Université Pierre et Marie CURIE / CCR Avril Centre de Calcul Recherche et Réseaux

Transcription

1 Centre de Calcul Recherche et Réseaux Tour 65-66, 5 ème étage Casier Place Jussieu PARIS Cedex 05 LES MISSIONS DU CCR MISSIONS «RÉSEAU» Version 3.5 (Avril 2004) Les missions du CCR Missions «réseaux» Page 1/26

2 SOMMAIRE I. Introduction... 3 II. Les missions «réseau» du CCR... 4 II.1. Présentation succincte du Réseau Jussieu...5 II.1.1. Quelques chiffres caractérisant le Réseau Jussieu...5 II.1.2. Les sites du «réseau Jussieu» et leur interconnexion...5 II.1.3. Les bâtiments neufs ou rénovés du Campus et leur interconnexion...8 II.1.4. Le câblage des bâtiments...9 II.2. La connexion logique II.3. La sécurité informatique «de base» du Réseau Jussieu II.4. Les prestations «réseau» du CCR II.4.1. Ingénierie et exploitation de la dorsale Réseau Jussieu II.4.2. Veille technologique active II.4.3. Actions spécifiques liées à la rénovation du Campus II.4.4. Administration des serveurs «réseaux» II.4.5. Surveillance et métrologie II.4.6. Sécurité II Généralités II Sécurité physique II Sécurité logique II Le RSSI II Intervention du CCR sur incident II.4.7. Conseil, assistance, dépannages, interventions II.4.8. Relations extérieures II.4.9. Transfert des savoirs II.5. Les limites de prestation II.5.1. Les différents cas de figure II.5.2. Interfaces détaillées Les missions du CCR Missions «réseaux» Page 2/26

3 I. Introduction Le CCR ( s est vu confié depuis 1984 trois missions principales, qui sont par ordre chronologique : la mise en œuvre de ressources en calcul scientifique (1984) ; le déploiement et la gestion de la dorsale du Réseau Jussieu (1989) ; la distribution de logiciels (1992). Ces missions qui se sont développées au cours du temps, ont permis au CCR d acquérir la maîtrise des domaines de compétences correspondants. Dans le cadre de la redéfinition des missions des Centres de Ressources Informatiques de l Université, le CCR propose de conserver la responsabilité de ces domaines en reformulant les périmètres d intervention et les missions qui en découlent et ce en tenant compte de l évolution des technologies et de l émergence de nouveaux services. Le présent document concerne les missions «réseau» du CCR. Les missions du CCR Missions «réseaux» Page 3/26

4 II. Les missions «réseau» du CCR Le CCR a pour mission «réseau» la conception, l évolution et l administration de la dorsale (ensemble des liaisons et matériels actifs communs) du Réseau Jussieu. Ceci comprend l administration des composantes suivantes : l interconnexion avec Internet via le Réseau Académique Parisien (RAP) et le Réseau National de la Recherche et de la Technologie (RENATER) du site principal et des sites secondaires ; les liaisons physiques (ex : fibres optiques louées pour les locaux tampons) ou logiques (ex : sites connectés via RAP) entre le Campus Jussieu et les sites distants ; les matériels actifs (ex : ordinateurs, routeurs, commutateurs) ou passifs (ex : fibres, convertisseurs, multiplexeurs d ondes) participant au fonctionnement et à la surveillance de la dorsale ; le service réseau de base (TCP/IP) et les services nécessaires à son activation (ex : commutation, routage) pour les données ; les matériels et protocoles assurant les liaisons téléphoniques (autocommutateur central - unités de raccordement d abonnés distants) entre Jussieu et les sites distants ; les serveurs communs généralistes (passerelle messagerie, news, ftp anonyme ) ; les réseaux virtuels des laboratoires et services utilisateurs de l infrastructure partagée (dorsale) permettant leur dispersion géographique sur le Campus et les sites secondaires directement connectés (VLAN) ou via RAP (VPN) ; la sécurité globale de l ensemble physique (ex : secours électrique) et logique (ex : filtrage virus) ; etc. Cette mission inclus bien sûr la veille technologique (plateformes de tests, ) ayant pour buts une évolution harmonieuse et adaptée du Réseau Jussieu et une technicité de haut niveau de l équipe réseau dans tous les domaines du réseau et des technologies associées : nouveaux supports de communications (ex : réseaux sans fil) ; nouveaux protocoles réseaux (ex : IPv6) ; nouveaux outils (ex : IGC) ; nouveaux services (ex : téléphonie sur IP en collaboration avec le service téléphonie) ; nouveaux usages (ex : VoD) ; etc. Les missions du CCR Missions «réseaux» Page 4/26

5 II.1. Présentation succincte du Réseau Jussieu II.1.1. Quelques chiffres caractérisant le Réseau Jussieu Une des caractéristiques principales du Réseau Jussieu est sa taille. Que ce soit pour son administration au jour le jour ou lors de l étude de nouveaux protocoles/usages, cette dimension inhabituelle est toujours un paramètre important dans le choix des solutions ou stratégies. Les réponses «standards» (exemples : firewall, antivirus, antispam, téléphonie/ip) sont souvent inadaptées (facteur d échelle) Quelques chiffres peuvent résumer cette dimension : une dorsale sur 19 sites parisiens ; 250 laboratoires connectés (UPMC, Université P7, IPGP, CNRS, INSERM ), 300 VLAN ; machines appartenant aux différents établissements ; 120 matériels actifs (de l accès au Campus au local technique d étage); une vingtaine de serveurs directement liés à l activité réseau et aux services associés indispensables ; 8 Téra octets en sortie et 4 Téra octets en entrée en moyenne par mois à l interconnexion Jussieu-RAP ; 300 serveurs web, 110 serveurs de messagerie ; à courriels par jour dont 10% avec virus et 20% de spams (courriers non souhaités) «marqués» par la passerelle courriel ; entre 100 et news par jour, 60 sites approvisionnés par Jussieu ; 250 Go/jour en moyenne (avec pointes à 800 Go/jour), connexions par jour sur le serveur ftp lip6/jussieu ; etc II.1.2. Les sites du «réseau Jussieu» et leur interconnexion La dorsale du réseau Jussieu s étend sur tous les sites Parisien de l université Pierre et Marie Curie. Leur interconnexion est assurée soit par le Réseau Académique Parisien pour les sites permanents, soit par des fibres optiques louées pour les sites provisoires. Le schéma suivant montre le principe des interconnexions entre sites du Réseau Jussieu ; avec le monde extérieur. Les missions du CCR Missions «réseaux» Page 5/26

