Journal Développer un laboratoire de système et réseaux géré par les étudiants

Posté par (page perso) . Licence CC by-sa
15
27
jan.
2014

Bonjour,

Je regarde avec tristesse le niveau souvent assez moyen en système et réseau de mes étudiants (non pas que la formation délivrée pose problème mais plus par le manque de pratique et de gérer quotidiennement ce type d'installation). De plus, l'idée de les frotter à des environnements réels a toujours été une bonne expérience, surtout en terme de connaissance en sécurité.

Une idée folle serait alors de permettre aux étudiants d'administrer leurs serveurs à l'intérieur de l'université Le problème du matériel semble le moins important: il existe toujours des bécanes ou de vieux routeurs qui traînent à droite ou à gauche. Par contre connecter ces machines au "vrai" Internet (c'est-à-dire sans aucun obstacle de type proxy, NAT ou firewall) semble un obstacle de taille conséquente.

La première idée serait de demander un local et une prise brassée directement sur Internet sans filtrage par l'institution, notamment pour exposer des services et regarder le "vrai" trafic. Là on peut imaginer la réticence de l'administration à laisser les étudiants sur le réseau de l'université / l'école. Même en isolant les machines dans un VLAN, il sera difficile de convaincre les administrateurs de l'institution. L'option de les laisser derrière un NAT est moins bonne et de toute façon semblera tout aussi folle aux yeux des administrateurs.

Un des obstacles le + important semble la difficulté de faire confiance aux étudiants. La sécurité périphérique traditionnellement déployé considère souvent l'étudiant comme un intrus dont la seule préoccupation est de charger des torrents en regardant du streaming pendant la pause de midi tout en mangeant un sandwich dont les miettes iront se glisser entre les interstices du clavier. Les mesures sont alors de le canaliser en lui mettant le + d'obstacles possibles (proxy web, socks ou autres) et le pose d'affichette signalant la mise à mort de tout individu finissant sa mousse au chocolat avec les doigts avant de taper un long rapport utilisant l'ensemble des touches disponibles sur le clavier.

Ces obstacles sont souvent outrepassables (surtout après le cours "VPN 101") mais l'institution s'est protégé en rejetant la responsabilité sur le fournisseur du dit service VPN.

Une option la plus intéressante serait alors "le cloud" pour éviter de se frotter aux différentes autorisations des administrations. Mais le coût induit peut-être important, surtout si l'on cherche à travailler des aspects comme la montée en charge ou la gestion de nombreux services. De plus devoir trifouiller de vrais matos (CISCO par exemple) est quand même important, surtout pour distinguer infrastructure réelle VS infrastructure virtuelle.

On revient donc au problème de base: comment fournir un local et une connexion Internet. Si l'on prend l'hypothèse que la disponibilité du lieu-dit et de la prise est acquise, reste à convaincre l'institution pour l'accès à Internet.

La première peur de cette dernière est le risque légal, notamment en cas d'actions pouvant compromettre sa réputation si la structure autonome ainsi constituée abusée des droits attribuées. L'institution a dans ce cas le statut d'hébergeur avec des étudiants sous sa responsabilité et dans son réseau.

Une idée serait alors de séparer le statut de l'université de celui de cette cellule autonome. Le plus simple serait un statut d'association (d'étudiants par exemple), permettant à l'institution de n'être que fournisseur au lieu d'hébergeur. L'idée est potentiellement réalisable: de nombreuses entreprises existent sur le campus. Après il existe un potentiel frais de connexion, sans compter qu'il est nécessaire d'avoir l'autorisation de faire passer ce flux dans un VLAN à travers les infrastructures de l'université.

Maintenant il est possible que j'exagère la difficulté de développer cette idée (je ne pense pas). J'aimerai bien savoir si d'autres personnes ont tenté de développer ce genre d'activité dans le cadre de leur école ou de leur université, les problèmes qu'ils ont rencontrés, etc…

  • # Marionnet

    Posté par . Évalué à 3.

    A l'IUT notre prof nous avait installé Marionnet (http://www.marionnet.org/) sur les postes dédiés aux cours d'admin/réseau

    • [^] # Re: Marionnet

      Posté par (page perso) . Évalué à 2.

