Centre Réseau & Informatique Commun
Daniel Guéniche, Laurent Neiger et Dominique Fournier
------
À Mme A. Corval,
Déléguée Régionale,
MM. les Directeurs de laboratoires,
Mmes et MM. les utilisateurs du site
Objet : Rapport d'activité du CRIC pour l'année 2005
Grenoble, le 14 décembre 2005
------
Grandes lignes de l'activité
du CRIC durant l'année 2005
Interruptions de service :
- 3 juin: coupure d'électricité de 2 heures dans la nuit au niveau du poste de transformation GEG alimentant le site en 15kV.
- 23 juin: nouvelle coupure de 30mn vers midi.
Un nouveau mode d'alimentation est prévu en 2007 avec GEG.
- 20 janvier : altération du site WWW suite à un piratage.
Cet incident a montré la vulnérabilité de ce serveur liée
à l'ouverture laissée aux responsables des pages hébergées (correspondants).
Ceux-ci peuvent en effet changer à tout moment des pages qui, si elles sont mal
protégées, peuvent livrer l'accès au site entier.
Aussi un certain nombre de décisions ont été prises
pour que pareil incident ne soit pas aisément reproductible ou que son impact soit réduit :
1) côté correspondants :
- le niveau de sécurité des scripts soumis a été considérablement élévé,
- chaque formulaire, script ou page dynamique doit être validée par un
informaticien permanent CNRS avant sa mise en ligne.
2) côté CRIC :
- mise en place d'une politique de sauvegarde du serveur WWW et de ses données, sur 15 jours,
- mise en place d'une procédure de restauration devant permettre en cas de nouvel incident de redémarrer le service dans la journée.
Cette procédure de sauvegarde/restauration a d'ailleurs été étendue à l'ensemble des serveurs.
- du 5 au 10 novembre : suspension du webmail.
Suite à des pertes de mails signalées par quelques utilisateurs lors de la
consultation des mails à distance via HTTPS, nous avons suspendu l'accès au Webmail le temps de comprendre l'origine du problème.
Nous avons alors constaté que le Webmail, pour gérer ses folders, entrait parfois en
conflit avec le logiciel
Popper
(qui assure la récupération des mails pour les clients type Eudora, Outlook ou autre).
Nous avons alors modifié le mode de travail de celui-ci. Depuis, plus
aucun problème nous a été signalé.
Amélioration du service rendu :
- L'ennui des mails archivés
(cliquez ici pour un rappel du principe)
était la récupération de type tout ou rien.
C'est pourquoi nous avons ajouté un folder "mails-archivés" au webmail pour vous permettre un accès direct et sélectif à vos mails en archive.
- cluster Haute Disponibilité:
en septembre nous avons remplacé
le serveur labs par un cluster haute disponibilité.
Un cluster est une grappe de machine banalisées. On parle de haute disponibilité lorsque cette grappe est constituée d'un Primaire et d'un (ou plusieurs) Secondaire, capable de remplacer à tout moment le Primaire.
Cliquer ici pour un schéma commenté.
Cette opération a apporté une grande puissance de traitement (double CPU de 2.2Ghz), davantage de rapidité d'accès aux données, mais surtout une grande
fiabilité :
- les 3 disques (système, mails et webmail) sont redondés
(d'où 6 disques par serveur) et échangeables à chaud,
- en cas de panne d'un autre élément (carte réseau, carte mère, ...) le serveur
Primaire serait automatiquement remplacé par l'un des Secondaires.
Nous avons donc là un système solide. Pour l'être totalement cependant, il conviendrait
d'alimenter électriquement, séparément, le Primaire et le(s) Secondaire(s). Cela est activement envisagé en ce moment.
Ce système est également prévu pour réaliser un équilibrage de charge.
Nous n'avons pas encore mis en oeuvre cette fonctionnalité pour 2 raisons :
- nous avons préféré procéder en deux temps
- les logiciels (libres) ne sont pas encore tout à fait mûrs
Ce système qui réalise à la fois la haute disponibilité et une répartition des
tâches entre les serveurs n'existait pas, il nous a fallu le penser, le mettre au point
et écrire le programme qui gère l'ensemble.
- Serveur VPN :
Comme vous souhaitiez une solution pour pouvoir accéder aux ressources de la
bibliothèque, même lorsque vous vous trouvez hors du site, les
administrateurs ont proposé que soit installé en central un serveur de VPN.
C'est ce qui a été fait. Grâce à ce système vous pouvez même accéder au serveur de messagerie sans avoir à demander d'accès distant.
Sur
ce lien vous trouverez une explication plus détaillée
sur ce moyen de vous connecter sur le polygone comme si vous étiez depuis le polygone.
Missions réseau :
- Raccordement du LPSC.
Le LPSC a toujours accédé de façon indépendante au réseau national via un
opérateur privé.
En mars pourtant, il a fait la demande d'être raccordé à la prise CNRS.
Sur le Polygone Scientifique il y a 3 prises accédant au réseau métropolitain haut débit : celle du CEA, celle de l'EIE (ESRF, ILL, EMBL) et celle du CNRS.
La prise CNRS ou prise Université/Recherche
située au CRIC, a pour vocation d'accueillir tous les Instituts
CNRS, Universitaires ou mixtes du Polygone Scientifique.
Ainsi donc, après consultation du Comité de Pilotage TIGRE (la partie Université/Recherche du réseau métropolitain
MétroNet
) nous les avons raccordés le 31 mai. Nous avons également proposé et
étudié pour eux une solution de sécurisation via l'ESRF.
- Raccordement Minatec.