6 Cinq sites ont une connexion directe RAP : Campus Jussieu (1 Gbs) ; Cordeliers (100 Mbs) ; CHU Pitié-Salpétrière (100 Mbs) ; CHU Saint Antoine (100 Mbs) ; CHU Tenon (100 Mbs). Quatre sites sont reliés au Campus Jussieu via un VPN RAP : Campus Curie par un VPN RAP (155 Mbs partagés avec les autres laboratoires du Campus) ; Campus Raspail par un VPN RAP (100 Mbs partagés avec les autres laboratoires du Campus) ; Trousseau (2 Mbs) ; Saint-Cyr (2 Mbs) : le VPN est prolongé dans Renater jusqu à l UVSQ d où une LS (liaison spécialisée) part vers le site de Saint-Cyr. Les missions du CCR Missions «réseaux» Page 6/26

7 Sept sites (+ un) sont reliés au Campus Jussieu en fibre optique (par ordre chronologique) : Scott (155 Mbs ; informatique et téléphonie) d où part une LS (liaison spécialisée) vers le site de Lourmel ; Chevaleret (155 Mbs ; informatique et téléphonie) ; Montréal (1 Gbs ; informatique et téléphonie) Université de Paris 7. Interconnexion et réseau local administré par le CCR ; RFF (1 Gbs ; informatique et téléphonie) Université de Paris 7. Interconnexion administrée par le CCR ; réseau local administré par l équipe réseau P7. Boucicaut (1 Gbs ; informatique et téléphonie) ; Voltaire (1 Gbs ; informatique et téléphonie). Ivry (1 Gbs ; informatique et téléphonie). Deux petits sites sont reliés au Campus Jussieu par une liaison spécialisée : Hôtel-Dieu (64 Kbs) ; HEPG / Hôpital Européen Georges Pompidou (256 Kbs). Le schéma ci-dessous montre les principes de base de la connexion d un site distant en fibre optique : Les missions du CCR Missions «réseaux» Page 7/26

8 II.1.3. Les bâtiments neufs ou rénovés du Campus et leur interconnexion Le principe général du câblage inter-bâtiments du Campus (rocade informatique) est basé sur un ensemble de câbles optiques (12 fibres multimodales, 6 fibres monomodales) en étoile, du CCR vers chaque rotonde ou bâtiment abritant les locaux techniques principaux (LTP). Cette rocade est complétée par un ensemble de liaisons optiques (6 fibres multimodales, 6 fibres monomodales) entre le local technique principal et les locaux techniques d étages (LTE). Un local technique d étage héberge les baies informatiques contenant les bandeaux du câblage et le matériel actif de 2 barres adjacentes (cf. V en rouge sur schéma ci-dessus). Le câblage terminal (du local technique d étage au poste de travail) est assuré par des liaisons cuivre (catégorie 5E ou 6) banalisées téléphonie et informatique à connectique rj45. Les missions du CCR Missions «réseaux» Page 8/26

9 II.1.4. Le câblage des bâtiments Les bâtiments «tampons» (loués pendant le temps de rénovation), les bâtiments construits sur le Campus (31-41, Pédagogie, Esclangon) ou à venir (16M) et les barres rénovées sont dotés d un précâblage et de matériels actifs selon le modèle ci-dessous. Tous ces immeubles sont connectés «en étoile» sur un cœur de réseau hébergé au CCR. Le Réseau Jussieu, dans les anciens bâtiments (barres en attente de rénovation), propose un point d accès réseau informatique aux laboratoires et services (voire aux postes isolés) dans un «local technique» (une gaine technique dans la rotonde) au 3 ème étage d une tour sur deux. Un laboratoire ou service peut donc se connecter (à 10 ou 100 Mbs) à l une ou l autre des extrémités de son couloir. Cette ancienne infrastructure de la dorsale (1991) est constituée de fibres optiques multimodales et offre un débit de 100Mbs «Full Duplex» à chaque tour alimentée. Les matériels d extrémité (ports 10/100 Mbs côté laboratoire ou service, rocade 100 Mbs pouvant évoluer en Gbs si besoin) supportent les VLANs (Cf. paragraphe II.2). Les missions du CCR Missions «réseaux» Page 9/26

10 II.2. La connexion logique Les VLANs (un réseau virtuel a pour but d émuler un réseau local physiquement contigu alors qu il est géographiquement dispersé) ont été imaginés pour faire cohabiter des réseaux logiques sur un réseau physique partagé. C est pour offrir ce service qu une opération, cofinancée par l EPA et l Université, a permis de doter l ensemble du Campus de matériels supportant cette technologie fin Les déménagements partiels de laboratoires ou services en sont facilités quelque soient le lieu d origine et le lieu de destination. Cette technique a été systématiquement utilisée dans le cadre de l opération de rénovation du Campus. En effet, elle permet de pallier l éclatement géographique des laboratoires et services entre le site Jussieu et les sites distants et/ou des locaux tampons sur le Campus lui-même. Elle garantit de fait leur «continuité territoriale» informatique. On peut noter que les VLANs constituent actuellement une des techniques les plus répandues en terme de communications dans les entreprises. Compte tenu des problématiques rencontrées, ils représentent la technologie la plus appropriée dans le contexte de l Université. La technologie VLAN étant présente sur tout le Campus et tous les sites distants, chaque port (point de connexion) de chaque matériel de la dorsale peut être affecté à un VLAN particulier, donc appartenir à un réseau local de laboratoire, de service ou transverse (VLAN «Administration», VLAN «Téléphone», VLAN «Invités», VLAN «Sans fil», etc.). La sécurité globale d un VLAN est assurée par des filtres positionnés par le matériel qui en effectue le routage (routeur, firewall ) de/vers l extérieur : autres VLANs, autres réseaux Il est proposé aux laboratoires et services deux niveaux de «service réseau» : une connexion dite de «niveau 2» (Ethernet) et les services associés (VLANs, QoS, Garantie de bande passante, ). La dorsale est alors transporteur de trames Ethernet «marquées» («taguées») selon leur VLAN ; une connexion dite de «niveau 3» (IP) et les services associés (routage, filtrage, ). La dorsale est alors réseau d interconnexion entre le laboratoire ou service et le reste du monde. A noter que, pour les utilisateurs du service «niveau 2», il y a obligatoirement un point d accès au service «niveau 3» s ils veulent accéder à l extérieur via la dorsale Jussieu ; sinon ils sont isolés (cas d un Intranet). Les missions du CCR Missions «réseaux» Page 10/26

