La Fibre
Datacenter et équipements réseaux => Datacenter => 
Datacenter => Discussion démarrée par: corrector le 26 mars 2012 à 17:35:37
-
Voir plus loin, comme vous êtes en bout de ligne, l'utilisation pour un serveur est risquée, pour cela il vaut mieux installer son/ses serveurs dans un Datacenter comme http://www.maxnod.com (http://www.maxnod.com)
Évidemment l'auto-hébergement créé un SPoF - sauf si on a plusieurs FAI (sauf dans le cas du multi-fibre en zone très dense, je ne pense pas qu'on puisse avoir plusieurs FAI très haut débit indépendants).
D'un autre coté, l'hébergement de données sur un serveur auquel vous n'avez accès présente d'autres risques et pose un problème de confiance. Il n'est pas adéquat pour des données "sensibles" dont vous ne pouvez pas sous-traiter la protection.
De façon plus général la sous-traitance pose le problème de la confiance : quelle est la fiabilité de l'hébergeur? Une panne électrique est aussi possible sur un datacenter qui prétend disposer d'équipements redondants. À Paris, j'ai un recul suffisant pour vous dire que les pannes électriques d'une seconde sont rares, et que les pannes de plus d'une seconde sont plus que très rares.
On peut aussi combiner les deux :
- un serveur chez un hébergeur pour le site Web, les données peu sensibles
- auto-hébergement pour les données ultra-sensibles
-
On peut aussi combiner les deux :
- un serveur chez un hébergeur pour le site Web, les données peu sensibles
- auto-hébergement pour les données ultra-sensibles
Normalement c'est le contraire, au plus c'est sensible ou plus on le met en sécurité dans un datacenter (enfin c'est ce que toutes les sociétés font)
-
Qu'est-ce qui protège contre un vol de disque dur, ou de l'espionnage, dans un datacenter?
-
Vol:
chez vous : aucune protection (une alarme peut être ?)
Datacenter:=> protection + gardiennage
Bon espionnage, on va dire que dans les 2 cas, c'est pareil, cela viendra du réseau.
Après dans tous les cas, il faut savoir ou chercher.
-
Chez moi :
- moi seul ai la clef
- bonne serrure
- pas d'alarme, mais porte blindée -> difficile d'entrer sans faire beaucoup de bruit
- pas de gardien, mais présence possible de voisins -> risque à trop s'attarder
Dans un datacenter :
- de nombreuses personnes peuvent légitimement entrer
- le personnel pourrait être corrompu
- ne pas oublier qu'une majorité des "attaques informatiques" proviennent de l'intérieur
-> risque difficile à évaluer (selon moi)
-
Tous les datacenter ont des caméras, certains disent avoir des vitres pare-balles (je ne retrouve plus la référence), d'autres ne possèdent pas de vitres,... mais les braquage (avec des armes) dans un datacenter sont très rares.
Un Datacenter discret de Bouygues Telecom (aucune information permettant de savoir rapidement à qui appartient le bâtiment) a été victime de braquage il y a de quelques années : Bilan une grosse peur et aucun vol de serveur : ils pensaient trouver un bâtiment de stockage de téléphone portable...
La sécurité à 100% n'existe pas, on le voit bien avec le coffres des banques.
Maintenant un commando qui va risquer pas mal d'années de prison pour voler un disque dur dans un DataCenter, je n'ai jamais vu. Généralement il est moins risqué de renter par la porte Internet...
Un exemple il y a quelques jours : http://www.forfaitfree.com/2012/03/le-site-free-mobile-pirate.html (http://www.forfaitfree.com/2012/03/le-site-free-mobile-pirate.html)
Boris.
-
Passant mon temps a aller de datacenter en datacenter sur la région parisienne et dans paris intra-muros (quoi que, les clients migrent de plus en plus vers des salles a l’extérieur de paris, ou le cout y est moins élevé),
Je confirme que pour rentrer dans ces DC, il faut bien souvent montrer patte blanche.
A chaque fois que je dois rentrer dans un DC, je dois présenter une pièce d'identité (bien souvent c'est pour vérifier le nom/prénom) et avoir contacté au préalable le client qui transmet au DC une demande d'accès.
