Ordre du jour – Budget/ Evolution SAN/MUST – Stockage - demandes et discussions – Informations Politique de changement des mots de passe Connexion sur RENATER Support applicatif MUST – Etudes en cours VPN Sécurisation réseau filaire Renouvellement ANTISPAM Cloud – Discussion

Budget 2011 Postes de travail Informatique Evolution SAN / MUST Présentations de Nadine et Eric

Compte LABINF postes de travail Crée en 2005 pour: – Maîtriser les dépenses en matière de poste de travail – Maîtriser la réutilisation des postes en fin de garantie en ayant une vue globale du parc – Lié au logiciel GASPER Destiné à supporter tous les coûts liés aux postes de travail: – Achats du poste de travail uniquement – Logiciels standards – Evolution en mémoire – Recyclage

Evolution du budget Dont environ 6000 euros de licences en 2009 et 2700 euros en 2010.

Evolution détaillée

Evolution des prix Prix moyens – PC portable: de 1570 à 1093 euros (dont 5 ans de garantie) – prix en baisse depuis 2009 – MAC portable: 1830 euros (5 ans de garantie) – 1 poste acheté – Pas de postes fixes – Stations de travail CAO électronique et mécanique 1797 euros (Surtout cher pour CATIA)

Maîtrise des coûts: rappel Un seul poste de travail par personne Pour vraiment bénéficier des avantages de la garantie à 5 ans, il faut que le poste soit vraiment utilisé pendant cette période (si renouvellement sera réutilisé pour une personne qui reste au LAPP au minimum un an mais pas récupéré pour des stagiaires ou des bancs de test) Les postes qui ne sont pas associés à une personne sont payés par les expériences ou les services

Le budget du service informatique Budget fonctionnement – € demandés / attribués dont: € Contrats de maintenance (incompressible) 6000 € consommables (cartouches imprimantes et divers) 6000 € remplacement VPN 4000 € serveur sauvegarde s 3000 € renouvellement serveur réseau 4000 € renouvellement des machines virtuelles du service Budget investissement – euros demandés/pas encore accordés pour 28TB Remplacement serveur lappfile + espace SecondCopy

Le budget Must Budget investissement – € : Université de Savoie ( à la DRED ) Renouvellement de l’infrastructure de stockage SAN – Voir slide suivant – € : LCG France Participation au renouvellement cpu et disque Tier2 – € : LAPP Extension réseau ( ~ 22 keuros) – 9365 € : Laboratoire université de Savoie (participation) Renouvellement serveurs d’infrastructure Frais de maintenance des équipements = ↓ ↓ =

Renouvellement du SAN Zone extrêmement importante pour le laboratoire – Lapp_data, grid_sw,grid_home,univ_home,uds_data… – Matériel actuel (5 ans ) Recherche de performance, de robustesse et de capacité – Matériel redondant et fiable – Filesystème GPFS ( performant, gestion complexe mais très complète) Migration/effacement de fichiers sur condition Coût élevé – A pondérer suivant la cible finale (capacité/performance) recherchée Intégration de Large_Scratch dans cette infrastructure

Demandes de stockage

Informations

Politique de changement des mots de passe Windows Fréquence : 1 an Rappels à partir de l’échéance + 1 mois + 2 mois Action au bout de 3 mois : mail + forcer le changement à la prochaine connexion windows ou lappsl (  risque de blocage si connexion OWA ou intranet)

Accès à Internet Actuellement : – Connexion 1Gbps en liaison fibre optique sur Amplivia – Amplivia est un anneau gigabit qui connecte une grande partie des universités écoles de la région (sauf Lyon et Grenoble). – Avec MUST, le LAPP consomme régulièrement 800 à 950Mb/s sur Amplivia pendant plusieurs jours.

Accès à Internet Depuis 2008, Renater raccorde systématiquement les Tiers2 LCG/EGEE à son réseau en 10Gb/s. Le LAPP étant passé Tier2 à peu près au même moment, Renater a finalement retenu notre demande d’une connexion directe. Un point de coupure sur l’autoroute reliant Grenoble à Genève sera fait au niveau d’Annecy Nord. Une fibre noire sera louée par Renater pour nous raccorder. A noter qu’il s’agira d’une liaison terminale : le LAPP n’a pas vocation à être un nœud Renater. Si tout va bien, le raccordement aura lieu cet été.

