<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <link rel="stylesheet" href="/style.css" type="text/css" /> <script type="text/javascript" src="/jquery.min.js"></script> <title>CERN Computer Security Information</title> <script type="text/javascript"> $(document).ready(function(){ // Menu highlight var path = location.pathname.split("/"); if ( path ) { $('#main_menu a[href*="' + path[1] + '"][class!="noselect"]').addClass('selected'); // path[3] = /security/<xxxxx>/ $('#sidebar ul.sidemenu li[class!="noselect"]:has(a[href$="' + path.reverse()[0] + '"])').addClass('selected'); } // Add icon to external links $('a[id!=logo-img]').filter(function() { return this.hostname && this.hostname !== location.hostname;   }).after(' <img src="/images/external_link.png" alt="external link" title="external link"/>'); }); </script> </head> <body> <div id="wrap"> <div id="top-bg"></div> <!--header --> <div id="header"> <div id="logo-text"> <a id="logo-img" href="https://home.cern/"><img src="/images/CERNLogo2.png" width="59" height="59" style="margin: 10px" alt="CERN Logo"/></a><div id="logo-text-big"><a href="/home/fr/index.shtml" title="">CERN Computer Security</a></div> </div> <div id="header-logo"><a href="/services/fr/emergency.shtml"><img width=335 src="/images/emergency.png" alt="Computer Emergencies"/></a></div> </div> <!--header ends--> <div id="header-photo"></div> <!-- navigation starts--> <div id="nav"> <ul id="main_menu"> <li><a class="noselect" href="/home/en/index.shtml"><img src="/images/gb.png" alt="EN" title="EN"/></a></li> <li><a href="/home/fr/index.shtml">Accueil</a></li> <li><a href="/rules/fr/index.shtml">R&egrave;gles informatiques</a></li> <li><a href="/recommendations/fr/index.shtml">Recommandations</a></li> <li><a href="/training/fr/index.shtml">Formation</a></li> <li><a href="/services/fr/index.shtml">Services</a></li> <li><a class="secured" href="/reports/fr/index.shtml">Rapports &amp; Pr&eacute;sentations</a></li> </ul> </div> <!-- navigation ends--> <!-- content-wrap starts --> <div id="content-wrap"> <div id="main"> <h2>Le pare-feu du périmètre extérieur</h2> <p> Afin de protéger les appareils connectés au réseau du CERN des attaques régulières initiées depuis l’extérieur, les connexions directes aux ports TCP et UDP de tous les appareils sont bloquées par le pare-feu du périmètre extérieur du CERN par défaut. De plus, <b>les ports source 0-1023/TCP et 0-1023/UDP (sauf 500/UDP) sont bloqués</b> par défaut pour les connections sortantes. Ainsi, les utilisateurs peuvent initier des applications clientes (sur les ports élevés), mais ne peuvent pas exposer les processus serveurs.</p> <p>Le « hardware » du pare-feu est entretenu par le groupe réseau (« network group ») de CERN/IT, tandis que la configuration est entretenue par l’équipe de sécurité informatique.</p> <h4>Demande d'ouverture de pare-feu</h4> <p>Dans le cas exceptionnel où un appareil aurait besoin d’être exposé directement à Internet, il existe quatre manières pour demander des « ouvertures » du pare-feu (« firewall openings »):</p> <ul> <li><b>Via la <a href="https://network.cern.ch/sc/fcgi/sc.fcgi?Action=SelectForUpdate">Network Connection Request Form</a>:</b> Sélectionnez « update », défilez vers le bas jusqu'à la partie appelée « Central Firewall Configuration » et cliquez sur « Make Firewall Request ». Veuillez noter que le service doit:</li> <ul> <li><b>justifier un besoin professionel</b>. Les serveurs SSH, les serveurs de systèmes de contrôle et des services en exposant des données classifiés directement ne