Interruptions de service :

• 3 juin: coupure d'électricité de 2 heures dans la nuit au niveau du poste de transformation GEG alimentant le site en 15kV.
• 23 juin: nouvelle coupure de 30mn vers midi.
  Un nouveau mode d'alimentation est prévu en 2007 avec GEG.
  
  
• 20 janvier : altération du site WWW suite à un piratage.
  Cet incident a montré la vulnérabilité de ce serveur liée à l'ouverture laissée aux responsables des pages hébergées (correspondants). Ceux-ci peuvent en effet changer à tout moment des pages qui, si elles sont mal protégées, peuvent livrer l'accès au site entier. Aussi un certain nombre de décisions ont été prises pour que pareil incident ne soit pas aisément reproductible ou que son impact soit réduit :
  1) côté correspondants :
  
  • le niveau de sécurité des scripts soumis a été considérablement élévé,
  • chaque formulaire, script ou page dynamique doit être validée par un informaticien permanent CNRS avant sa mise en ligne.
  2) côté CRIC :
  
  • mise en place d'une politique de sauvegarde du serveur WWW et de ses données, sur 15 jours,
  • mise en place d'une procédure de restauration devant permettre en cas de nouvel incident de redémarrer le service dans la journée.
    Cette procédure de sauvegarde/restauration a d'ailleurs été étendue à l'ensemble des serveurs.
  
  
• du 5 au 10 novembre : suspension du webmail.
  Suite à des pertes de mails signalées par quelques utilisateurs lors de la consultation des mails à distance via HTTPS, nous avons suspendu l'accès au Webmail le temps de comprendre l'origine du problème.
  Nous avons alors constaté que le Webmail, pour gérer ses folders, entrait parfois en conflit avec le logiciel Popper (qui assure la récupération des mails pour les clients type Eudora, Outlook ou autre). Nous avons alors modifié le mode de travail de celui-ci. Depuis, plus aucun problème nous a été signalé.
  

Amélioration du service rendu :

• L'ennui des mails archivés (cliquez ici pour un rappel du principe) était la récupération de type tout ou rien. C'est pourquoi nous avons ajouté un folder "mails-archivés" au webmail pour vous permettre un accès direct et sélectif à vos mails en archive.
  
  
• cluster Haute Disponibilité:
  en septembre nous avons remplacé le serveur labs par un cluster haute disponibilité. Un cluster est une grappe de machine banalisées. On parle de haute disponibilité lorsque cette grappe est constituée d'un Primaire et d'un (ou plusieurs) Secondaire, capable de remplacer à tout moment le Primaire.
  Cliquer ici pour un schéma commenté.
  Cette opération a apporté une grande puissance de traitement (double CPU de 2.2Ghz), davantage de rapidité d'accès aux données, mais surtout une grande fiabilité :
  
  • les 3 disques (système, mails et webmail) sont redondés (d'où 6 disques par serveur) et échangeables à chaud,
  • en cas de panne d'un autre élément (carte réseau, carte mère, ...) le serveur Primaire serait automatiquement remplacé par l'un des Secondaires.
  
  Nous avons donc là un système solide. Pour l'être totalement cependant, il conviendrait d'alimenter électriquement, séparément, le Primaire et le(s) Secondaire(s). Cela est activement envisagé en ce moment.
  
  Ce système est également prévu pour réaliser un équilibrage de charge. Nous n'avons pas encore mis en oeuvre cette fonctionnalité pour 2 raisons :
  1. nous avons préféré procéder en deux temps
  2. les logiciels (libres) ne sont pas encore tout à fait mûrs
  
  Ce système qui réalise à la fois la haute disponibilité et une répartition des tâches entre les serveurs n'existait pas, il nous a fallu le penser, le mettre au point et écrire le programme qui gère l'ensemble.
  
  
• Serveur VPN :
  Comme vous souhaitiez une solution pour pouvoir accéder aux ressources de la bibliothèque, même lorsque vous vous trouvez hors du site, les administrateurs ont proposé que soit installé en central un serveur de VPN.
  C'est ce qui a été fait. Grâce à ce système vous pouvez même accéder au serveur de messagerie sans avoir à demander d'accès distant. Sur ce lien vous trouverez une explication plus détaillée sur ce moyen de vous connecter sur le polygone comme si vous étiez depuis le polygone.

Missions réseau :

• Raccordement du LPSC.
  Le LPSC a toujours accédé de façon indépendante au réseau national via un opérateur privé. En mars pourtant, il a fait la demande d'être raccordé à la prise CNRS.
  