11 II.3. La sécurité informatique «de base» du Réseau Jussieu La sécurité offerte dépend du type de «service réseau» choisi : «niveau 2» -> mécanisme de niveau 2 (principalement étanchéité des VLANs) : la sécurité de «niveau 3» est prise en charge par le laboratoire ou service s il gère le routage du (des) VLAN(s) ; «niveau 3» -> filtrage IP, IPSEC La sécurité offerte par le CCR pour un service «niveau 2» consiste en : utilisation systématique de la fibre optique comme support sur l ensemble de la dorsale (Campus et liaisons intersites) o difficilement «écoutable» ; cloisonnement des VLANs (le pruning automatique n'est pas configuré sur les matériels) o une erreur de manipulation sur un commutateur n'entraîne pas l'affectation d'un VLAN "sensible" à une prise isolée du campus si le commutateur n est pas impliqué dans le VLAN, les liens 802.1Q (nom du protocole assurant le transport des VLANs) ne véhiculant que les VLANs strictement nécessaires par configuration manuelle ; traitement des incidents détectés par un logiciel d administration de réseau ; isolement des matériels actifs accessibles en configuration au seul ccr ; métrologie temps réel «niveau 2» permettant : o le suivi des trafics des commutateurs permettant la détection de trafics «inhabituels» en terme de volume ; o le suivi d indicateurs tels que débit des liens, mémoire, CPU, des commutateurs (pour prévenir toute congestion ou blocage de VLANs) ; suivi quotidien des messages journalisés de ces équipements ; suivi des avis du CERT et application des correctifs sur le matériel actif ; etc La sécurité offerte par le CCR pour un service «niveau 3» consiste en : gestion de l interconnexion Jussieu/reste-du-monde ; routage interne Campus et sites distants des réseaux de Jussieu ; application de la politique d accès aux laboratoires et services («tout interdire sauf ce qui est explicitement permis») ; filtrage «à la carte» en entrée et/ou sortie (demande des laboratoires) ; gestion des «cas d urgences» (intrusions, dénis de service, vers informatiques, abus d utilisation des ressources ) ; métrologie temps réel «niveau 3» permettant : o le suivi des trafics au point d accès au réseau du Campus et détection de trafics «inhabituels» type «scans» ; o le suivi d indicateurs tels que débit des liens, mémoire, CPU, des routeurs (pour prévenir toute congestion ou blocage du réseau) ; journalisation des événements générés par les routeurs, en particulier ceux liés à la sécurité etc Les missions du CCR Missions «réseaux» Page 11/26

12 II.4. Les prestations «réseau» du CCR Le CCR, administrateur de la dorsale multi-sites et des matériels actifs qui la composent (plus de 120 routeurs et commutateurs), doit avoir des interlocuteurs dans chacune des entités qu il connecte au Réseau Jussieu. Il y a aujourd hui (au moins) un correspondant informatique identifié dans chaque UFR, laboratoire ou services. Cette population très (trop) nombreuse, de formation très hétérogène devrait progressivement être remplacée par les ARI, informaticiens «de proximité» rattachés aux UFR, en tant qu interlocuteur du CCR. Une importante synergie entre le CCR et les ARI devrait aller dans le sens d une amélioration du service aux utilisateurs et d une meilleure sécurité informatique globale. La mutualisation des ressources humaines et des services par les ARI, permettra une interface CCR/utilisateurs plus homogène en se substituant aux ressources humaines très diverses et très dispersées (de l équipe d informaticiens chevronnés à rien) d un laboratoire ou service à l autre. Les prestations actuelles du CCR couvrent les domaines suivants. II.4.1. Ingénierie et exploitation de la dorsale Réseau Jussieu Dans le cadre de l évolution des besoins des utilisateurs, des nouveaux usages du réseau et des technologies disponibles d une part, de la rénovation du campus et des locaux tampons d autre part, le CCR est amené à concevoir l architecture du réseau (critères : besoins, nouveaux usages, coûts ) rédiger et valider cahier des charges fonctionnelles et CCTP du câblage (des rocades au poste de travail) en collaboration avec l EPCJ pour les travaux de son ressort ; rédiger et valider cahier des charges fonctionnelles et CCTP des matériels actifs nécessaires à l activation du réseau, dépouiller les offres des fournisseurs et émettre des avis auprès de la Commission des Marchés mettre en œuvre les protocoles (ex : VLAN) et services (serveurs) permettant la connexion effective des laboratoires, services ou utilisateurs finaux selon l architecture retenue ; effectuer l administration et la surveillance de l ensemble du réseau ainsi constitué. La gestion des noms des sous-domaines (laboratoire.jussieu.fr puis laboratoire.upmc.fr), la gestion des adresses (Numéros IPv4 et bientôt IPv6 avec la mise en oeuvre prochain de ce nouveau protocole sur le Campus) et les services associés (Domaine Name System, messagerie, VLAN, routage, ) font parties des missions du CCR. L administration de l ensemble du réseau par une équipe unique est une garantie de cohérence du réseau en termes de protocoles, services et sécurité. Les missions du CCR Missions «réseaux» Page 12/26

