FLASH INFORMATIQUE FI



DIODE, étape II : on ferme tout !




Martin OUWEHAND


Depuis juillet 2000, DIODE restreint l’accès depuis l’extérieur au réseau informatique de l’EPFL, ceci dans le but d’améliorer sa sécurité (les vers et autres scans sont retenus à l’entrée). On trouvera en partant de la page http://dit.epfl.ch/page51041.html une description détaillée du système, dont on peut toutefois résumer les points saillants :

  1. par défaut, seuls les services SSH (port 22) et Web (ports 80 et 443) éventuellement offerts par un serveur de l’EPFL sont accessibles depuis l’extérieur.
  2. si un serveur de l’EPFL doit offrir d’autres services que ceux-là, il est placé sur demande du responsable informatique dans une liste d’exceptions et dès lors tous ses services/ports sont accessibles depuis l’extérieur.
  3. les connexions depuis l’EPFL vers des sites externes sont permises sans restriction. De cette manière, DIODE est en fait totalement transparent à la vaste majorité des utilisateurs de l’EPFL.

Si les points 2) et 3) restent valables, nous pensons changer à moyen terme le point 1), qui deviendra :

  1. par défaut, tous les ordinateurs de l’EPFL sont totalement inaccessibles depuis l’extérieur de l’EPFL. Toutefois un serveur de l’EPFL peut rester accessible de l’extérieur pour n’importe quelle combinaison des ports 22, 80 et 443, sur demande du responsable informatique.

Le but de cet article est d’indiquer les raisons et le calendrier de ce changement, ainsi que des moyens qui seront mis en place pour permettre la continuité des services qui dépendent de la configuration actuelle. Soulignons d’abord que ce changement ne concerne que les administrateurs de serveurs de l’EPFL, qu’il n’aura aucun impact sur la vaste majorité des utilisateurs de l’EPFL, et que, par exemple, le courrier électronique continuera de leur parvenir en provenance de l’extérieur, en transitant par les serveurs e-mail de l’École (dont l’accès restera bien entendu ouvert).
Les raisons du changement proposé sont faciles à trouver, puisqu’il y a eu des problèmes de sécurité informatique assez graves liés à chacun des services laissés ouverts : le vers Code Red en été 2001 pour le port 80, quelques dizaines de serveurs piratés par le biais du port SSH 22 (avec un épisode marqué fin 2001/début 2002) et enfin le vers Slapper à l’automne 2002 pour le port 443. On pourra alors se demander s’il n’aurait pas mieux valu les fermer dès juillet 2000. La réponse est qu’il était alors à craindre qu’un trop grand nombre de serveurs auraient dû être ouverts (en particulier de nombreux serveurs Web d’unité), diminuant d’autant le bénéfice attendu de la configuration de DIODE. Les progrès réalisés depuis, tant dans le logiciel que dans le matériel, permettent aujourd’hui aux routeurs reliant l’EPFL à l’Internet de filtrer de manière plus fine les paquets entrants et c’est ce qui nous a conduit à proposer cette nouvelle configuration. Toutefois, comme en 2000, il n’est toujours pas possible de filtrer ou de laisser ouvert à la demande tel port pour tel serveur et nous devons restreindre cette ouverture fine aux ports 22, 80 et 443.
La demande d’ouverture partielle (n’importe quelle combinaison des ports 22, 80 et 443) ou totale d’un serveur se fera à travers le formulaire Web :
https://tremplin.epfl.ch/diode.cgi
par un responsable informatique de l’unité à laquelle est rattachée la machine. On se reportera à l’article de Laurence Denoréaz pour en savoir plus sur ce rôle de responsable informatique et comment il est intégré au système de l’accréditation. Précisons simplement que c’est par un login Tequila que sera confirmé que vous remplissez effectivement le rôle de responsable informatique pour telle ou telle unité. Le formulaire ci-dessus tient également compte de la hiérarchie des unités, c’est-à-dire que le responsable informatique d’une unité l’est automatiquement pour toutes ses sous-unités : par exemple, le responsable informatique d’une faculté pourrait demander l’ouverture de n’importe quel serveur de cette faculté.
Attention ! il n’y aura pas de transfert automatique de la table des machines ouvertes dans la configuration actuelle vers le nouveau système et les responsables informatiques doivent quand même déclarer par le formulaire ci-dessus celles de ces machines dont l’accès doit rester ouvert, car nous soupçonnons qu’un nombre appréciable d’entre elles le sont par oubli ou inertie. Pour éviter ceci dans le futur, un système de rappel et de confirmation périodique sera mis en place. Quant au délai de mise en œuvre du nouveau système, il faut distinguer une période d’enregistrement, qui démarre dès aujourd’hui (les responsables peuvent d’ores et déjà demander l’ouverture des machines dans le nouveau système par le formulaire susmentionné), et la mise en œuvre effective de DIODE étape II, avec le filtrage plus fin par les routeurs des ports 22, 80 et 443 et l’utilisation de la nouvelle table des serveurs ouverts, pour laquelle nous visons le courant du mois de novembre. La date définitive sera toutefois arrêtée en concertation avec les représentants des Facultés lors d’une séance de la COSI (Coordination Opérationnelle des Services Informatiques). Un article dans un prochain numéro du Flash Informatique annoncera la date définitive ainsi que les amendements au système décrit ici qui auraient résulté de cette concertation.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.