Support applicatif MUST Présentation de Cécile

Etudes en cours Remplacement du VPN Sécurisation du réseau filaire Renouvellement du système antispam « CLOUD » : projet GRACIA

Remplacement du VPN Le VPN actuel : – Matériel utilisé quotidiennement, – Matériel fiable et robuste (depuis 2003) Remplacement envisagé car : – Matériel vieillissant et non garanti, – Ne permet pas la connexion depuis certains sites, – Initialement non compatible clients 64bits (corrigé) Pour préparer son remplacement : – Matériel identique de secours acheté d’occasion (85€!) pour pallier à toute défaillance et préparer sereinement son remplacement : la sortie d’un client 64bits réduit l’urgence du changement, même si il est inévitable. – 1 élève R&T Master 1 prévu en stage d’avril à septembre 2011.

Remplacement du VPN Quels enjeux ? – Le VPN est un point d’accès réseau direct au laboratoire depuis le monde entier. Son choix et sa mise en place doivent être mûrement réfléchis pour éviter des risques graves de sécurité. Aujourd’hui, la solution en vogue est le VPN SSL : – Accessible de partout (utilise le port standard https classique), – Pas besoin d’installer un « client lourd » : on accède à une page web qui permet de télécharger le « client léger » (ActiveX/Java), qui s’exécute sans nécessiter les droits d’admin. – Compatible Windows/Linux/Mac si on dispose d’un navigateur. Quel est le danger ? – L’accès universel depuis n’importe quel ordinateur (cybercafé…) reviendrait à permettre à n’importe quel ordinateur vérolé de se connecter au réseau du LAPP…

Remplacement du VPN Comment pallier à ce problème ? – Il faut trouver une solution qui permette d’authentification de la machine de façon fiable (en plus de l’utilisateur) :  Une rapide étude l’an dernier a permis de constater que la majorité des constructeurs n’avaient pas encore pris en considération cette problématique, ou l’implémentaient de façon non satisfaisante : authentification de la machine uniquement sous Windows, vérification de la présence d’un fichier (facilement copiable…) etc… Le but de ce stage : – Refaire un bilan des solutions qui existent, – Faire le choix d’une solution qui convienne (c’est-à-dire qui apporte des avantage sans réduire le niveau de sécurité actuel) – Tester et mettre en place la solution retenue.

Sécurisation du réseau local : remplacement des hubs Budget : – 4k€ reçus de l’IN2P3 en 2010 (sur 6k€ demandés) : matériel en place. – Budget prévu de 2k€ pour le remplacement des hubs restants. Des améliorations notables pour l’utilisateur : – meilleures performances, – meilleure sécurité, … et pour l’administrateur : – Meilleure sécurisation et possibilité d’administration améliorée, – Gestion des vlans (segmentation en sous-réseaux), – Gestion de l’authentification, – Garantie « à vie » des matériels.

Sécurisation du réseau local : accès au réseau filaire (1/2) Etude en cours authentification des machines Principe : – Les postes du LAPP seront reconnus comme tels et seront automatiquement connectés au réseau du LAPP comme aujourd’hui. – Les postes visiteurs (non reconnus) seront automatiquement connectés sur un réseau visiteur, aux accès limités identique au réseau sans-fil lapp-public pour éviter les risques d’infection : seuls les accès web, mails, ssh etc… seront autorisés. Où en sont les tests : – Le principe de l’authentification par Radius fonctionne. La mise en place nécessitera de prendre toute les précautions pour réduire les risques de problèmes (résilience, charge etc…) – Validation pour septembre si tout va bien.

Sécurisation du réseau local : accès au réseau filaire (2/2) Dans un 1 er temps, peut fonctionner en test sur quelques prises réseau, mais à terme il faudra envisager la refonte répartiteur par répartiteur : – Les répartiteurs SR0 et SRN sont déjà prêts. – Le répartiteur principal l’est quasiment. – Les 4 autres répartiteurs seront progressivement remplacés. Il faut envisager le remplacement progressif des vieux switchs poussifs : – Plus sous garantie (certains ont plus de 11 ans !) – Pas compatibles avec les normes actuelles : pas de ssh (accès telnet), pas de possibilité d’authentification, pas de « CLI » etc… Compter 250€ par switch, soit ~2000€ par répartiteur.

Renouvellement du système antispam/antivirus Passerelle type « boite noire » Fin de maintenance en octobre 2010 Fais partie de l’infrastructure messagerie du lapp, intégration avec Exchange

CLOUD: projet GRACIA Présentation de Nadine