13 II.4.2. Veille technologique active L étude des nouvelles technologies (IPv6, réseaux sans fil, multiplexages voix-données, téléphonie sur IP, messagerie unifiée, outils de visio/vidéo unicast ou multicast, outils de sécurisation du système d information, etc.) et la mise en œuvre de plateformes de test pour leur validation (conformité à nos besoins, conformité à notre politique de sécurité, conformité aux normes, impact sur l existant, etc.) et pour l acquisition de compétences en vue de leur exploitation, sont également du ressort du CCR par les conséquences qu elles peuvent avoir lors de leur intégration au réseau opérationnel existant. II.4.3. Actions spécifiques liées à la rénovation du Campus Les déménagements occasionnés par le désamiantage et la rénovation du Campus peuvent être classés en 4 catégories du point de vue «réseau» : départs vers un site extérieur loué en vue de libérer des locaux à traiter (site tampon) ; déménagements internes au Campus vers des locaux provisoires ; emménagements dans des locaux rénovés du Campus (retours de locaux tampons ou déplacements internes au Campus); départs définitifs (cas spécifique Université Paris 7). Le CCR doit apporter une solution appropriée à chaque cas. Une connaissance approfondie des besoins et des matériels des laboratoires déménagés, le planning (en une ou plusieurs vagues) et le périmètre de l opération (tout ou partie de laboratoires/service) sont nécessaires pour assurer un déménagement «transparent» du point de vue informatique (connectique, VLAN, applications spécifiques). En limitant le déménagement de l informatique à un simple transport de matériel sans la moindre reconfiguration et/ou paramétrage, en organisant la redondance de certains matériels pour les services les plus critiques, on peut limiter à quelques heures les temps de coupure réseau et d indisponibilité des serveurs/services. Le type d opération (cf. les 4 cas cités plus haut), les caractéristiques du site ou immeuble (loué et/ou rénové), les besoins spécifiques des futurs occupants, l intégration au réseau existant, l offre des constructeurs en termes de matériels et de protocoles réseau conduisent à la définition de l architecture du nouveau réseau, la rédaction des cahiers des charges précâblage et la procédure d acquisition des matériels actifs. Le matériel actif des différents locaux technique (Cf. paragraphe II.1.4) est mis en service, paramétré pour l accueil des nouveaux arrivants en fonction de leurs besoins et de son intégration dans la dorsale existante. Dans les cas de sites distants, le choix du support d interconnexion (fibre, faisceau hertzien, VPN, ) en fonction de critères tels que la faisabilité, les performances, les coûts complète la préparation du déménagement. L intégration de la liaison inter-pabx (téléphone) dans la liaison «données» est désormais systématique. Lors du déménagement, l intervention du CCR consiste à (Cf. paragraphe II.5) : transporter les VLANs «administratifs» (SIG, Bibliothèques ) jusqu au nouveau site ; assurer la continuité du (des) VLAN du laboratoire ou service entre l ancienne et la nouvelle localisation du laboratoire. Ce transport du VLAN perdure si l intégralité du laboratoire/service n est pas déménagé sur le nouveau site ; Les missions du CCR Missions «réseaux» Page 13/26

14 effectuer le brassage dans le local technique correspondant ; affecter les ports/prises au VLAN ; fournir une assistance plus ou moins importante en fonction des ressources humaines informatique du laboratoire/service. II.4.4. Administration des serveurs «réseaux» En plus de l administration de ses matériels (routeurs, commutateurs, multiplexeurs, ), l exploitation d un réseau nécessite la disponibilité d un certain nombre de serveurs nécessaires à l activation d un réseau informatique : DNS (serveurs de noms primaires et secondaires de 250 sous-réseaux) o coordination avec les serveurs secondaires internes et externes, o offre d un service de gestion de sous-domaine via une interface web sur le serveur du CCR (le labo gère son sous-domaine sur le serveur central); serveurs d accès téléphoniques. Actuellement composé de 5 matériels pilotant une centaine de modems, ce service sera progressivement remplacé par les offres type ADSL, boucle locale radio, câble, des opérateurs ; serveurs de métrologie et sécurité ; et assurant les services de bases : passerelle messagerie devant assurer les filtrages (virus, courriers non sollicités, ) et les translations d adresses entre l ancien nommage «jussieu.fr» et le nouveau «upmc.fr» (associations «adresse officielle» - «adresse interne» - serveur de messagerie s appuyant sur l annuaire LDAP de l université) (service redondé) ; serveurs de messagerie (ccr, idf, 3 CHUs ; plus de 7000 boites à lettres) ; serveur webmail (pour lire son courrier en connexion sécurisée) ; serveur de liste «sympa» (70 listes statiques thématiques hébergées ; listes dynamiques en liaison avec l annuaire de l UPMC prévues) ; serveurs web (120 sites web hébergés au CCR dont certains très «assistés» : braillenet, ) ; serveur de news ; etc. Enfin un service presse-bouton (avec plus ou moins d assistance) pour matériels hébergés : serveurs bibliothèque ; matériels du LIP6 ; serveurs Datagrid ; serveur VoD du CPM ; serveur Edusud/Résafad ; baie gestion des accès (Kaba) ; matériels PoP RAP ; matériels NRD Rénater ; matériels sites/opérateurs d interconnexion avec le NRD ; etc. Les missions du CCR Missions «réseaux» Page 14/26

15 II.4.5. Surveillance et métrologie La connaissance de l infrastructure du réseau est garantie par la gestion du câblage (logiciel de Système d Information Géographique en cours d acquisition) ; les gestion du parc «matériel réseau» (équipements, localisations, configurations ). La supervision du Réseau Jussieu est effectuée via la journalisation centralisée des informations (événements) fournies par l ensemble des matériels actifs du réseau, des serveurs associés et de matériels connexes (onduleurs, ) ; la journalisation de l activité des filtres ; les tests périodiques (5mn) d accessibilité des équipements vitaux ; la réception et la classification (en fonction de leur gravité) des alarmes des matériels sensibles permettant leur traitement. La métrologie, basée sur la récupération de compteurs des matériels en fonction, permet d étudier les charges des liens physiques (dorsale, capillaire) et des processeurs des équipements dans le but de planifier l évolution de l infrastructure réseau en fonction du besoin et de prévenir les goulots d étranglement ; d avoir une connaissance fine des flux et débits en vue o d une meilleure connaissance des serveurs/services les plus consommateurs de bande passante («Top 10»), o de détecter les trafics importants inhabituels, o de détecter les flux correspondant à du trafic «de loisir», o de détecter les trafics «anormaux» en profil (scan) ou en activité (virus et vers informatiques) ; d extraire et mettre en forme des données statistiques pour leur publication «temps réel» (web) sous forme de courbes de comportement à l attention des usagers et administrateurs. II.4.6. Sécurité II Généralités La Sécurité du Système d Information couvre divers aspects de la sécurité informatiques : sécurité physique ou logique ; sécurité «interne» des équipements (fonctionnalités offertes par leur système) ; sécurité «externe» des équipements (assurée de l extérieur : filtres, firewall, ). La sécurisation du Réseau Jussieu (réseau multi-sites avec des sites multi-établissements) est facilitée par : une administration de tous les matériels de commutation et routage de la dorsale et d accès à l extérieur par une équipe unique (le CCR) garantissant la cohérence du réseau (protocoles, sécurité, ) ; des firewalls séparant les réseaux de recherche, d enseignement et d administration ; une «VLANisation» généralisée du réseau avec filtrages inter-vlans. Les missions du CCR Missions «réseaux» Page 15/26

