défense du CERN contre le trafic malveillant provenant d'Internet est le pare-feu de périmètre extérieur du CERN. Suite à un ensemble bien défini de règles, ce pare-feu autorise ou refuse tout trafic réseau entrant pour communiquer avec des machines du CERN et contrôle le trafic sortant vers l'Internet. Les administrateurs système peuvent généralement demander des ouvertures du pare-feu pour les serveurs dont ils sont responsables en utilisant l'interface Web LANDB (http://network.cern.ch). Ces demandes sont approuvées ou rejetées suite aux résultats du scan de sécurité effectué par l'équipe de sécurité informatique.
Dans le passé, le nombre d'ouvertures de pare-feu a considérablement augmenté. Les administrateurs système se soucient naturellement plus de leurs ouvertures que d'exiger la fermeture une fois l'ouverture devenue obsolète ou si la fonction du serveur a changé. Pire encore, les serveurs pourraient passer sous une nouvelle responsabilité, c'est à dire un nouveau administrateur du système, qui ne serait même pas au courant des ouvertures actuelles du pare-feu. En effet, un examen manuel de toutes les ouvertures du pare-feu a montré que plusieurs dizaines d'ouvertures n'ont même pas été utilisées dans un passé récent. Beaucoup plus d'ouvertures pourraient avoir été utilisées à certains moments, mais être obsolètes depuis.
Afin d'améliorer la situation actuelle, l'équipe de sécurité, en collaboration avec le Groupe IT Communication Systems, va bientôt déployer un cycle de vie complet pour les ouvertures de pare-feu. Les ouvertures pourront être demandées comme d'habitude via l'interface Web LANDB. Cependant, chaque ouverture approuvée est dès lors valable pour deux ans maximum. À partir de 90 jours avant la date limite de validation, les administrateurs système correspondants (c'est à dire le propriétaire et l'utilisateur principal du serveur) seront régulièrement informés par email et il leur sera demandé soit de renouveler les ouvertures, soit de les révoquer. En cas de non-action de leur part, cela entraînera automatiquement l'expiration des ouvertures en attente.
Ce nouveau cycle de vie sera déployé et activé en septembre 2011. Les ouvertures de pare-feu sans date de validation / expiration obtiendront une telle date assignée. Les ouvertures générées via les "LANDB sets" ne sont pas affectées.
Si vous avez des questions, suggestions ou commentaires, s'il vous plaît contactez Computer.Security@cern.ch ou visitez notre site au http://cern.ch/security.