Certains clients me fournissent une passphrase unique a communiquer lors de mon arrivée sur site. Si l'autorisation d'accès classique est ok mais la passphrase n'est pas la bonne, je ne peux pas rentrer et dois attendre quelques heures pour relancer la procédure d'accès.
Certains DC sont plus sécurisés que d'autres, c'est a dire que chaque client a sa salle (ou cage) et l'accès ne permet de rentrer que dnas cette pièce. D'autre (notamment un en région parisienne) ou tout les clients sont hébergés dans la même grande salle.
Concernant les problèmes de redondance électrique, clim, arrivée de fibre etc etc ... j'en ai rencontré plus souvent dnas les datacenters privés de certaines sociétés que chez les hébergeurs type DATA IV, Globalswitch, Orange Bussiness Services, Equinix, DRT (data reality trust) ...
-
Rien qu'à TH2, il y a un paquet de baies dans les couloirs (faute de place !) accessibles comme il faut à n'importe qui qui a pu rentrer (car ayant un accès pour telle ou telle salle). Bon après en général les baies comme ça, ou dans les MMR sont pas là pour héberger des serveurs mais pour gérer la connectivité (ODF, routeurs...) donc une personne mal intentionnée pourrait couper des liens, pas voler de serveurs.
Après autant l'accès est réglementé, et n'importe qui ne peut pas rentrer, autant le nombre de personnes qui ont une bonne raison de rentrer (des salariés des entreprises possédant des baies/salles, aux sous-traitant qui tirent de la fibre, installent des serveurs, etc...) reste assez important.
Certains DC sont plus sécurisés que d'autres, c'est a dire que chaque client a sa salle (ou cage) et l'accès ne permet de rentrer que dnas cette pièce. D'autre (notamment un en région parisienne) ou tout les clients sont hébergés dans la même grande salle.
J'aurais dit que chaque DC présente généralement les deux cas, avec différentes proportions selon le DC.
Concernant les problèmes de redondance électrique, clim, arrivée de fibre etc etc ... j'en ai rencontré plus souvent dnas les datacenters privés de certaines sociétés que chez les hébergeurs type DATA IV, Globalswitch, Orange Bussiness Services, Equinix, DRT (data reality trust) ...
Pour le coup je suis pas sur qu'Equinix soit un exemple côté électrique ;) (comme Globalswitch qui semble avoir connu des soucis sur l'alimentation côté GlobalCrossing la semaine dernière)
-
Un autre risque pour les datacenter : l'eau
=> Un segment à exploiter : les serveurs waterproof (https://lafibre.info/datacenter/un-segment-a-exploiter-les-serveurs-waterproof/)
-
Vrai aussi dans les NRA ;)
(https://lafibre.info/images/orange/201203_eau_dans_nra.jpg)
-
Et on ne parle pas de la climatisation dans les NRA (https://lafibre.info/datacenter/climatisation-orange/)...
-
J'ai justement reparlé la semaine dernière de la panne chez Level 3 il y a quelques mois et des ventilateurs qu'ils avaient mis pour pallier la panne des clim. Un client m'expliquait qu'ils étaient venus le voir (il était présent dans le même bâtiment) pour avoir des ventilateurs et de l'eau "fraiche" !
Dans ce cas, la clim était bien redondante mais pas l'alimentation en eau...
Je crois qu'en cherchant bien on trouverait des anecdotes pour tout le monde en fait, plus ou moins graves bien sur.
-
Un des pire cas, il me semble, étais celui de Redbus qui avait réussi a se mettre tout seul (pas de coupure EDF) dans une situation inconfortable, il y a 7/8 ans :
Conséquences des incidents :
- Le bâtiement fonctionne sur deux générateurs (le 3e est apparement cassé)
- Les onduleurs sont vides
- Le dijoncteur principal (EDF) est cassé, rendant la bascule sur le courant EDF impossible
- Une bascule sur le courant EDF engendrera une nouvelle coupure
- La situation est extrêment instable
Le fait de brancher directement les groupes sur les serveurs sans passer par les onduleurs avait entraîné pas mal de casse (alimentation HSD voir composants dans les serveurs HS)
De nombreux clients (dont OVH) étaient partis.
(https://lafibre.info/images/datacenter/200603_redbus_humour1.jpg)
-
Y'a un topic ou on parlait des incidents dans les DC,
si tu recherches avec le mot Beaujon, tu devrais avoir quelques surprises.