La partie Université de Minatec dépendra également (routage IP et téléphonie)
de la prise CNRS (
cf même schéma).
Nous avons dû cependant nous engager à en renforcer la sécurisation, d'un point
de vue électrique et routage IP.
Là aussi nous avons proposé une solution de sécurisation.
- Passage de l'IBS au Gigabit.
L'IBS a souhaité augmenter le débit de son raccordement. Le 22 novembre nous
l'avons passé de 10Mbits au Gigabit. Nos équipements réseaux centraux ayant été
largement dimensionnés en 2002, ce passage,
ainsi que le raccordement du LPSC et de Minatec ne pose aucun problème, ni en terme de nombre de ports Gigabits ni en terme de CPU (occupé en moyenne actuellement
à moins de 10%).
Comme on peut le voir ici
notre station de surveillance réseau a déjà intégré ces modifications.
- Mise en place d'un "tunnel" entre le Campus et le CNRS, servant de pont
entre les 2 pôles pour le réseau spécial que l'université a dédié au nomadisme
et qui relie tous les Instituts de la plaque grenobloise.
L'idée est qu'un ordinateur reste confiné dans un réseau non-routable tant qu'il n'est pas authentifié.
Un réseau qui donne accès cependant à tous les serveurs.
WiFi & nomadisme :
Cet été nos stagiaires ont réalisé un énorme travail sur l'authentification des
postes clients : en WiFi ou en filaire, localement ou depuis l'extérieur. Une
petite interface a également été développée pour lancer une rapide séquence de tests
(dits de salubrité), afin de déterminer si le poste dispose d'un anti-virus à jour
et effectivement actif.
Nous aimerions (progressivement) conditionner l'accès au réseau à ce test de
salubrité et à une authentification.
L'idée est de poser les conditions propres à (r)établir la confiance sur le réseau.
Certes, le fait nouveau d'avoir à s'authentifier pour accéder au
réseau sera
d'abord ressenti comme une contrainte, mais d'une part cette démarche se
généralise (dans l'Université et au niveau Européen), d'autre part elle
deviendra aussi naturelle que d'avoir à user de sa clé pour entrer chez soi.
Avec un réseau où il y a la confiance (avec des utilisateurs authentifiés et des machines dotées d'un antivirus à jour),
les possibilités s'étendent :
- Le WiFi peut être déployé en toute sécurité.
- Depuis n'importe où en France, un utilisateur peut se connecter dans son laboratoire.
- De même, le laboratoire peut accepter (avec des droits restreints) un
visiteur s'il est authentifié par la base de données de son laboratoire d'origine.
- Suppression des virus mis en circulation par des ordinateurs infectés.
- Une action malveillante depuis le laboratoire, ne laissera plus celui-ci seul face à
un organisme plaignant ou même à RENATER (qui prépare une nouvelle charte).
Il faut savoir qu'en effet la tendance est de demander des comptes au site
d'où est parti une attaque.
Comme l'indique cet
arrêt de la Cour de Paris
une simple société peut être assimilée à un FAI.
Et le projet de loi relatif à la lutte contre le terrorisme
actuellement examiné
par l'Assemblée Nationale, prévoit pour tout
fournisseur d'accès Internet, l'"obligation de conservation des données de connexion".
Vous trouverez ici un point plus technique sur cette réflexion.
Echanges de connaissances :
- Formateurs réseaux dans le cadre de la Formation Permanente de l'UJF.
- Formateurs SSR pour administrateurs systèmes & réseaux.
- Dans le cadre de la métrologie : présentation aux universités, de notre logiciel de
surveillance réseau temps réel.
- Participation en début d'année aux travaux du Multicast avec les collègues de la plaque métropolitaine
(accès au site).
Divers :
- Réalisation de
pages web
exposant le fonctionnement des principaux services que nous offrons (POP, HTTPS, le principe des mails archivés, la manière dont sont réalisées les sauvegardes, ...).
- Encadrement d'une douzaine de stagiaires.
- Configuration/adaptation du serveur de listes pour authentification par Certificat Electronique.
- Sur le site HTTPS des administrateurs, réalisation d'une page d'information sur un compte utilisateur.
Prochains objectifs :
- La mobilité. Pour le regroupement des laboratoires il faut en effet envisager :
- La mise au point de méthodes sécurisées pour qu'un chercheur passe aisément d'un groupe à l'autre,
d'un bâtiment à l'autre, voire d'un site à l'autre.
- L'uniformisation de ces méthodes en s'appuyant sur les standards et le
travail mené par l'Université, notamment sur l'authentification répartie.
- Renforcer la fiabilité de la prise Université/Recherche (située dans le local technique du CRIC) dont nous, site CNRS, avons la responsabilité :
- Double alimentation électrique (mais cela assurera en même temps la
sécurisation du cluster et des autres serveurs) et augmentation de l'autonomie.
- Envisager une redondance dynamique du routeur de site.
- Mise en place de la machine accounting.
L'idée est de transmettre à un serveur dédié, les bases de données établies lors de l'observation en temps réel du réseau.
Ce serveur disposerait alors d'un historique des échanges, permettant
d'observer si le réseau est correctement utilisé, retrouver trace d'une intrusion, comprendre un trafic insolite, etc.
- Mise en place de l'équilibrage de charge sur le cluster.
Nous souhaitons à chacun d'entre vous de très bonnes fêtes de fin d'année
Le rédacteur pour le CRIC,
Guéniche
_______________________
Ce document est disponible sur http://cric.grenoble.cnrs.fr/cric/presentation/bilans-annuels/RapportCRIC2005.html