  Sur le Polygone Scientifique il y a 3 prises accédant au réseau métropolitain haut débit : celle du CEA, celle de l'EIE (ESRF, ILL, EMBL) et celle du CNRS.
  La prise CNRS ou prise Université/Recherche —située au CRIC, a pour vocation d'accueillir tous les Instituts CNRS, Universitaires ou mixtes du Polygone Scientifique. Ainsi donc, après consultation du Comité de Pilotage TIGRE (la partie Université/Recherche du réseau métropolitain MétroNet ) nous les avons raccordés le 31 mai. Nous avons également proposé et étudié pour eux une solution de sécurisation via l'ESRF.
  
  
• Raccordement Minatec.
  La partie Université de Minatec dépendra également (routage IP et téléphonie) de la prise CNRS ( cf même schéma). Nous avons dû cependant nous engager à en renforcer la sécurisation, d'un point de vue électrique et routage IP.
  Là aussi nous avons proposé une solution de sécurisation.
  
  
• Passage de l'IBS au Gigabit.
  L'IBS a souhaité augmenter le débit de son raccordement. Le 22 novembre nous l'avons passé de 10Mbits au Gigabit. Nos équipements réseaux centraux ayant été largement dimensionnés en 2002, ce passage, ainsi que le raccordement du LPSC et de Minatec ne pose aucun problème, ni en terme de nombre de ports Gigabits ni en terme de CPU (occupé en moyenne actuellement à moins de 10%).
  Comme on peut le voir ici notre station de surveillance réseau a déjà intégré ces modifications.
  
  
• Mise en place d'un "tunnel" entre le Campus et le CNRS, servant de pont entre les 2 pôles pour le réseau spécial que l'université a dédié au nomadisme et qui relie tous les Instituts de la plaque grenobloise.
  L'idée est qu'un ordinateur reste confiné dans un réseau non-routable tant qu'il n'est pas authentifié. Un réseau qui donne accès cependant à tous les serveurs.

WiFi & nomadisme :

• Le WiFi peut être déployé en toute sécurité.
• Depuis n'importe où en France, un utilisateur peut se connecter dans son laboratoire.
• De même, le laboratoire peut accepter (avec des droits restreints) un visiteur s'il est authentifié par la base de données de son laboratoire d'origine.
• Suppression des virus mis en circulation par des ordinateurs infectés.
  
• Une action malveillante depuis le laboratoire, ne laissera plus celui-ci seul face à un organisme plaignant ou même à RENATER (qui prépare une nouvelle charte).
  Il faut savoir qu'en effet la tendance est de demander des comptes au site d'où est parti une attaque. Comme l'indique cet arrêt de la Cour de Paris une simple société peut être assimilée à un FAI.
  Et le projet de loi relatif à la lutte contre le terrorisme actuellement examiné par l'Assemblée Nationale, prévoit pour tout fournisseur d'accès Internet, l'"obligation de conservation des données de connexion".
  

Echanges de connaissances :

• Formateurs réseaux dans le cadre de la Formation Permanente de l'UJF.
• Formateurs SSR pour administrateurs systèmes & réseaux.
• Dans le cadre de la métrologie : présentation aux universités, de notre logiciel de surveillance réseau temps réel.
• Participation en début d'année aux travaux du Multicast avec les collègues de la plaque métropolitaine (accès au site).

Divers :

• Réalisation de pages web exposant le fonctionnement des principaux services que nous offrons (POP, HTTPS, le principe des mails archivés, la manière dont sont réalisées les sauvegardes, ...).
• Encadrement d'une douzaine de stagiaires.
• Configuration/adaptation du serveur de listes pour authentification par Certificat Electronique.
• Sur le site HTTPS des administrateurs, réalisation d'une page d'information sur un compte utilisateur.

Prochains objectifs :

• La mobilité. Pour le regroupement des laboratoires il faut en effet envisager :
  • La mise au point de méthodes sécurisées pour qu'un chercheur passe aisément d'un groupe à l'autre, d'un bâtiment à l'autre, voire d'un site à l'autre.
  • L'uniformisation de ces méthodes en s'appuyant sur les standards et le travail mené par l'Université, notamment sur l'authentification répartie.
• Renforcer la fiabilité de la prise Université/Recherche (située dans le local technique du CRIC) dont nous, site CNRS, avons la responsabilité :
  • Double alimentation électrique (mais cela assurera en même temps la sécurisation du cluster et des autres serveurs) et augmentation de l'autonomie.
  • Envisager une redondance dynamique du routeur de site.
• Mise en place de la machine accounting.
  L'idée est de transmettre à un serveur dédié, les bases de données établies lors de l'observation en temps réel du réseau. Ce serveur disposerait alors d'un historique des échanges, permettant d'observer si le réseau est correctement utilisé, retrouver trace d'une intrusion, comprendre un trafic insolite, etc.
• Mise en place de l'équilibrage de charge sur le cluster.

Nous souhaitons à chacun d'entre vous de très bonnes fêtes de fin d'année

Ce document est disponible sur http://cric.grenoble.cnrs.fr/cric/presentation/bilans-annuels/RapportCRIC2005.html