seront généralement pas autorisés. Veuillez plutôt utiliser les moyens standards pour <a href="https://security.web.cern.ch/security/recommendations/fr/connecting_to_cern.shtml">se connecter au CERN à distance</a>;</li> <li>être unique et <b>non-couvert par les services IT centraux</b>. Par exemple, étudier l'utilisation des <a href="http://cern.ch/WebServices">services Web centraux du CERN</a> au lieu mettre en place votre propre serveur Web pour des sites ou applications Web. Cela vous permettra de déléguer la responsabilité de maintenir une configuration sécurisée, de garder le système à jour, de faire des sauvegardes, de détecter les intrusions, etc. au département IT;</li> <li>être <b>prêt pour la production et configuré selon <a href="/rules/fr/baselines.shtml">les Baselines de Sécurité</a> correspondantes</b>. Les appareils étiquetés « TEST », « DEV » ou similaire ne doivent pas obtenir d'ouverture de pare-feu. Cela nécessite que les mises-à-jour logicielles soient appliquées automatiquement, et que tous les services réseaux qui ne sont pas essentiels soient désactivés;</li> <li><b>passer le scan standard des <a href="/services/fr/device_scans.shtml">vulnérabilitsé</a> et</b>, le cas échéant, à un <b><a href="/services /fr/web_scans.shtml">scan d'applications Web</a> à tout moment</b>. </ul> <li><b>Utilisez les <a href="https://network.cern.ch/sc/fcgi/sc.fcgi?Action=SearchForSets&ForAction=DisplaySet">sets LANDB</a></b>, dans lesquels le pare-feu a des « ouvertures » statiques pour ce set LANDB. Habituellement, ces sets sont utilisés pour la redondance ou les grands, services homogènes, attribués à un cas d'utilisation distinct et utilisés uniquement pour la production. Ces sets sont soit gérés par l’équipe de sécurité informatique ou par les « service managers ». Contactez <a href="mailto:Computer.Security@cern.ch">Computer.Security@cern.ch</a> pour savoir si votre appareil est admissible (ou pas);</li> <li>Pour toute machine virtuelle Openstack ou tout autre systèmes configuré par Puppet, consultez la <a href="https://configdocs.web.cern.ch/configdocs/firewall/cern.html">documentation spécifique</a>. Habituellement, ces configurations sont utilisés pour la redondance ou les grands, services homogènes, et doivent être attribués à un cas d'utilisation distinct et utilisés uniquement pour la production;</li> <li><b>Faites une demande spéciale:</b> Pour les demandes spéciales, comme par exemple avoir IPsec ouvert, contactez <a href="mailto:Computer.Security@cern.ch">Computer.Security@cern.ch</a>.</li> </ul> <h4>Les exigences de sécurité</h4> <p>L’appareil correspondant doit être conforme à la politique subsidiaire OC5 sur les <a href="/rules/fr/firewall.shtml">Ouvertures dans le pare-feu de périmètre extérieur</a>.</p> <h4>Vérifications régulières</h4> <p> Lors de la demande d'ouverture ou à tout autre moment, l'équipe de sécurité informatique procédera à un scan standard des <a href="/services/fr/device_scans.shtml">vulnérabilitsé</a> et, le cas échéant, à un <a href="/services /fr/web_scans.shtml">scan d'applications Web</a>. Dans tous les cas, il vous sera demandé d'arrêter le pare-feu local (e.g. en utilisant <tt>/sbin/service iptables stop</tt> pour la plupart des systèmes Linux). Après le scan, vous recevrez un rapport et il vous sera demandé de fixer les éventuelles vulnérabilités et autres problèmes trouvés. <b>Seuls les appareils qui ont passé avec succès le(s) scan(s) se verront accorder (pour conserver) l'ouverture demandée.