16 La mise en œuvre de points d accès IEEE (sans fil), facilitant les accès «pirates» au réseau du Campus, doit être contrôlée (ou, a minima, confinée) par l équipe du CCR assurant la cohérence globale de la protection du réseau. Les actions spécifiques des laboratoires et services peuvent être : la sécurisation des applications : principalement des services standards sécurisés (connexion à distance, messagerie, web) et différents mécanismes de filtrage au niveau des serveurs ; un firewall à l interconnexion laboratoire-dorsale Jussieu ; des connexions sécurisées (VPN, tunnels chiffrés ). L intégration de la sécurité dans les projets en cours est désormais systématique. La mise en œuvre à moyen terme d une Infrastructure de Gestion de Clés (PKI) doit également être prise en compte. En attendant les certificats «serveurs» sont fournis par le CRU par l intermédiaire du RSSI. II Sécurité physique Les études actuelles de zonage du Campus par l EPCJ, le transport dans un VLAN «intranet» sur la dorsale du Réseau Jussieu des messages des matériels liés au control d accès (lecteurs de badges, serrures et capteurs divers) participent à la sûreté du Campus en général et des locaux abritant les équipements réseau en particulier. La sécurité physique des équipements réseau repartis dans tous les bâtiments de tous les sites n est pas chose facile : seuls les bâtiments neufs ou rénovés offres des locaux techniques adéquats mais un environnement hétérogène : secours électrique ou non, ventilation/climatisation ou non, accès sécurisé ou non Le cœur du Réseau Jussieu, hébergé dans la salle machine du CCR, bénéficie d un environnement optimal. Les équipements RAP, RENATER et d interconnexion sont situés dans un local n offrant pas encore toutes les garanties souhaitables (sécurité d accès, climatisation, protection incendie ). La redondance matérielle (reprise plus ou moins automatique des fonctions d un matériel défaillant par un matériel de secours) n est généralement pas assurée, exception faite des liaisons et matériels d interconnexion des sites directement connectés aux Campus (locaux tampons). Ajoutés au choix de matériels reconnus pour leur fiabilité, une maintenance 4 heures pour le cœur du réseau (matériels d accès des sites compris) et un «spare» (matériels de secours) limitent les pannes pénalisantes pour un coût financier acceptable. Cette politique «best effort» sera à reconsidérer avec le support de la téléphonie. II Sécurité logique La sécurité logique «locale» des équipements réseau, des serveurs et postes de travail associés et administrés par le CCR est assurée par la prévention (ouverture minimale), la surveillance des événements (constitution et exploitation de journaux), des comportements (métrologie) et par la veille technologique (nouvelles versions, correctifs de sécurité du système ou des applications ). Les laboratoires et services doivent intégrer cette dimension impliquant des ressources humaines et financières lors de l acquisition de leurs équipements. La sécurité logique «de l extérieur» (Cf. paragraphe II.3) est essentiellement assurée par une politique de filtrage en cour de généralisation : «tout interdire sauf ce qui est explicitement permis». Les missions du CCR Missions «réseaux» Page 16/26

17 Elle est à 2 niveaux : les accès de/vers l extérieur géré par le CCR quel que soit le site dépendant de l Université. Elle est assurée sur un routeur haut débit par un filtrage basé sur un minimum d access-lists (intranet, filtres d urgence, ) pour ne pas pénaliser le débit important de la prise d une part et parce que ce n est pas le niveau idéal pour un filtrage fin d autre part ; la connexion des réseaux locaux des laboratoires et services (VLAN partageant la dorsale ou point d interconnexion unique) à la dorsale gérée par le CCR quel que soient le site et le laboratoire. Elle est assurée sur un routeur (un point de routage) par un filtrage fin issu de la politique générale de filtrage (exemple : pas de connexion vers un port SMTP extérieur au laboratoire autre que la passerelle courrier) et des demandes/besoins du laboratoire ou service (exemple : le serveur web devant être accessible de l extérieur est au port 80 de la machine i.j). C est là que s applique réellement la politique «tout interdire sauf ce qui est explicitement permis». Les laboratoires et services sont encouragés à mettre en œuvre une politique de connexion sécurisée de/vers l extérieur (ssh, pops, imaps, webmail et webftp sécurisés ) ou, à défaut, et s ils ont les ressources humaines nécessaires, à installer un firewall à l entrée du laboratoire. Des outils de type IDS (Intrusion Detection System) sont à l étude pour une réponse «temps réel» aux attaques de notre réseau ou ayant notre réseau pour origine (volontaire ou non). Une réaction immédiate aux scans, dénis de service et autres abus évitera des désagréments plus graves (par exemple un scan est le premier pas vers une intrusion). Au niveau applicatif, un des services les plus utilisés est la messagerie. Le passage obligé des courriers électroniques par une passerelle gérée par le CCR permet une efficace politique de filtrage des virus et, prochainement, une politique de marquage des courriers non souhaités (spams). II Le RSSI Extrait d une note d information auprès des directeurs d UFR et de laboratoires : «Dans le cadre des mesures approuvées par le Conseil d Administration du 4 mars 2002, le CCR, service informatique en charge du réseau, a une mission de coordination de l ensemble des actions concernant la sécurité informatique à l Université Pierre et Marie Curie.» Le RSSI, membre du CCR, est chargé de la diffusion des informations relevant de la sécurité (avis du CERT, articles, revues, séminaires ) via une liste de distribution spécialisée, des relations avec les laboratoires de l université, avec les entités extérieures impliquées et avec Renater lors d incidents de sécurité, des relations avec les autorités et le service juridique lors d incidents dépassant le cadre purement informatique. De plus : «[ ] Il a pour mission d initier des actions de sensibilisation et de formation à la sécurité informatique (en relation avec le service de la Formation Permanente) auprès des correspondants réseaux dans les composantes et les unités de recherche et des responsables des réseaux locaux de l Université. Il devra en outre proposer les mesures correctives et préventives nécessaires au directoire des Technologies de l Information et de la Communication.» Une équipe «sécurité informatique» a été constituée en 2003 sous le contrôle du RSSI (à partir de personnels spécialisés du CCR assistés d ARI et de spécialistes des laboratoires). Des groupes de travail ont été créés pour la veille technologique (incidents, correctifs, logiciels spécialisés ), l étude et la mise en œuvre de techniques de sécurisation de réseaux et de serveurs, la préconisation de méthodes et technologies appropriées de prévention et de gestion d incidents, etc Les missions du CCR Missions «réseaux» Page 17/26

