Avant-propos - ce qui suit est totalement biaisé par le fait que nous avons le controle total du réseau définition des vlans choix de l'affectation des prises dans tel ou tel vlan, routage et filtrage IP de chaque vlan depuis 1998 environ - sans cela, je n'ai pas réfléchi à la question et je n'ai rien à dire Je me demande simplement si cela a un sens de chercher une solution "raisonnable" L'accès depuis l'extérieur - depuis le domicile (ADSL), depuis le labo de la mission, depuis le cyber-café, ... - et donc indépendamment du type de machine (fixe ou pas) - gros travail fait sur le sujet depuis 1998 pour trouver le meilleur compromis, évolutif dans le temps fonctionnalités proposées depuis l'extérieur versus sécurité percue par les administrateurs possible, cad - garantissant la paix sociale - correct pour chaque partie - accessible d'usage aux utilisateurs - schéma de découpe - une DMZ avec 3 machines 1 sas accessible par SSH, pour rebondir à l'intérieur et monter uniquement les tunnels SSH que nous voulons (filtrage IP par ipfw) 1 machine accessible par SSH avec $HOME + /var/mail, mais impasse 1 patte du mailhost (POP, POPS, IMAPS, webmail) - un vlan de serveurs internes, accessibles par SSH via le sas -> permet d'avoir accès à tout - des vlans de postes clients, accessibles par SSH via le sas -> permet d'avoir accès à son Mac sous OS X (<10 users) Messagerie - 7 méthodes proposées au choix 1/ .forward ; via une interface Web 2/ webmail ; via Horde/IMP 3/ ssh + pine/mutt 4/ POP ; ca baisse, mais ca ne sera jamais 0 5/ IMAPS 6/ POPS 7/ POP et IMAP en tunnel sur SSH - elles sont toutes utilisées (surtout les 2/ et 3/), et permettent à chacun de trouver l'outil adapté à son savoir-faire - passage actuel de Horde/IMP 2.x/3.x à 3.x/4.x Transfert de fichiers - 3 méthodes proposées outils sur SSH : Linux : sftp/gftp, rsync, unison Windows : WinSCP, unison MacOS X : Fugu, rsync, unison webftp (made by JAS) -> /dev/null et remplacé par Horde 3/Gollem tunnel SSH pour FTP - asymptotiquement, les outils par SSH suffisent à presque tout le monde, vu leur convivialité - l'aspect "webftp" tend à etre limité au cyber-café Autres fonctions - possibilité de constituer des tunnels SSH via le sas pour le reste - accès Intranet et revues électroniques -> tunnel vers le proxy Squid - accès serveur Windows -> tunnel pour ICA et RDP - cela semble répondre à tous (?) les besoins exprimés -> pas de motivation pour se lancer dans les VPN - sentiment de maitrise et de simplicité lié à SSH, désormais bien connu de nous et des utilisateurs. Se lancer dans les VPN c'est se lancer dans l'acquisition d'une nouvelle culture Portables filaires - adressage IP statique des postes fixes, et durant qqs années des rares portables - mise en place d'un vlan dédié (=> prises dédiées) fin 2002 - serveur DHCP - filtrage IP strict en entrée (comme les postes fixes, cad 0 connexion entrante) - filtrage IP strict en sortie (uniquement les services telnet, SSH, pop(s), imap(s), http(s), ldap, afp avec log des connexions autres que http(s) - seuls droits d'accès vers nos réseaux impression : tcp/515 et tcp/9100 accès au proxy squid : FTP + revues en ligne accès au serveur SMTP - actuellement plus de 130 prises dans tout le batiment (au-delà de nos locaux propres) -> plus de 20 machines par jour - 0 problème particulier au niveau sécurité -> détection (via detescan ou en direct) des portables ayant un virus mais besoin d'appeler le CRI pour avoir le numéro de prise murale ex : un labo de Jussieu tourne detescan pour cela toutes les heures ! - on est parti pour avoir systématiquement une prise dans ce vlan par bureau (on doit en être à plus d'un bureau sur