====== Introduction ======
Les raisons d'être de cette infrastructure intimement rattaché au domaine steria.org dont Pascal Vilarem, ex-employé de steria, est le détenteur et Jérôme Benoit, employé de Steria est l'administrateur sont les suivantes :
* Permettre d'avoir accès sans restriction à Internet afin de faciliter les intégrations de logiciel FOSS;
* Permettre au département d'Aix de ne pas dépendre des décisions de l'informatique interne, généralement mal avisés et trop lentes, par rapport aux besoins des collaborateurs;
* Permettre de proposer des outils/méthodes/documentations transverses sans dépendre des aléas décisionnels du management;
Il n'a jamais eu pour objectif d'être ni en haute disponibilité, ni avec des GTR (la connectivité Internet est offerte via un connexion grand public). Le TCO de cette infrastructure est dérisoire par rapport aux services qu'elle rend : le prix d'une connexion ADSL grand public et un peu d'administration de l'ordre d'une dizaine de j/h par an imputé sur des contrats divers.
Toutes évolutions de cette infrastructure qui iraient à l'encontre de ces objectifs premiers et qui en augmenteraient le TCO serait une erreur dont l'impact sur la productivité non seulement de l'agence mais des processus de transversalité chez steria se chiffreraient sur plusieurs milliers d'euros.
====== Architecture ======
Très simple, c'est la même que celle sur le LAN de la plupart des foyers français ayant une connexion Internet grand public.
------------ ------- ------ -------
| Internet | --ADSL-- | CPE | --WAN--| FW |--| LAN |
------------ ------- ---|-- -------
-------
| DMZ |
-------
===== Plan d'adressage =====
LAN 10.16.0.0/16\\
DMZ 192.168.0.1/16
plage DHCP : 10.16.17.10-10.16.17.240
IPs fixes :
^hostname ^MAC ^IP ^
|casimir |00:10:B5:02:C6:0D |10.16.17.3 |
|konica |00:C0:85:2F:78:84 |10.16.12.243 |
|laserjet |00:40:01:29:50:75 |10.16.17.10 |
|sddt1 |00:0B:CD:3D:86:E9 |10.16.17.239 |
|sddt2 |00:0B:CD:3D:86:E9 |10.16.17.238 |
|hippolyte |00:13:72:74:15:76 |10.16.17.4 |
|cort |00:14:22:60:A9:E9 |10.16.12.100 |
|warwick |00:14:22:60:AA:73 |10.16.12.101 |
|alastor |00:14:22:60:A9:DD |10.16.12.5 |
IP FW LAN : 10.16.17.2/255.255.0.0\\
IP FW WAN : DHCP (IP fixe fourni par le DHCP de l'ISP)\\
IP FW DMZ : 192.168.0.1/255.255.0.0
===== Fonctionnalités =====
NAT44 sur LAN et DMZ\\
DHCP client sur WAN\\
DHCP serveur sur LAN et DMZ\\
DNS interne sur LAN et DMZ pour le domaine aix.steria.org et steria.org\\
FW stateful\\
NAT helper FTP, RTSP
Le serveur DHCP sur le LAN fourni également des configurations wins
===== Règles firewall sur la passerelle =====
Filtrage sur adresses MAC sur LAN et DMZ
* Politique standard sur flux entrants depuis le WAN, à savoir interdiction à la fin sauf sur les flux suivants
WAN --tout + logging--> DMZ\\
WAN --TCP http,https,1443,smtp,smtps,imaps,pop3s,ssh--> 10.16.17.3
* Politique des flux sortants : tout flux est autorisé sauf
LAN, DMZ --TCP 3306--> WAN\\
LAN, DMZ --TCP et UDP wins,netbios-ns,netbios-ssn,netbios-dgm,microsoft-ds,135--> WAN
* Politique des flux d'interconnexion DMZ <-> LAN : tout flux est interdit
* Accès FW
LAN, DMZ --TCP et UDP domain, bootps--> IP LAN FW\\
LAN --ssh--> IP LAN FW (filtrage par adresses MAC)
CPE en mode bridge, afin de permettre d'éviter des pertes de session si le modem ADSL perd la synchronisation car l'interface reste up sur le FW.
* Protection sur interface WAN
TCP SYN cookies, interdiction RFC 1918, broadcasting (attaque de type smurf flood)
===== Configuration serveur DHCP =====
LAN :
option routers 10.16.17.2;
option netbios-node-type 8;
option netbios-name-servers 10.16.17.3;
option netbios-dd-server 10.16.17.3;
option subnet-mask 255.255.0.0;
option broadcast-address 10.16.255.255;
# Setting up an ip address is better here
option domain-name-servers 10.16.17.2;
option domain-name "aix.steria.org";
range 10.16.17.10 10.16.17.240;
default-lease-time 21600;
max-lease-time 43200;
Les adresses IP fixes sont distribuées aussi par le serveur DHCP via des adresses MAC.
DMZ :
option routers 192.168.0.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.0.255;
# Setting up an ip address is better here
option domain-name-servers 192.168.0.1;
option domain-name "aix.steria.org";
#range dynamic-bootp 192.168.0.20 192.168.0.240;
range 192.168.0.20 192.168.0.240;
default-lease-time 21600;
max-lease-time 43200;
===== Configuration serveur DNS =====
DNS interne sur domaine aix.steria.org et steria.org.\\
DNS cache qui forward vers les DNS de l'ISP.\\
ACL pour le droit de faire une requête récursive ou pas sur les réseaux LAN et WAN, sinon toutes les requêtes sont interdites.
====== Axes d'amélioration ======
FIXME