18 II Intervention du CCR sur incident Lors de la mise en évidence d un incident impliquant un laboratoire connecté à la dorsale du Réseau Jussieu et en concertation avec son correspondant informatique, les différentes phases sont les suivantes : coupure immédiate de la connexion du laboratoire ou service (sauf quelques services vitaux et non susceptibles de propager l incident) par le CCR ; communication (CERT, sites impliqués), si besoin avec l assistance du RSSI ; consultation du service juridique de l Université si besoin (éventuel dépôt de plainte), avec l assistance du RSSI ; nettoyage des machines concernées par l administrateur du réseau local (ou sous son contrôle) suivi de l audit des autres machines susceptibles d être contaminées. Le CCR peut servir de conseil mais n intervient pas directement sur les machines des laboratoires ; réouverture progressive de la connexion par le CCR et selon la politique «tout interdit sauf ce qui explicitement autorisé». II.4.7. Conseil, assistance, dépannages, interventions Le CCR a une mission de conseil auprès des laboratoires qui demandent une assistance lors de la rédaction de cahier des charges concernant le câblage, le matériel réseau (hub, switches, firewall), les serveurs «réseau» (Mailhost, DNS ) et/ou les logiciels associés (version de système ou de packages ). Une «hot-line» (numéro de téléphone à composer) et une adresse électronique d urgence permettent d avoir une assistance ponctuelle et immédiate (dans la mesure du possible) en cas d incident (problème de sécurité, dysfonctionnements divers ). Une adresse électronique «câblage» permet aux correspondants informatiques des laboratoires et services de demander les interventions de brassage dans les locaux techniques quand elles ne sont pas de leur responsabilité (Voir cas des «limites de prestation» du CCR, paragraphes II.5.1 et II.5.2). Une intervention sur place est alors programmée s il y a pose d une jarretière ; l intervention «logique» (association prise - VLAN) étant effectuée à partir du CCR. II.4.8. Relations extérieures Les divers fournisseurs (câblage, matériels actifs, logiciels, ), les opérateurs réseau (RAP, RENATER, COLT, ), les entités extérieures raccordées à Jussieu (HEC, Polytechnique, le Ministère du tutelle, ), des institutions (CERT-rénater, police, justice, ) sont les interlocuteurs «extérieurs» habituels de l équipe réseau du CCR. Les relations sont soit de type achat matériels/prestations (fournisseurs) soit de type administration de réseau (opérateurs, entités connectées) et ses conséquences (sécurité informatique). Sur les sites, un dialogue permanent doit être entretenu avec les autres établissements présents (Université Paris 7, IPGP, CNRS, INSERM) et/ou les autres services communs partenaires (SIG Paris 6, SIG Paris 7, CICRP, UTES, CPM, Bibliothèques scientifiques et médicales, ). Par ailleurs, les membres de l équipe réseau associés à des projets UPMC (annuaire, nommage, INFRADIO, ), interuniversitaires (CVIF, RAP, ), nationaux en relation avec le CRU (news, multicast, IGC, ) sont amenés à participer (voire animer) aux groupes de travail correspondants. Les missions du CCR Missions «réseaux» Page 18/26

19 II.4.9. Transfert des savoirs La création des ARI personnels dédiés à cette fonction- est une opportunité pour former des informaticiens «de proximité» en équipes plus réduites et plus homogènes que la nébuleuse des «correspondants informatiques» actuels (un par laboratoire ou service soit 250 «netadmins» de niveau de culture informatique et de disponibilité très variables ). Des formations pourront être assurées par les membres de l équipe réseau du CCR autour des thèmes suivants : protocoles, standards et normes réseaux ; administration et surveillance de réseau local et serveurs des labos ; paramétrage des postes de travail campus et/ou domicile ; assistance locale et aide aux utilisateurs ; rôle d interface labos/ccr (connectique, services, assistance, ) ; promotion de nouveaux services (visioconférence, webmail, ) ; sécurité informatique (sensibilisation/information des utilisateurs finaux, promotions des outils et protocoles sécurisés, gestion des prévention et gestion d incidents, ) ; etc par l organisation de séminaires réguliers et/ou dans le cadre de formations organisées par le service de Formation Permanente de l UPMC. Des séminaires ou formations dans le domaine de la sécurité informatique, assurés par des organismes reconnus par le milieu universitaire sont aussi proposés aux (futurs) ARI : SSI (DCSSI), SIAR, VCARS (CNRS), OSSIR D autre part, des présentations sont faites lors de séminaires/colloques réseau (CSIESR, JRES, JTR, JSSI, GERET ) et des formations sont assurées (formation permanente, ARS, ) par des membres de l équipe. Les collaborations avec les équipes réseaux d autres entités présentes sur le Campus (RAP, Paris 7, IPGP, IPSL, etc ) sont fréquentes dans le cadre de la veille technologique. II.5. Les limites de prestation Les matériels réseau hébergés au CCR (tour 56-66, 5 ème étage), les liaisons optiques interbâtiments (Campus) ou inter-sites (Campus sites distants) supportant les flux informatiques et téléphoniques, les matériels réseau des locaux techniques (principaux et secondaires/d étages), les matériels de multiplexage/démultiplexage téléphone et informatique, les liaisons optiques entre les locaux techniques (pour résumer : toute la distribution principale) sont sous la responsabilité du CCR. La limite de responsabilité en terme de distribution terminale informatique sera différente selon que l on se trouve dans l un ou l autre des deux cas suivant : le laboratoire n a pas de matériel réseau. Le CCR assure la connexion jusqu à la prise utilisateur ou jusqu au répartiteur spécifique dans les salles de type TP/TD. Le brassage au local technique sera effectué par le personnel du CCR sur le matériel de la dorsale. L accès au local technique est alors réservé au CCR ; le laboratoire administre son réseau local (matériels et ressources humaines). Le laboratoire effectue le brassage au local technique sur son matériel réseau (généralement Les missions du CCR Missions «réseaux» Page 19/26

