Auteur Sujet: OVH Housing DC1  (Lu 7432 fois)

0 Membres et 1 Invité sur ce sujet

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
OVH Housing DC1
« Réponse #12 le: 25 mars 2021 à 14:30:06 »
j'ai bien dis chiffrés et mot de passe fort (et pas ou).
l'un sans l'autre ne vaut pas grand chose.

le salage/hash des infos sensible dans une base est un minimum mais hormis pour un mot de passe (ou la conversion est faisable dans un seul sens) si tu as accès au système de fichier tu retrouveras les autres infos (généralement tu as les clés de hash dans l'applicatif).

c'est peu appliqué dans le monde de l'informatique parce qu'on considère que ce type d'attaque physique n'aura jamais lieux.

La plupart des datacenter ont des failles dans leur sécurité. (généralement via les accès technique / quai de chargement / accès des prestataires/personnel validé)
Si quelqu'un qui s'y connaît veut voler tes serveurs physiques il y arrivera.

Gally

  • Abonné FAI autre
  • *
  • Messages: 23
OVH Housing DC1
« Réponse #13 le: 25 mars 2021 à 15:15:28 »
Je vais pas prétendre connaitre tous les acteurs du marché, mais dans tous les DC que j'ai fréquenté, pour espérer voler un serveur / des disques, il aurait fallu que tu t'appelles Ethan Hunt ;D

Exemple chez ASP, chez qui un pote a bossé : pour qu'un client intervienne sur sa propre baie, il devait déjà prévenir avant de passer pour que l'agent de sécurité (heures non ouvrables) ou un technicien (heures ouvrables) lui donne l'accès à la salle, le badge d'accès étant donné en échange d'une pièce d'identité. Une fois dans la salle, il lui fallait ensuite sa propre clé pour ouvrir sa baie. Toutes les baies étaient sous alarme, tout tentative d'en ouvrir une en force déclenchait une alarme entrainant l'intervention du personnel de sécurité en moins de 2 minutes. A priori, il existait en prime d'autres couches de sécurité que le pote (à raison) ne me donnera pas.

Il y a des nuances avec ce que j'ai pu voir ailleurs, mais dans l'ensemble, cela revenait au même : soit présence d'un tech avec le client tout le temps qu'il était en salle serveur, soit monitoring déclenchant une alarme immédiate si un serveur (ou ses disques) disparaissait sans que cela soit planifié, vidéo surveillance continue, salle serveur sous alarme volumétrique que seul le personnel de sécurité peut désarmer le temps de l'intervention, etc, etc... Les gens accédant par les quais de chargement n'auraient en tout cas pas eu la moindre possibilité d'accéder à une salle serveur sans que les alarmes se mettent à beugler. Et je dois dire que j'ai du mal à envisager autre chose pour un DC (hormis si on parle du container câblé mode "toile d'araignée sous LSD" que j'ai vu passer ici il y a quelques jours - un indépendant qui venait de faire faillite dans l'ouest, de mémoire - mais bon, là, on est dans l'artisanal). Le plus "artisanal" que j'ai pu voir était une pièce relativement peu sécurisée, mais avec 2 personnels présents en continu sur place, même les techniciens qui avaient toutes les bonnes raisons d'accéder à la salle serveur étaient accompagnés par l'un desdits personnels, un seul tech (ou paire de, s'il fallait des mains, mais dans ce cas ils restent en groupe) pouvant accéder à la salle pour que le deuxième personnel puisse continuer de surveiller le monitoring de la salle.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
OVH Housing DC1
« Réponse #14 le: 25 mars 2021 à 15:23:41 »
Il y a déjà 15 ans, un data center Bouygues Telecom qui a été victime d'un braquage à main armée, d'une équipe de malfaiteurs expérimentés qui pensaient avoir trouvé un local de stockage de téléphone mobiles neuf.

Ils ont du être déçus après avoir forcé le vigile sur place à leur ouvrir les portes des différentes salles.

