Centre Réseau & Informatique Commun
Daniel Guéniche et Laurent Neiger

------


 À Mme Debischop et Mr Jollans, Délégation Régionale,
MM. les Directeurs de laboratoires,
MM. les utilisateurs du site
 
Objet : Rapport d'activité du CRIC

Grenoble, le 4 Janvier 2001
 


------

Grandes lignes de l'activité du CRIC durant l'année 2000 :




Labs :

Après un an d'activité on peut dire que le remplacement de la machine labs (un SUN sous sunOS) par un PC sous Linux a été une bonne opération. Cette machine s'est révélée fiable et capable d'assumer toutes les tâches (serveur de noms, serveur d'accès, etc.). Ses deux processeurs de 500Mhz supportent par ailleurs sans problème la montée en charge.

Ce choix nous a permis :

  • de mieux connaître ce système d'exploitation plein d'avenir puis de partager ces connaissances,
  • de réaliser des économies à l'achat de la machine, mais aussi en nous affranchissant de la maintenance annuelle.
    • Sécurité :

    Labs a subi une sérieuse attaque en novembre 2000. Des fichiers système ont été remplacés, des virus ont été installés. Heureusement cette attaque a été aussitôt détectée et a permis de localiser sa source : une machine interne exploitée depuis l'extérieur depuis 2 mois.
    Ce type d'attaque, venant du site lui-même, nous a obligé a revoir la politique globale de sécurité. Ou plutôt de devancer sa mise en oeuvre, car nous l'envisagions déjà.
    Cette politique, définie lors de la réunion des administrateurs le 17 novembre 2000, est la suivante :
    Messagerie depuis l'extérieur :

    Permettre à nos utilisateurs de consulter leur messagerie depuis l'extérieur sans contrainte mais en toute sécurité est un vieux rêve qui est peut-être en passe de devenir réalité.

    HTTPS :

    Quatre stagiaires ont en effet mis en place sur labs durant l'été 2000 un serveur HTTPS. A traduire par HTTP (ou accès web) Sécurisé. Depuis, nous avons adapté et complété leur travail et aujourd'hui le projet est en phase d'observation. Pour l'essayer il vous suffit d'indiquer cet URL à votre navigateur favori :

    https://labs.grenoble.cnrs.fr

    Mais auparavant merci de parcourir cette introduction
     

    Mailman :

    Cette page HTTPS sur labs vous donne accès à un logiciel de messagerie: mailman, dont nous avons pu obtenir une licence en tant qu'organisme de recherche. C'est l'outil parfait pour le chercheur en déplacement ou en visite dans un laboratoire extérieur pour peu de temps : associé à HTTPS, mailman lui permet depuis n'importe où, via n'importe quel opérateur, depuis tout type de machine ou système d'exploitation, d'avoir accès à sa messagerie de façon sûre et immédiate.

    Ce que précisément ce logiciel permet et ne permet pas est également résumé dans l'introduction de HTTPS (https://labs/https_labs.html).
     

    Périmètre de Confiance :

    Avec le HTTPS nous avons introduit la notion de "Périmètre de Confiance", espace considéré comme fiable, autorisant les opérations délicates comme l'initialisation d'un mot-clé ou la réinitialisation de votre mot de passe.

    Depuis le site CNRS vous êtes dans ce Périmètre, sauf si votre machine supporte le telnet, même si elle n'est pas directement ouverte à l'extérieur. Tout simplement parce qu'un pirate peut aisément rebondir dessus depuis l'une des machines ouvertes sur le site. Cependant, un fichier d'exceptions composé de couples "nom de machine"/"login sur labs" prend en compte ces cas particuliers.

    Notez que les accès par modem sont considérés comme hors du Périmètre.
     

    Mot-clé :

    Depuis le Périmètre de Confiance il vous sera demandé d'entrer (seulement la première fois) un mot-clé. Ce mot-clé est une sorte de mot de passe, en plus personnel, que vous ne devrez jamais ni oublier, ni confier à qui que ce soit. Il vous sera demandé par exemple pour pouvoir consulter votre messagerie depuis l'extérieur ou si vous avez oublié votre mot de passe.
     

