Nouvelle configuration du pare-feu du CERN

Comme convenu entre les départements et les expériences du LHC durant la dernière réunion ITSRM, la configuration par défaut du pare-feu de périmètre extérieur du CERN sera changée de telle sorte que le trafic sortant depuis les ports sources 1-1023/tcp et 1-1023/udp sera bloqué par défaut.

Des exceptions pour les protocoles NTP peuvent toutefois être maintenues. Cette mesure sera appliquée le mardi 13 mars 2012. Les ouvertures de pare-feu existantes pour le trafic entrant ne seront pas affectées.


En fait, l'application correcte des protocoles TCP et UDP empêche l'utilisation de ces ports inférieurs lors de l'établissement d'une connexion cliente et, en effet, le trafic sortant actuel sur ces ports est remarquablement faible. Seuls les dispositifs mal configurés ou « méchants » ont été observés les utilisant. Avec la fermeture, un tel trafic sera déjà bloqué au sein du CERN, et ce sans polluer l'Internet.



Pour tout commentaire ou de plus amples informations, contactez-nous à Computer.Security@cern.ch

par Computer Security Team