deux), vu que le cout des switches est faible, et que c'est la bonne réponse pour éviter le sans-fil ;-) Sans fil - aucune action sur le sujet jusque très récemment - deux bornes Airport achetées par deux équipes il y a 3 ans, dont une +/- en sauvage - deux bornes achetées plus récemment : occasion de faire qqch -> mise en place d'un autre vlan, avec les mêmes règles que le vlan précédent, sauf - suppression de telnet, pop, imap en sortie et mises de ces bornes dans ce vlan - compromis politique fait avec le CRI qui est en train de déployer une meta-infrastructure sur tous les sites Jussieu, avec authentification via Radius -> annuaire LDAP de l'université (sic...) - objectifs recherchés - reprendre la main en douceur sur la chose : 6 bornes dans ce vlan aujourd'hui - montrer au CRI notre bonne volonté - trouver une position de compromis le temps de migrer vers la solution du CRI, quand elle sera mure à tous points de vue (logiciels dans les postes clients, complétude de l'annuaire, gestion des gens de passage) - avec le minimum (0 !) de temps de gestion - un SSID commun et bien connu - pas de clef WEP - pas d'authentification 802.1x et & cie - pas de dépendance logicielle sur le poste client - en éduquant un peu les utilisateurs - en permettant une expérimentation sur l'usage, et la disponibilité (murs, armoires, étages ?) - tout en répétant que 100 Mbs commutés fiables, c'est nettement mieux que 5 Mbs si on est tout seul éventuels ;-) -> gros effort sur les prises murales dans le vlan Portables - seul projet : déployer 3 bornes dans une zone de grandes salles de cours et donc de conférences/réunions, pour faciliter la vie, et ne pas laisser dire qu'on ne fait rien sur le sujet ;-) Perspectives - l'infrastructure sans-fil, c'est de l'infrastructure réseau. C'est donc le role du CRI. Cf l'histoire de nos gros cables Ethernet ou Ethernet fin dans nos labos il y a 15 ans -> /dev/null Ce qu'on fait actuellement sur le sans-fil, c'est donc transitoire - fil ou sans-fil à terme, meme combat. Il faudra sans doute en passer par de l'authentification pour accéder au réseau. Cf 802.1x & cie, quand cela sera totalement mur partout : tous les switches et tous les OS pas trop vieux Il y a sans doute encore qqs années à vivre dans la config actuelle - interne ou externe à terme, meme combat. Je pense que nous serons amenés à abandonner - la gestion des adresses IP statiques (c'est chiant qd meme !) - et donc l'effort et l'apport de connaissance de la machine au bout de la prise : - bureau & prise - modele & OS - proprietaire et & usager - car c'est trop lourd pour nous 568 postes actuellement connus, en ayant viré la presque totalité des portables -> repositionnement dans une logique FAI amélioré - DHCP pour tout le monde (a fortiori avec IPv6), avec sans doute découpage prise pour postes/gens connus versus prises pour postes/gens inconnus -> adaptation du vlan dynamiquement via 802.1x - sécurité miminale appliquée aux postes hébergés (pas de connexion entrante en gros), tout en conservant une large souplesse sur l'accès en sortie - mais faire tendre vers 0 les privilèges que les postes locaux (fixes ou pas, filaires ou pas) ont vers nos serveurs -> banalisation via uniquement des protocoles sécurisés de l'accès aux services où que l'on soit - et ca, nous en sommes sans doute pas loin - serveur de fontes X et XDM -> logique de clients legers - IMAP -> il suffit de passer à IMAPS - serveur FTP -> client SFTP - serveur proxy -> tunnel SSH - serveur SMTP -> SMTPS ou tunnel SSH - export NFS de linux:/usr/local -> rsync - jetons Maple -> pas de solution - bref, la logique de la maquette Mathrice n'est finalement pas si loin ;-)