Piment Noir Wiki

Introduction

Les raisons d'être de cette infrastructure intimement rattaché au domaine steria.org dont Pascal Vilarem, ex-employé de steria, est le détenteur et Jérôme Benoit, employé de Steria est l'administrateur sont les suivantes :

  • Permettre d'avoir accès sans restriction à Internet afin de faciliter les intégrations de logiciel FOSS;
  • Permettre au département d'Aix de ne pas dépendre des décisions de l'informatique interne, généralement mal avisés et trop lentes, par rapport aux besoins des collaborateurs;
  • Permettre de proposer des outils/méthodes/documentations transverses sans dépendre des aléas décisionnels du management;

Il n'a jamais eu pour objectif d'être ni en haute disponibilité, ni avec des GTR (la connectivité Internet est offerte via un connexion grand public). Le TCO de cette infrastructure est dérisoire par rapport aux services qu'elle rend : le prix d'une connexion ADSL grand public et un peu d'administration de l'ordre d'une dizaine de j/h par an imputé sur des contrats divers.

Toutes évolutions de cette infrastructure qui iraient à l'encontre de ces objectifs premiers et qui en augmenteraient le TCO serait une erreur dont l'impact sur la productivité non seulement de l'agence mais des processus de transversalité chez steria se chiffreraient sur plusieurs milliers d'euros.

Architecture

Très simple, c'est la même que celle sur le LAN de la plupart des foyers français ayant une connexion Internet grand public.

                                                        
------------          -------        ------  -------
| Internet | --ADSL-- | CPE | --WAN--| FW |--| LAN |
------------          -------        ---|--  ------- 
                                     -------
                                     | DMZ |
				     -------	   				

Plan d'adressage

LAN 10.16.0.0/16
DMZ 192.168.0.1/16

plage DHCP : 10.16.17.10-10.16.17.240

IPs fixes :

hostname MAC IP
casimir 00:10:B5:02:C6:0D 10.16.17.3
konica 00:C0:85:2F:78:84 10.16.12.243
laserjet 00:40:01:29:50:75 10.16.17.10
sddt1 00:0B:CD:3D:86:E9 10.16.17.239
sddt2 00:0B:CD:3D:86:E9 10.16.17.238
hippolyte 00:13:72:74:15:76 10.16.17.4
cort 00:14:22:60:A9:E9 10.16.12.100
warwick 00:14:22:60:AA:73 10.16.12.101
alastor 00:14:22:60:A9:DD 10.16.12.5

IP FW LAN : 10.16.17.2/255.255.0.0
IP FW WAN : DHCP (IP fixe fourni par le DHCP de l'ISP)
IP FW DMZ : 192.168.0.1/255.255.0.0

Fonctionnalités

NAT44 sur LAN et DMZ
DHCP client sur WAN
DHCP serveur sur LAN et DMZ
DNS interne sur LAN et DMZ pour le domaine aix.steria.org et steria.org
FW stateful
NAT helper FTP, RTSP

Le serveur DHCP sur le LAN fourni également des configurations wins

Règles firewall sur la passerelle

Filtrage sur adresses MAC sur LAN et DMZ

  • Politique standard sur flux entrants depuis le WAN, à savoir interdiction à la fin sauf sur les flux suivants

WAN –tout + logging–> DMZ
WAN –TCP http,https,1443,smtp,smtps,imaps,pop3s,ssh–> 10.16.17.3

  • Politique des flux sortants : tout flux est autorisé sauf

LAN, DMZ –TCP 3306–> WAN
LAN, DMZ –TCP et UDP wins,netbios-ns,netbios-ssn,netbios-dgm,microsoft-ds,135–> WAN

  • Politique des flux d'interconnexion DMZ ↔ LAN : tout flux est interdit
  • Accès FW

LAN, DMZ –TCP et UDP domain, bootps–> IP LAN FW
LAN –ssh–> IP LAN FW (filtrage par adresses MAC)

CPE en mode bridge, afin de permettre d'éviter des pertes de session si le modem ADSL perd la synchronisation car l'interface reste up sur le FW.

  • Protection sur interface WAN

TCP SYN cookies, interdiction RFC 1918, broadcasting (attaque de type smurf flood)

Configuration serveur DHCP

LAN :

option routers 10.16.17.2;
	
option netbios-node-type 8;
option netbios-name-servers 10.16.17.3;
option netbios-dd-server 10.16.17.3;
	
option subnet-mask 255.255.0.0;
option broadcast-address 10.16.255.255;

# Setting up an ip address is better here
option domain-name-servers 10.16.17.2;
option domain-name "aix.steria.org";

range 10.16.17.10 10.16.17.240;
default-lease-time 21600;
max-lease-time 43200;

Les adresses IP fixes sont distribuées aussi par le serveur DHCP via des adresses MAC.

DMZ :

option routers 192.168.0.1;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;

# Setting up an ip address is better here
option domain-name-servers 192.168.0.1;
option domain-name "aix.steria.org";

#range dynamic-bootp 192.168.0.20 192.168.0.240;
range 192.168.0.20 192.168.0.240;
default-lease-time 21600;
max-lease-time 43200;

Configuration serveur DNS

DNS interne sur domaine aix.steria.org et steria.org.
DNS cache qui forward vers les DNS de l'ISP.
ACL pour le droit de faire une requête récursive ou pas sur les réseaux LAN et WAN, sinon toutes les requêtes sont interdites.

Axes d'amélioration

FIXME