Notamment un bon recit d'innondation apres un orage sur paris il y a quelques courtes années.
Pour globalswitch, j'ai pas eu de retour de clients qui me parlait de coupures electriques ou micro coupures, faut croire qu'ils respectent les prérequis ;)
Sur globalswitch, j'interviens dans la majorité des salles (orion, castor, puma, cly2 etc etc ...), en revanche j'ai pas encore mis les pieds dnas les nouveaux batiments.
-
Pour globalswitch, j'ai pas eu de retour de clients qui me parlait de coupures electriques ou micro coupures, faut croire qu'ils respectent les prérequis ;)
Sur globalswitch, j'interviens dans la majorité des salles (orion, castor, puma, cly2 etc etc ...), en revanche j'ai pas encore mis les pieds dnas les nouveaux batiments.
Je faisais référence à cet incident (http://www.mail-archive.com/frnog@frnog.org/msg18256.html). Donc du côté de Global Crossing au L3 de GS Clichy.
-
Un Datacenter discret de Bouygues Telecom (aucune information permettant de savoir rapidement a qui appartiens le bâtiment) a été victime de braquage il y a de quelques années : Bilan une grosse peur et aucun vol de serveur : ils pensaient trouver un bâtiment de stockage de téléphone portable...
La sécurité à 100% n'existe pas, on le voit bien avec le coffres des banques.
Maintenant un commando qui va risquer pas mal d'années de prison pour voler un disque dur dans un DataCenter, je n'ai jamais vu.
Je pensais à pas du tout à ça!
Au contraire j'imaginais une approche en finesse, par une personne ayant une raison légitime pour entrer, ou qui se ferait passer pour une personne autorisée, ou qui se débrouillerait pour obtenir une autorisation en manipulant un donneur d'ordre... Vous pensez vraiment que c'est invraisemblable?
Je vous rappelle cette affaire : Vol de diamants à Anvers (http://www.polfed-fedpol.be/ops/ops_teidentificerendetail_fr.php?RecordID=362)
Publié le 12/03/2007 à la requête du Procureur du Roi d'Anvers
Une importante partie de diamants bruts et taillés a été dérobée. La valeur totale du préjudice est estimée à 28 millions de dollars USD et comprend au total 120.000 carats. (...)
La suspiscion est assez vite tombée sur une personne qui s’est présentée à la salle des coffres en tant que dernier client le vendredi après midi et comme premier client le lundi matin. Il s’agit d’un client qui, depuis plus d’un an, faisait des affaires de manière très régulière avec la banque. Il avait accès à la salle des coffres. (...)
Depuis le vendredi 09 mars 2007, les enquêteurs savent avec certitude qu’il utilisait une fausse identité.
-
Du tout. Pour certains DC si tu connais le nom du/des donneur(s) d'accès, envoyer un mail en te faisant passer pour lui (ce qui n'est pas compliqué, ça m'étonnerait qu'ils aillent fouiller dans les en-têtes), et le tour est joué.
-
Oui pour certains data-center c'est assez simple...
La solution est d'envoyer un mail de la part de y en demandant a x d'intervenir.
Il y a refus car y n'a plus le droit d'autoriser les interventions. Il faut alors demander qui est la nouvelle personne (z) autorisée a donner les autorisations.n En insistant on arrive a l'avoir (suite au rachat de citéFibre, je ne savais pas qui donnait l’autorisation pour TH2 et ils ont fini par me le donner)
Il suffit ensuite d'envoyer un fax de la part de z autorisant x à intervenir. (le mail va entraîner une réponse a l'intéresser, donc a éviter).
Si tu as une baie, ils te conduisent à la baie et l'ouvrent (c'est eux qui ont les clefs).
-
Si tu as une baie, ils te conduisent à la baie et l'ouvrent (c'est eux qui ont les clefs).
Peut-être valable à TH2, mais à TH1 et TH3 ils te filent les clés de ta baie.
Puis dans les couloirs de TH2 y a un certain nombre de baies non fermées.
-
Du tout. Pour certains DC si tu connais le nom du/des donneur(s) d'accès, envoyer un mail en te faisant passer pour lui (ce qui n'est pas compliqué, ça m'étonnerait qu'ils aillent fouiller dans les en-têtes), et le tour est joué.