    A venir :
    par exemple pour pouvoir consulter votre messagerie

    A terme cette page vous permettra  :
    Administrateurs :

    Les administrateurs n'ont pas été oubliés. Grâce à un autre stagiaire, ce qu'ils souhaitaient depuis plusieurs années est enfin possible : ils peuvent depuis une page web sécurisée gérer entièrement le DNS (serveur de noms) concernant leur laboratoire. Une autre page en préparation leur permettra de gérer les comptes utilisateurs, ce qu'ils demandent également depuis fort longtemps.
     
    Réseau :

    MétroNet :

    En fin 99 nous sommes passés du réseau ARAMIS régional à un réseau à l'échelle de Grenoble: SMHD, le Service Multi-site à Haut Débit de France Télécom.

    Le 6 décembre 2000 nous avons basculé sur le réseau métropolitain MétroNet (voir schéma), un réseau de fibres optiques privées dont nous sommes co-propriétaires pour 15 ans renouvelables. L'opération a coûté l'équivalent de 3 ans d'abonnement au réseau ARAMIS. Lequel n'offrait que 2Mbs alors que les débits sur MétroNet suivront nos besoins, même s'ils devaient exiger plusieurs Gigabits.

    Le cheminement de sécurisation (également en fibres optiques et totalement indépendant) devrait être livré en mars 2001 (en bleu sur le schéma).
    En attendant, une solution d'attente se met en place avec la collaboration du CEA, de l'ISN et de l'ESRF.

    Une inconnue subsiste : l'administration centrale de ce réseau Métropolitain. Continuera-t-elle à être assurée par le CICG (Campus) ou sera-t-elle sous-traitée ?
     

    Nouvel équipement central :

    Un dossier a été adressé au COMI (le Comité d'Orientation des Moyens Informatiques) afin de financer le changement de notre équipement central. Ce dossier, qui doit prochainement repasser en commission a, selon le secrétaire du COMI lui-même, de bonnes chances d'aboutir.

    Les nombreuses pannes de notre commutateur central tandis que nous établissions le cahier des charges de celui qui devait le remplacer, ont fait évoluer notre vision de l'équipement central. Nous avons réalisé qu'en répartissant ses fonctions en éléments indépendants, au lieu de les concentrer dans un seul équipement (voir schéma joint), il devient plus simple, plus fiable, plus évolutif ... et moins cher à l'achat et en maintenance .

    En attendant l'achat cet équipement et la mise en place effective du Gigabit sur MétroNet (septembre 2001 ?), un PC sous Linux doté de 5 interfaces 10/100Mbs assure le routage et le filtrage au niveau de notre site.

    Le travail fourni par une telle machine est tout à fait comparable à un routeur évolué. Aussi l'expérience acquise -notamment en matière de filtres, sera transmise aux administrateurs afin qu'ils puissent aisément configurer en routeur, le PC qu'ils placeront devant leur laboratoire.
     

    Inter-PABXs :

    Le projet de raccordement des autocommutateurs téléphoniques entre notre site et le Campus n'a pas avancé.
     

    Coriolis :

    Le laboratoire Coriolis a demandé officiellement être raccordé directement sur notre site et non plus via l'ENSERG. Ce raccordement est effectif depuis novembre 2000.
     

    Modems :

    Une stagiaire, cet été 2000, a mis au point la procédure de connexion par modem depuis une machine Linux et a réalisé un excellent tutorial :

    http://www.grenoble.cnrs.fr/FrPages/InfosLocales/AccesDistants/AccesDistants.html

    Début novembre notre serveur de modems (qui répond à une cinquantaine d'appel par jour) est tombé en panne. Nous l'avons remplacé par celui de secours.
     

    Perspectives :

    Nos utilisateurs, depuis leur laboratoire, vont donc pouvoir profiter des augmentations régulières de débit sur RENATER (au niveau national et sur les liaisons internationales) et de la montée en puissance des réseaux européens.

    Nos prochains efforts porteront sur les applicatifs réseau :
    on comprend qu'avec l'ouverture des débits sur le réseau, tombe le dernier obstacle de la vulgarisation de la téléconférence.