</b>. </p> <p>En plus, des outils automatiques vérifient régulièrement que vos ouvertures sont réellement utilisées, en particulier:</p> <ul> <li>s'il y a (encore) un service écoutant sur le port ouvert;</li> <li>si nous avons récemment observé des connections vers le port ouvert.</li> </ul> <p>Pour les <a href="https://network.cern.ch/sc/fcgi/sc.fcgi?Action=SearchForSets&ForAction=DisplaySet">sets LANDB</a> homogènes, il suffit qu'un des serveurs de ce set remplisse les conditions mentionnées ci-dessus (puisque nous considérons qu'il s'agit d'un set homogène avec load-balancing et des serveurs de secours).</p> <p>Si d'aventure l'ouverture nous semble être obsolète, une notification sera envoyée par email à l'utilisateur principal et à la personne responsable du serveur ou set correspondant.</p> </div> <!-- main ends --> <!-- SIDEBAR --> <!-- sidebar menu starts --> <div id="sidebar"> <ul class="sidemenu"> <li><a href="/home/en/privacy_statement.shtml">Déclaration de confidentialité (en anglais)</a></li> </ul> <h3>R&eacute;ponse aux incidents de s&eacute;curit&eacute; informatique</h3> <ul class="sidemenu"> <li><a href="/services/fr/emergency.shtml">Urgences</a> <li><a href="https://gitlab.cern.ch/ComputerSecurity/public/">« Forensics Toolkit »</a> <li><a href="/services/fr/sems.shtml">« Self-Mitigation Portal »</a></li> </ul> <h3>Conceil, tests de pénétration et évaluations</h3> <ul class="sidemenu"> <li><a href="/services/fr/reviews.shtml">...sur demande</a> <li><a href="/services/fr/whitehats.shtml">« CERN WhiteHat Challenge »</a> </ul> <h3>Détection d'intrusion machine</h3> <ul class="sidemenu"> <li><a href="/services/fr/csl.shtml">« Logging » central pour la s&eacute;curit&eacute;</a></li> <li><a href="/services/fr/password_dumps.shtml">Notifications de « dump de mot de passe »</a></li> <li><a href="/services/fr/receipts.shtml">Les notifications de login à distance</a></li> </ul> <h3>Contrôle du trafic & surveillance</h3> <ul class="sidemenu"> <li><a href="/services/fr/dns.shtml">Analyse DNS</a></li> <li><a href="/services/fr/dnim.shtml">Analyse statistique du trafic</a></li> <li><a href="/services/fr/ids.shtml">D&eacute;tection des intrusions sur le reseau</a></li> <li><a href="/services/fr/firewall.shtml">Le pare-feu du périmètre extérieur</a></li> <li><a href="/services/fr/spam.shtml">Filtrage « SPAM »</a></li> </ul> <h3>« Scans » de vuln&eacute;rabilit&eacute;s</h3> <ul class="sidemenu"> <li><a href="/services/fr/passwords.shtml">« Crackage » de mots de passe</a></li> <li><a href="/services/fr/device_scans.shtml">Scans des appareils</a></li> <li><a href="/services/fr/web_scans.shtml">Scans des application Web</a></li> <li><a href="/services/fr/network_scans.shtml">Scans du r&eacute;seau</a></li> </ul> </div> <!-- sidebar menu ends --> <!-- content-wrap ends--> </div> <!-- footer starts --> <div id="footer-wrap"> <div id="footer-bottom"> &copy; Copyright 2025<strong> <a href="https://cern.ch/security">CERN Computer Security Office</a></strong> <table> <tr> <td id="footer-info-left"> e-mail: <a href="mailto:Computer.Security@cern.ch">Computer.Security@cern.ch</a><br/> Utilisez la cl&eacute; PGP suivante pour encrypter vos messages : <br/> ID: 0x954CE234B4C6ED84<br/> <a href="https://keys.openpgp.org/vks/v1/by-fingerprint/429D60460EBE8006B04CDF02954CE234B4C6ED84">429D 6046 0EBE 8006 B04C DF02 954C E234 B4C6 ED84</a> </td> <td id="footer-info-right"> T&eacute;l&eacute;phone: +41 22 767 0500<br/> (&Eacute;coutez les instructions enregistr&eacute;es.) </td> </tr> </table> </div> </div> <!-- footer ends--> </div> <!-- wrap ends here --> </body> </html>