Le 20/11/2012 19:38, Inulogic - Free-H a écrit :
Un des très nombreux cas où la sécurité ne repose que sur l'ignorance,
mais pas seulement chez SFR. En étant un peu observateur je pense que
vous pouvez vous introduire dans n'importe quel datacenter, suffit de
profiter de la porte mal refermée, de la livraison portes béantes, du
mec qui vous laisse passer avec lui dans le sas, de travaux, d'une panne
ou d'une maintenance, du badge négligemment oublié par le personnel, des
escaliers de secours, j'en passe et des meilleures.
En tous cas aucun datacenter que je fréquente ne présente effectivement
le niveau de sécurité dont il se targe devant ses clients, malgré un tas
de gadgets débiles qui par contre sont des freins pour l'exploitation
et le traitement des incidents.
Et quand on fait de la sécurité comme ça, alors on a pas compris ce que
c'est la vraie sécurité pour un client.
Tu devrais te pointer à DC2 de Iliad à Vitry, tu verrais que c'est pas
forcément le cas :).
Ca ressemble à quelqu'un qui prêche pour sa paroisse parce qu'il y est
tiens.
A la rigueur, c'est possible d'entrer si le garde de l'entrée est en ronde
via un accès de secours qui est moins secure que le SAS unique biométrique.
Bien sur, avant d'entrer dans le datacenter, il faut déjà trouver un trou
dans la clôture ou escalader avec le barbelé roulé en haut.
Ou juste pousser le portail électrique qui est en panne depuis quelques
temps...
Ensuite, tu irais pas bien loin étant donné que chaque salle est vraiment
fermée.
Comme dans tout datacenter habituel, c'est fermé tant qu'un employé ou
autre client n'ouvre pas la porte quand tu es à côté.
Imaginons qu'une salle est restée ouverte, il faut ensuite accéder aux
couloirs froids via ton badge.
Les baies donnant sur les couloirs non fermés dans les allées chaudes,
seules les allées froides sont fermées.
Mauvais badge ou si tu forces la porte et/ou bloque une fermeture, tu as
une belle alarme et ça doit surement remonter au noc.
Imaginons qu'une salle est restée ouverte et un couloir froid, tu mets le
bordel dans une baie, il suffira de retracer ton parcours via les caméras
pour avoir ton visage. (Elles marchent vraiment !!).
Là encore c'est tout à fait standard
Le tout bien sur en étant pas repéré par le NOC et les Gardiens via les
caméras.
Bref, c'est bien d'avoir des retours sur TH2 et NetCenter, ça fait juste un
peu peur par contre, même pour des tout petits hébergeurs.
TH2 et Netcenter sont des PoP opérateurs réseaux historiques à la base,
pas des centres d'hébergement comme on les voit maintenant. La sécurité
des baies y est un peu obsolète mais il faut comparer ce qui est
comparable (il y a des opérateurs qui laissent les baies sans porte ou
non fermées à clé pour les intervenants par exemple.
Ce que tu racontes, tous les datacenters que j'appellerais "de hosting"
sont munies de grilles, de gardiens, de sécurité par contrôle d'identité
dans un sas avec gardien ou contrôle biométrique (doigt, oeil), de
caméras, de suites privatives avec contrôle, etc.
Tout ça c'est effectivement ce que tu vas retrouver chez Iliad comme
chez InterXion, Equinix ou Telecity. Par contre tu parles de situations
normales, le message où tu réponds parle de situations particulières,
comme durant des travaux ou des événements particuliers, et là
effectivement il arrive qu'il y ait des loupés parce que les gardiens
sont formés mais ils sont simplement des employés d'une société de
personnel de sécurité extérieure. Pareil sur de la sortie de matériel
parfois pour une personne autorisée.
La vidéo permet de voir ce qui se passe dans les couloirs, mais pas dans
les baies ou les salles privatives (pour des raisons de confidentialité
notamment).
Je ne critique pas Iliad hein, j'ai été très agréablement surpris quand
j'ai découvert le site pour la première fois par rapport à ce que je
pensais, mais soyons clair, ils font les choses aussi bien que les
autres "spécialistes" du sujet, rien d'exceptionnel ;)
Personnellement je ne suis pas traumatisé par ces questions, la somme de
choses en place permet d'avoir quand même une certaine sécurité et une
certaine maitrise de tes données et services, simplement il ne faut pas
croire qu'on est protégé par ça de manière hermétique.
Ca me rappelle Redbus lors de la grande panne, quand le sas biométrique
s'est révélé un gros problème face à l’afflux massif de gens, ils
avaient du "ouvrir en grand" vu la situation.
Frederic
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