Ou bien on offre du chocolat :
Ainsi, sur sa bonne mine, Carlos Hector Flomenbaum, sexagénaire à l'allure respectable, réussit à s'infiltrer au coeur du sanctuaire des brillants, ce petit «kilomètre carré du diamant», trois rues mornes aux immeubles sans caractère la Schupstraat, Hoveniers et Rijf qui serpentent en S et où se brassent 30 milliards d'euros chaque année.
(...)
Cela lui a pris dix-huit mois, par étapes, selon le chef de la police judiciaire fédérale, Eric Sack: «Les six premiers mois, il venait de temps en temps, toujours affable et charmeur. Puis il est venu une fois par jour. Il a habitué les caissières et guichetiers à sa présence quotidienne. Il a gagné la confiance du personnel et distribué les petits cadeaux, pralines, chocolats ou bouquets de fleurs. Les six derniers mois, il venait deux fois par jour, à 11 h et à 15 h» avec une régularité de métronome.
(...)
Fondu dans le paysage, Carlos Hector Flomenbaum endort la méfiance et passe inaperçu. Presque invisible de l'appareil de vidéosurveillance qui enregistre les entrées dans la salle des coffres au sous-sol. «Nous n'avons aucune photographie de face de ce monsieur tombé du ciel, dit Dominique Reyniers, magistrate du parquet d'Anvers, juste des images de sécurité, de profil, de mauvaise qualité.» Sans cesse «sur le qui-vive», dit le commissaire, l'homme au nez chaussé de lunettes en plastique «détourne la tête ou enfonce sa casquette à chaque fois qu'il entre dans la pièce surveillée».
(...)
«Tiens, prends mes clés»
Selon la tactique du «cheval de Troie», le charmant M. Flomenbaum, lui, amadoue le chef de la salle des coffres d'ABN Amro (qui a démissionné depuis) censé protéger les 200 casiers blindés, accompagner les clients et ouvrir avec sa «masterkey» l'une des deux serrures du coffre. Le particulier utilise la sienne pour débloquer la seconde serrure. Un jour, le gardien est débordé. Carlos Hector Flomenbaum demande à changer de coffre. Il en veut un «à une meilleure place» : «Je peux voir les coffres vides ?» Pressé, l'imprudent gardien lui aurait dit : «Je n'ai pas le temps. Tiens, prends mes clés.» Flomenbaum récupère la «masterkey» et le passe-partout capable de débloquer toutes les secondes serrures des coffres. Il les rend, après avoir fait une empreinte au moyen d'une «sorte de pâte à modeler» que cet homme prévoyant a sur lui. Un autre jour, le bavard responsable de la salle forte se plaint au fidèle client argentin d'un surcroît de travail dû à «l'inventaire». Il explique au curieux qu'il s'agit de lister le contenu des coffres de la banque, ceux qui recèlent des diamants déposés en garantie de crédits. Flomenbaum apprend du même coup où se situent ces cavernes d'Ali Baba.
Vendredi 2 mars, vers 15 heures, Carlos Hector Flomenbaum cambriole sans effraction six coffres de l'ABN Amro remplis de diamants, avec les clés reproduites.
Libération : Casse du siècle chez les diamantaires d'Anvers (http://www.liberation.fr/grand-angle/010197669-casse-du-siecle-chez-les-diamantaires-d-anvers)
-
Puis dans les couloirs de TH2 y a un certain nombre de baies non fermées.
Sans parler des baies ou la face arrière pleine a été enlevée pour des problèmes de surchauffe...
-
Je connais d'autres domaines (non Datacenter) où on donne l'accès à distance en fournissant un digi-code temporaire à 8 chiffre par SMS au téléphone d'une personne enregistrée, à chaque demande d'accès qui est faite. Bien évidemment, tout vol de téléphone portable doit être déclaré immédiatement, pour que ça fonctionne.
Je trouve ça vraiment sécuritaire, je ne sais pas si des Datancenters utilisent ça.
Je ne sais pas s'il existe des moyens simples de truander le système, mais ça me semble difficile.
Leon.
-
Détourner la procédure de signalement de changement de numéro de téléphone?
-
Le soucis à mon sens c'est que c'est rarement celui qui donne l'accès qui s'y rend.