20 un commutateur et/ou un routeur) hébergé dans sa propre baie. L interface «laboratoire dorsale» du campus se fait par la liaison entre le matériel administré par le labo et le matériel de la dorsale administré par le CCR. Le local technique est alors accessible par le personnel du CCR et par l équipe réseau du laboratoire ; chacun n intervenant que dans sa baie. Il est important de bien fixer les limites de prestation (donc de responsabilité) entre le CCR et les laboratoires ou services utilisateurs du Réseau Jussieu. Elles se situent physiquement au niveau du local technique d étage qui héberge le point d accès à la dorsale réseau. Selon la taille et les spécificités du réseau local, la configuration des locaux, les ressources humaines et financières, l historique du laboratoire ou service, le «service réseau» demandé au CCR peut varier. Différents modèles de connexion physique et/ou logique ont été élaborés pour satisfaire les besoins. Les missions du CCR Missions «réseaux» Page 20/26

21 II.5.1. Les différents cas de figure Les différents modèles d interconnexion laboratoire-dorsale sont résumés sur le schéma suivant : (*) 802.1Q est la norme de base des VLANs. Les missions du CCR Missions «réseaux» Page 21/26

22 II.5.2. Interfaces détaillées Les quatre interfaces possibles sont détaillées ci-dessous (le terme «laboratoire» est générique pour toute entité reconnue «connectable» : laboratoire, service, UFR, département ) : Cas : LTE CCR le CCR est le seul intervenant dans le local technique de l étage. Il assure la connectivité jusqu à la prise murale du poste de travail (jarretière du poste non comprise). Action CCR : o brassage au local technique ; o paramétrage du commutateur d étage (activation port, déclaration dans un VLAN, filtre et qualité de service adaptés au poste) ; o éventuelles déclarations dans les serveurs «réseau» (DNS) quand ils sont administrés par le CCR. Action laboratoire : o fourniture et pose du câblage «LTE - prise terminale» (*) : à la demande du laboratoire la maîtrise d œuvre (le Service de la Logistique Immobilière et des Travaux) fait exécuter les travaux conformément au document édité par le CCR «Prescriptions techniques générales courants faibles (informatique et téléphonie)» ; o fourniture et pose de la jarretière terminale ; o configuration du poste de travail ; o attribution du numéro IP (dans la plage fournie par le CCR) ; o éventuelles déclarations dans les serveurs du laboratoire (DNS) quand ils sont administrés par le laboratoire. (*) hors précâblage compris dans la rénovation des bâtiments Les missions du CCR Missions «réseaux» Page 22/26

23 Cas bis : LTE CCR avec variante dite «Institut des Mathématiques» le CCR est le seul intervenant dans le local technique de l étage. Il assure la connectivité entre le matériel «dorsale Réseau Jussieu» situé dans le local technique d étage et le matériel «laboratoire» situé dans un local du laboratoire d une part, et jusqu à la prise murale du poste de travail (jarretière du poste non comprise) d autre part. Cela permet, par exemple, à un laboratoire d insérer en coupure (logique) un routeur entre la dorsale et son réseau local sans intervenir sur son brassage au local technique. Action CCR : o brassage au local technique ; o paramétrage du commutateur d étage (activation port, déclaration dans un VLAN, filtre et qualité de service adaptés au poste) ; o éventuelles déclarations dans les serveurs «réseau» (DNS) quand ils sont administrés par le CCR. Action laboratoire : o fourniture et pose du câblage «LTE - prise terminale» (*) : à la demande du laboratoire la maîtrise d œuvre (le Service de la Logistique Immobilière et des Travaux) fait exécuter les travaux conformément au document édité par le CCR «Prescriptions techniques générales courants faibles (informatique et téléphonie)» ; o fourniture et pose de la jarretière terminale ; o paramétrage des équipements «laboratoire» (commutateurs, routeurs ) ; o mise en œuvre des VLANs locaux (numéros fournis par le CCR) ; o mise en œuvre du 802.1Q et déclaration d un VLAN d interconnexion si le laboratoire a besoin d un transport de ses VLANs sur la dorsale ; o configuration du poste de travail ; o attribution du numéro IP (dans la plage fournie par le CCR) ; o éventuelles déclarations dans les serveurs du laboratoire (DNS) quand ils sont administrés par le laboratoire. (*) hors précâblage compris dans la rénovation des bâtiments Les missions du CCR Missions «réseaux» Page 23/26