Depuis des mesures de sécurité ont été prises depuis, le data center n'ont plus aucune information qui permet de savoir que c'est Bouygues Telecom (sauf souvent une grosse antenne sur le site) et la porte extérieur du site ne s'ouvre pas tant qu'on a pas donné à l'interphone un numéro de ticket. Ensuite une fois entré en voiture sur le site, on passe voir le vigile qui remet un badge contre la pièce d'identité et la vérification d'un plan de prévention signé (qui permet de vérifier que la personne à les bases de la sécurité en data center) et éventuellement que la personne porte bien des chaussures de sécurité, il parait que c'est obligatoire maintenant.

Gally

  • Abonné FAI autre
  • *
  • Messages: 23
OVH Housing DC1
« Réponse #15 le: 25 mars 2021 à 15:47:09 »
Il y a déjà 15 ans, un data center Bouygues Telecom qui a été victime d'un braquage à main armée, d'une équipe de malfaiteurs expérimentés qui pensaient avoir trouvé un local de stockage de téléphone mobiles neuf.
Se sont un peu ratés sur la planification ceux là  ::)

Mais bon, les DC qui contiennent des données justifiant qu'on les braque de cette façon, qq chose me dit que c'est jamais un vigile de Sécuritas qui les surveille :P Ca aussi j'ai connu, ça leur aurait fait bizarre aux braqueurs s'ils s'étaient attaqués à ce genre de site par erreur... (encore que cela me semble dur de faire une erreur dans le cas auquel je pense, faudrait vraiment avoir 0.5/10 à un œil et l'autre mort pour pas comprendre dés l'enceinte extérieure)

Pour le DC Bouygues, laisse moi deviner vivien : au minimum, un vigile est en guérite avec une alarme, un deuxième s'occupant du contact avec le visiteur ?

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
OVH Housing DC1
« Réponse #16 le: 25 mars 2021 à 15:51:00 »
Un seul vigile, c'est des sites ou si tu vois 5 personnes dans la journée tu es content !

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
OVH Housing DC1
« Réponse #17 le: 25 mars 2021 à 15:54:54 »
bon j'ai peut être généralisé un peu trop
mais dans plusieurs des datacenter que j'ai visité (ou travaillé) il y avait des failles (il faut bien les connaitres).

il y a ce qui est montré aux clients (sas biométrique, carte d'identité et accompagnement en salle des intervenant, contrôle du matériel sorti par le pc sécu) et puis a coté des accès technique pas forcément très bien surveillés (le mec du pc sécu occupé à faire une réception de livraison, porte non biométrique et non surveillée directement, serrure de baie avec code mais clé standard, demande d'accès faites par mail)

clairement tout est fait pour dissuader, mais ça reste possible.
Avec des collègues on sortait/entrait régulièrement du matos de certaines salles d'un datacenter de Marseille (revendu plusieurs fois) sans le déclarer étant donné que leur procédure était ultra lourde (quand tu dois faire 10 échanges de mail/tickets doublés d'appels pour rectifier les erreurs et que finalement tu te retrouves bloqué à la sortie du DC parce que la référence est mauvaise tu passes outre) ;)

des DC avec un seul vigile en poste ou dans les grands 2 mais occupés ça arrive souvent ;)

Gally

  • Abonné FAI autre
  • *
  • Messages: 23
OVH Housing DC1
« Réponse #18 le: 25 mars 2021 à 15:57:22 »
@ vivien et butler: Pas cool pour eux. J'ai jamais compris cette manie de laisser un mec seul pour sécuriser un site, j'en comprends bien la raison profonde (coût) mais je trouve toujours ça limite, aussi bien humainement que niveau sécurité.

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 605
  • FTTH orange
OVH Housing DC1
« Réponse #19 le: 25 mars 2021 à 16:02:34 »
dans 99,999% des situations ça suffit ;)

