Le 24 janvier 2004 a eu lieu une réunion entre Katy Tréca, directrice de la DSI, Emmanuel Quéméner, qui gère le firewall de l'ENS, et le CRANS.
Présents
- Emmanuel Quéméner
- Frédéric Pauget
- Katy Tréca
- Philippe Gambette
- Yohan le Diraison
Compte-rendu
Emmanuel Quéméner s'est montré favorable à la suppression du firewall ENS pour le CRANS, insistant sur la responsabilité qui nous incomberait alors.
Pour le port 25 en effet (SMTP), Emmanuel a mis en avant que des nombreux virus l'utilisent. Nous avons répondu que comme tous les services que nous proposerions en supplément de ceux existant actuellement, il faudrait demander l'autorisation au CRANS, et donc seuls des adhérents "de confiance" qui ont prouvé leur sens des responsabilités pourraient en bénéficier. Fred a ajouté que la configuration de l'utilisateur serait testée (pas d'openrelay).
Pour le port 80, il faut faire attention à d'éventuels sites de warez. Bien qu'avec la limite actuelle d'upload, ce ne soit pas vraiment envisageable, il faudra mettre en place une politique claire sur ce point ce qui sera prochainement réglé en réunion CA du CRANS.
RENATER publie une liste de recommandations "minimales" sur son site. Emmanuel Quéméner nous a passé une copie d'un mail avec les recommandations du CNRS, concernant notamment le filtrage du peer-to-peer. Pour cela, Emmanuel Quéméner utilisait du pattern-matching au début, il utilise maintenant le module iptables-p2p, que nous allons donc aussi installer.
Des contrôles ponctuels devront être effectués pour vérifier que le trafic des ports ouverts correspond bien avec les assignations de l'IANA.
Katy Treca souhaite que nous établissions une liste des mesures, tant administratives que du point de vue du firewall, mises en place à ce jour, ainsi qu'une sorte de convention avec les réactions de chacun en cas de problème.
Emmanuel Quéméner voudrait être tenu au courant des fautifs, et, à la mise en place de notre firewall, pouvoir le tester.
Prochaine réunion
Nous rencontrerons de nouveau Emmanuel Quéméner et Katy Treca avec une liste des mesures mises en place, tant administratives que du point de vue du firewall, lundi 31 janvier à 8h30.