24 Cas : LTE partagé le local technique d étage est partagé. Le CCR assure la connectivité entre le matériel «dorsale Réseau Jussieu» dans la baie «CCR» où seul le CCR intervient d une part et le matériel «laboratoire» dans la baie «laboratoire» où seul l administrateur du réseau local intervient d autre part. L interconnexion est assurée par une jarretière cuivre/rj45 fournie par le CCR. Il fournit également les cordons de brassage au laboratoire. Action CCR : o brassage entre l équipement «dorsale Réseau Jussieu» et l équipement «laboratoire» ; o paramétrage du commutateur d étage (activation port, mise en œuvre du 802.1Q et déclaration d un VLAN d interconnexion si le laboratoire a besoin d un transport de ses VLANs sur la dorsale, simple déclaration du port dans un VLAN sinon, filtre et qualité de service adaptés si besoin) ; o éventuelles déclarations dans les serveurs «réseau» (DNS) quand ils sont administrés par le CCR. Action laboratoire : o fourniture et pose du câblage «LTE - prise terminale» (*) : à la demande du laboratoire la maîtrise d œuvre (le Service de la Logistique Immobilière et des Travaux) fait exécuter les travaux conformément au document édité par le CCR «Prescriptions techniques générales courants faibles (informatique et téléphonie)» ; o brassage côté laboratoire au local technique ; o fourniture et pose des jarretières terminales ; o paramétrage des équipements «laboratoire» (commutateurs, routeurs ) ; o mise en œuvre des VLANs locaux (numéros fournis par le CCR) ; o mise en œuvre du 802.1Q et déclaration d un VLAN d interconnexion si le laboratoire a besoin d un transport de ses VLANs sur la dorsale ; o configuration des postes de travail ; o attribution des numéros IP (dans la plage fournie par le CCR) ; o éventuelles déclarations dans les serveurs du laboratoire (DNS) quand ils sont administrés par le laboratoire. Remarque : si le laboratoire n occupe pas tout l étage, les locaux restants peuvent être connectés selon le principe «Cas 1» où selon une répétition du principe «Cas 2» (local technique multilaboratoires multi-baies ). (*) hors précâblage compris dans la rénovation des bâtiments Les missions du CCR Missions «réseaux» Page 24/26

25 Cas : LTE/LTL le CCR est le seul intervenant dans le local technique de l étage. Il assure la connectivité entre le matériel «dorsale Réseau Jussieu» situé dans le local technique d étage et le matériel «laboratoire» situé dans le local technique «laboratoire» (quelquefois réduit à un placard) où seul l administrateur du réseau local intervient. L interconnexion est généralement assurée par une jarretière cuivre/rj45 (jarretièrage optique possible si nécessaire) fournie par le CCR. Il fournit également les cordons de brassage au laboratoire. Action CCR : o brassage entre l équipement «dorsale Réseau Jussieu» et l équipement «laboratoire» ; o paramétrage du commutateur (activation port, mise en œuvre du 802.1Q et déclaration d un VLAN d interconnexion si le laboratoire a besoin d un transport de ses VLANs sur la dorsale, simple déclaration du port dans un VLAN sinon, filtre et qualité de service adaptés si besoin) ; o éventuelles déclarations dans les serveurs «réseau» (DNS) quand ils sont administrés par le CCR. Action laboratoire : o fourniture et pose du câblage «LTE - prise terminale» (*) : à la demande du laboratoire la maîtrise d œuvre (le Service de la Logistique Immobilière et des Travaux) fait exécuter les travaux conformément au document édité par le CCR «Prescriptions techniques générales courants faibles (informatique et téléphonie)» ; o brassage au local technique «laboratoire» ; fourniture et pose des jarretières terminales ; o paramétrage des équipements «laboratoire» (commutateurs, routeurs ) ; o mise en œuvre des VLANs locaux (numéros fournis par le CCR) ; o mise en œuvre du 802.1Q et déclaration d un VLAN d interconnexion si le laboratoire a besoin d un transport de ses VLANs sur la dorsale ; o configuration des postes de travail ; o attribution des numéros IP (dans la plage fournie par le CCR) ; o éventuelles déclarations dans les serveurs du laboratoire (DNS) quand ils sont administrés par le laboratoire. Remarque : si le laboratoire n occupe pas tout l étage, les locaux restants peuvent être connectés selon le principe «Cas 1» où selon le principe «Cas 2» (local technique multi-laboratoires multibaies ) voire du «Cas 3» (couloir multi locaux techniques «laboratoires»). (*) hors précâblage compris dans la rénovation des bâtiments Les missions du CCR Missions «réseaux» Page 25/26

26 Cas : LTE laboratoire le laboratoire est le seul intervenant dans le local technique de l étage qu il occupe entièrement. Le CCR assure la connectivité entre le matériel «dorsale Réseau Jussieu» situé dans le local technique principal (où il est le seul intervenant) et le matériel «laboratoire» situé dans le local technique d étage. L interconnexion est assurée par une paire de fibres optiques multimodales (connecteurs SC). Le CCR fournit la jarretière optique et les cordons de brassage au laboratoire. Action CCR : o connexion des fibres optiques vers le local technique de l étage ; o paramétrage du commutateur de local technique principal (activation port, mise en œuvre du 802.1Q et déclaration d un VLAN d interconnexion si le laboratoire a besoin d un transport de ses VLANs sur la dorsale, simple déclaration du port dans un VLAN sinon, filtre et qualité de service adaptés si besoin) ; o éventuelles déclarations dans les serveurs «réseau» (DNS) quand ils sont administrés par le CCR. Action laboratoire : o fourniture et pose du câblage «LTE - prise terminale» (*) : à la demande du laboratoire la maîtrise d œuvre (le Service de la Logistique Immobilière et des Travaux) fait exécuter les travaux conformément au document édité par le CCR «Prescriptions techniques générales courants faibles (informatique et téléphonie)» ; o brassage au local technique d étage (optique et cuivre) ; o fourniture et pose des jarretières terminales ; o paramétrage des équipements «laboratoire» (commutateurs, routeurs ) ; o mise en œuvre des VLANs locaux (numéros fournis par le CCR) ; o mise en œuvre du 802.1Q et déclaration d un VLAN d interconnexion si le laboratoire a besoin d un transport de ses VLANs sur la dorsale ; o configuration des postes de travail ; o attribution des numéros IP (dans la plage fournie par le CCR) ; o éventuelles déclarations dans les serveurs du laboratoire (DNS) quand ils sont administrés par le laboratoire. Remarque : si un laboratoire occupe intégralement plusieurs étages d un même bâtiment, un simple jarretiérage optique (au niveau du répartiteur des fibres optiques «locaux techniques d étages» du local technique principal) entre les «LTE laboratoire» peut être effectué à la demande justifiée du laboratoire. Le laboratoire administre alors son infrastructure réseau physiquement contiguë et une seule connexion entre son réseau local et le matériel de la dorsale. (*) hors précâblage compris dans la rénovation des bâtiments Les missions du CCR Missions «réseaux» Page 26/26