Toute cette discussion me rappelle une intervention au NetCenter dans
le Nord, ou personne de chez SFR ne savait ou était le BAS Redback sur
lequel je devais faire ma manip hw. Du coup, sur le conseil de SFR, j'ai
ouvert toutes les baies, même les non SFR, avec code et clé au tournevis
...
D'ailleurs quelqu'un connait un datacenter ou les clés des baies sont
différenciées pour chaque baie ? Parce que je connais pas de
constructeur qui en fasse, à part avec code en plus de la clé.
Donc sécurité physique c'est bien, mais si on creuse un peu, les
récents doivent surement pas être beaucoup plus blindés dans le fond que
les anciens... C'est dans le catalogue que ca change, pour les décideurs
01net et ceux qui font le chèque ...
Tout techos trouvera forcément une faille dans un DC "mutualisé".
---
-----------------------
Fabien VINCENT
Twitter : @beufanet
Le 2012-11-20 20:36, Frederic Dhieux a écrit :
Le 20/11/2012 19:38, Inulogic - Free-H a écrit :
Un des très nombreux cas où la sécurité ne repose que sur
l'ignorance,
mais pas seulement chez SFR. En étant un peu observateur je pense
que
vous pouvez vous introduire dans n'importe quel datacenter, suffit
de
profiter de la porte mal refermée, de la livraison portes béantes,
du
mec qui vous laisse passer avec lui dans le sas, de travaux, d'une
panne
ou d'une maintenance, du badge négligemment oublié par le
personnel, des
escaliers de secours, j'en passe et des meilleures.
En tous cas aucun datacenter que je fréquente ne présente
effectivement
le niveau de sécurité dont il se targe devant ses clients, malgré
un tas
de gadgets débiles qui par contre sont des freins pour
l'exploitation
et le traitement des incidents.
Et quand on fait de la sécurité comme ça, alors on a pas compris ce
que
c'est la vraie sécurité pour un client.
Tu devrais te pointer à DC2 de Iliad à Vitry, tu verrais que c'est
pas
forcément le cas :).
Ca ressemble à quelqu'un qui prêche pour sa paroisse parce qu'il y
est tiens.
A la rigueur, c'est possible d'entrer si le garde de l'entrée est en
ronde
via un accès de secours qui est moins secure que le SAS unique
biométrique.
Bien sur, avant d'entrer dans le datacenter, il faut déjà trouver un
trou
dans la clôture ou escalader avec le barbelé roulé en haut.
Ou juste pousser le portail électrique qui est en panne depuis
quelques temps...
Ensuite, tu irais pas bien loin étant donné que chaque salle est
vraiment
fermée.
Comme dans tout datacenter habituel, c'est fermé tant qu'un employé
ou autre client n'ouvre pas la porte quand tu es à côté.
Imaginons qu'une salle est restée ouverte, il faut ensuite accéder
aux
couloirs froids via ton badge.
Les baies donnant sur les couloirs non fermés dans les allées
chaudes, seules les allées froides sont fermées.
Mauvais badge ou si tu forces la porte et/ou bloque une fermeture,
tu as
une belle alarme et ça doit surement remonter au noc.
Imaginons qu'une salle est restée ouverte et un couloir froid, tu
mets le
bordel dans une baie, il suffira de retracer ton parcours via les
caméras
pour avoir ton visage. (Elles marchent vraiment !!).
Là encore c'est tout à fait standard
Le tout bien sur en étant pas repéré par le NOC et les Gardiens via
les
caméras.
Bref, c'est bien d'avoir des retours sur TH2 et NetCenter, ça fait
juste un
peu peur par contre, même pour des tout petits hébergeurs.
TH2 et Netcenter sont des PoP opérateurs réseaux historiques à la
base, pas des centres d'hébergement comme on les voit maintenant. La
sécurité des baies y est un peu obsolète mais il faut comparer ce qui
est comparable (il y a des opérateurs qui laissent les baies sans
porte ou non fermées à clé pour les intervenants par exemple.
Ce que tu racontes, tous les datacenters que j'appellerais "de
hosting" sont munies de grilles, de gardiens, de sécurité par
contrôle
d'identité dans un sas avec gardien ou contrôle biométrique (doigt,
oeil), de caméras, de suites privatives avec contrôle, etc.
Tout ça c'est effectivement ce que tu vas retrouver chez Iliad comme
chez InterXion, Equinix ou Telecity. Par contre tu parles de
situations normales, le message où tu réponds parle de situations
particulières, comme durant des travaux ou des événements
particuliers, et là effectivement il arrive qu'il y ait des loupés
parce que les gardiens sont formés mais ils sont simplement des
employés d'une société de personnel de sécurité extérieure. Pareil
sur
de la sortie de matériel parfois pour une personne autorisée.
La vidéo permet de voir ce qui se passe dans les couloirs, mais pas
dans les baies ou les salles privatives (pour des raisons de
confidentialité notamment).
Je ne critique pas Iliad hein, j'ai été très agréablement surpris
quand j'ai découvert le site pour la première fois par rapport à ce
que je pensais, mais soyons clair, ils font les choses aussi bien que
les autres "spécialistes" du sujet, rien d'exceptionnel ;)
Personnellement je ne suis pas traumatisé par ces questions, la somme
de choses en place permet d'avoir quand même une certaine sécurité et
une certaine maitrise de tes données et services, simplement il ne
faut pas croire qu'on est protégé par ça de manière hermétique.
Ca me rappelle Redbus lors de la grande panne, quand le sas
biométrique s'est révélé un gros problème face à l’afflux massif de
gens, ils avaient du "ouvrir en grand" vu la situation.
Frederic
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
