Les raisons d'être de cette infrastructure intimement rattaché au domaine steria.org dont Pascal Vilarem, ex-employé de steria, est le détenteur et Jérôme Benoit, employé de Steria est l'administrateur sont les suivantes :
Il n'a jamais eu pour objectif d'être ni en haute disponibilité, ni avec des GTR (la connectivité Internet est offerte via un connexion grand public). Le TCO de cette infrastructure est dérisoire par rapport aux services qu'elle rend : le prix d'une connexion ADSL grand public et un peu d'administration de l'ordre d'une dizaine de j/h par an imputé sur des contrats divers.
Toutes évolutions de cette infrastructure qui iraient à l'encontre de ces objectifs premiers et qui en augmenteraient le TCO serait une erreur dont l'impact sur la productivité non seulement de l'agence mais des processus de transversalité chez steria se chiffreraient sur plusieurs milliers d'euros.
Très simple, c'est la même que celle sur le LAN de la plupart des foyers français ayant une connexion Internet grand public.
------------ ------- ------ ------- | Internet | --ADSL-- | CPE | --WAN--| FW |--| LAN | ------------ ------- ---|-- ------- ------- | DMZ | -------
LAN 10.16.0.0/16
DMZ 192.168.0.1/16
plage DHCP : 10.16.17.10-10.16.17.240
IPs fixes :
hostname | MAC | IP |
---|---|---|
casimir | 00:10:B5:02:C6:0D | 10.16.17.3 |
konica | 00:C0:85:2F:78:84 | 10.16.12.243 |
laserjet | 00:40:01:29:50:75 | 10.16.17.10 |
sddt1 | 00:0B:CD:3D:86:E9 | 10.16.17.239 |
sddt2 | 00:0B:CD:3D:86:E9 | 10.16.17.238 |
hippolyte | 00:13:72:74:15:76 | 10.16.17.4 |
cort | 00:14:22:60:A9:E9 | 10.16.12.100 |
warwick | 00:14:22:60:AA:73 | 10.16.12.101 |
alastor | 00:14:22:60:A9:DD | 10.16.12.5 |
IP FW LAN : 10.16.17.2/255.255.0.0
IP FW WAN : DHCP (IP fixe fourni par le DHCP de l'ISP)
IP FW DMZ : 192.168.0.1/255.255.0.0
NAT44 sur LAN et DMZ
DHCP client sur WAN
DHCP serveur sur LAN et DMZ
DNS interne sur LAN et DMZ pour le domaine aix.steria.org et steria.org
FW stateful
NAT helper FTP, RTSP
Le serveur DHCP sur le LAN fourni également des configurations wins
Filtrage sur adresses MAC sur LAN et DMZ
WAN –tout + logging–> DMZ
WAN –TCP http,https,1443,smtp,smtps,imaps,pop3s,ssh–> 10.16.17.3
LAN, DMZ –TCP 3306–> WAN
LAN, DMZ –TCP et UDP wins,netbios-ns,netbios-ssn,netbios-dgm,microsoft-ds,135–> WAN
LAN, DMZ –TCP et UDP domain, bootps–> IP LAN FW
LAN –ssh–> IP LAN FW (filtrage par adresses MAC)
CPE en mode bridge, afin de permettre d'éviter des pertes de session si le modem ADSL perd la synchronisation car l'interface reste up sur le FW.
TCP SYN cookies, interdiction RFC 1918, broadcasting (attaque de type smurf flood)
LAN :
option routers 10.16.17.2; option netbios-node-type 8; option netbios-name-servers 10.16.17.3; option netbios-dd-server 10.16.17.3; option subnet-mask 255.255.0.0; option broadcast-address 10.16.255.255; # Setting up an ip address is better here option domain-name-servers 10.16.17.2; option domain-name "aix.steria.org"; range 10.16.17.10 10.16.17.240; default-lease-time 21600; max-lease-time 43200;
Les adresses IP fixes sont distribuées aussi par le serveur DHCP via des adresses MAC.
DMZ :
option routers 192.168.0.1; option subnet-mask 255.255.255.0; option broadcast-address 192.168.0.255; # Setting up an ip address is better here option domain-name-servers 192.168.0.1; option domain-name "aix.steria.org"; #range dynamic-bootp 192.168.0.20 192.168.0.240; range 192.168.0.20 192.168.0.240; default-lease-time 21600; max-lease-time 43200;
DNS interne sur domaine aix.steria.org et steria.org.
DNS cache qui forward vers les DNS de l'ISP.
ACL pour le droit de faire une requête récursive ou pas sur les réseaux LAN et WAN, sinon toutes les requêtes sont interdites.