Gally

  • Abonné FAI autre
  • *
  • Messages: 23
OVH Housing DC1
« Réponse #20 le: 25 mars 2021 à 16:10:37 »
Par contre, Butler, ce que tu décris est le résultat logique d'une sécurité mal pensée, comme on me l'a régulièrement dit, la sécurité, ce n'est pas qu'une serrure et un garde. J'en rigolais encore hier avec un pote RSSI d'un grand (très) groupe qui me racontait ses dernières anecdotes échangées avec ses collègues et amis lors de leurs réunions informelles : nous avons eu tous les 2 la même formation et le même parcours de départ, nous sommes toujours sidérés de voir certaines choses que nous aurions rejetées d'office il y a 20 ans (genre, même si ce n'est pas le sujet direct de cette conversation, les backups dans la même salle serveur que les machines backupées, alors que 2 salles serveurs distantes de plusieurs centaines de mètres existaient sur site, une des premières choses qu'il a fait changer lors d'une prise de poste il y a une dizaine d'années. L'entreprise avait l'excuse de ne pas être du domaine de l'informatique et de ne pas louer ses services à autrui, mais quand même...)
Une sécurité bien pensée intègre aussi bien l'absence de voie d'accès non sécurisée que des protocoles "humains" pour l'accès, la bonne vieille maxime "trop de sécurité tue la sécurité", tu viens de l'illustrer magnifiquement :)

Pour ce que tu viens d'ajouter : ce n'est même pas l'histoire du x-ième chiffre après la virgule qui me chiffonne le plus, dans ce cas tu as même des équipes qui postent 2 heures max pour garder leur vigilance, et c'est clairement pas la situation "lambda", c'est juste un truc tout con comme un malaise ou une blessure grave du vigile, seul sur site toute la nuit. Quand je vois que j'ai installé dans certaines sociétés des systèmes "homme mort" pour les vigiles qui faisaient des rondes dans des zones dangereuses (on parle même pas de matériaux dangereux, juste la possibilité d'une chute grave à un endroit du site) ou pour les techniciens d'astreinte, histoire que leurs collègues soit immédiatement prévenus d'un passage en position horizontale, je me dis que la situation doit pas être si rare que cela. La société leur imposait le port du dispositif, même lorsqu'ils n'étaient pas en ronde ou en intervention, d'ailleurs.

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 5 971
OVH Housing DC1
« Réponse #21 le: 25 mars 2021 à 19:14:23 »
Du coup, Gally, j'ai pas compris le problème d'avoir 1 seul (ou même zéro) agent de sécurité sur site... Si comme tu le dis il existe des dispositif pour assurer leur sécurité à eux.
C'est quand même très très fréquent d'avoir des sites surveillés par 1 seul agent de sécurité. Et je ne parle pas que du monde des datacenter.
Tu peux nous expliquer, stp?

Leon.

e-TE

  • Abonné Free fibre
  • *
  • Messages: 1 145
  • Déville-les-Rouen (76)
OVH Housing DC1
« Réponse #22 le: 25 mars 2021 à 21:50:00 »
et je ne sais pas si vous considérez ca comme des datacenter en tant que tel, mais j'allais de temps en temps avec un pote qui avait une demi baie dans un batiment cogent, et la sécurisation se faisait tout a distance via ouverture d'un ticket, obtention d'un code d'identification valide pour une période donnée, et une fois arrivé sur le site (banalisé de l'exterieur), une porte avec un pass, et ensuite un interphone connecté sur un standard h24 international, blabla en anglais pour donner les infos, ensuite fournir le code, et ca déverrouillé la porte à distance et surveillance a distance de l'intervention, bon et parfois fallait refaire 2-3 fois la procédure car le système de déverrouillage était pas top xD
Il devait y avoir quasi 10 baies sur place de pleine et la place d'avoir le triple au moins, baies verrouillés à la charge des proprios des baies, salle avec porte intérieure coupe feu qui se déverrouillé avec le badge et extinction au gaz automatique en cas d'incendie (donc le jour ou y'a une emmerde, faut pas se faire piéger, y'a personne pour aider xD )

bon après calcul ca fait 13ans déjà  :-X donc peut être que ca a évolué depuis...

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
OVH Housing DC1
« Réponse #23 le: 25 mars 2021 à 21:57:27 »
Cogent, tu vise le haut de gamme  ;D

Les datacenter Cogent on la particularité de ne pas proposer de concurrence pour l’accès : C'est du Cogent ou rien. (cela à peut-être changé depuis)

Cela a fait partir des clients, car Cogent après avoir saturé avec Orange a saturé avec Free.

Je ne parle pas des coupures de l’accès internet plusieurs jours dans certains DC Cogent.