      Pas exactement ce que je recherche. Il existe beaucoup de solution pour les travaux pratiques (netkit, marionnet, packet tracer, …). Je suis plus à rechercher une installation pereine avec de machines (physiques) qu'ils controlleraient au fur et à mesure de l'année.

      • [^] # Re: Marionnet

        Posté par . Évalué à 5.

        Je comprend parfaitement ta démarche.

        Sans offense, les cours de réseau sont plutôt chiants, même donnés par des profs extra. En fait je pense que c'est la discipline est intrinsèquement chiante. C'est que de la technique, beaucoup de choses à savoir alors qu'il n'y a finalement très peu de concepts derrière. Mais c'est super important… Ce sont des compétences dont aucun informaticien ne peut se passer à mon sens.

        Alors quand à une discipline chiante quand on ajoute des TP futiles… ça ne peut pas marcher.

        Please do not feed the trolls

        • [^] # Re: Marionnet

          Posté par (page perso) . Évalué à 1.

          J'admets avoir ressenti ça comme étudiant. Se taper la théorie du signal, les calculs de checksums ou passer des heures sur l'automate TCP n'est pas l'expérience la plus intéressante de mes études. Personnellement, j'en ai tiré comme leçon qu'il faut avoir beaucoup de pratique (TP) et éviter de passer des heures sur du montage de réseau pour se consacrer à des maquettes qui amènent directement des problématiques pour des situations un peu complexe, comme par exemple monter une architecture de sécurité avec plusieurs sous-réseaux et de l'isolation / filtrage (netkit est une merveille pour ça).

          Plus généralement la sécurité est un excellent vecteur éducatif: montrer les limitation d'un réseau local, déborder sur la nécessité de cryptographie ou du renforcement système, forger ses paquets pour tester des situations particulières (avec Scapy par exemple). Puis la sécurité il y a ce côté grisant que les étudiants adorent…

  • # Une asso, un local, une connexion ADSL autonome

    Posté par . Évalué à 7.

    bienvenu dans la vraie vie avec de vraies responsabilités

    • [^] # Re: Une asso, un local, une connexion ADSL autonome

      Posté par (page perso) . Évalué à 1.

      Asso et local ça devrait se faire. Par contre la connexion ADSL autonome risque d'être rejetée car sur le local est sur le site universitaire (sans compter le fait que le téléphone déployé c'est de la VoIP Cisco). De plus l'idéal serait d'avoir accès au connection RENATER de l'université, mais sans entraîner d'ennuis techniques ou potentiellement légaux pour les personnes en charge du réseau.

      • [^] # Re: Une asso, un local, une connexion ADSL autonome

        Posté par (page perso) . Évalué à 3.

        De plus l'idéal serait d'avoir accès au connection RENATER de l'université, mais sans entraîner d'ennuis techniques ou potentiellement légaux pour les personnes en charge du réseau.

        Si tu es sur un campus, tu as accès à la charte RENATER de ton établissement…

        Relis-la.

        Encore.

        • [^] # Re: Une asso, un local, une connexion ADSL autonome

          Posté par (page perso) . Évalué à 1.

          Et ?

          • [^] # Re: Une asso, un local, une connexion ADSL autonome

            Posté par . Évalué à 2.

            ben y a peut-etre marqué ce que tu as le droit (ou pas) de faire sur le reseau en question.

            • [^] # Re: Une asso, un local, une connexion ADSL autonome

              Posté par (page perso) . Évalué à 0.

              Oui mais après cette charte il y a encore l'administration locale, les problèmes techniques de connexion, la définition du cadre légal de responsabilité (la fac veut avoir des garanties sur le fait qu'elle ne risque rien au niveau juridique), sans compter la garantie que je devrais apporter sur le bon déroulement des opérations…

              Pour moi la charte c'est un point de départ de discussion, après il reste le vrai travail pour monter une telle idée.

              Bienvenue dans la vie.com !

              • [^] # Re: Une asso, un local, une connexion ADSL autonome

                Posté par . Évalué à 2.

                probleme technique de connexion : c'est un detail technique, un vlan, un NAT 1:1, un dhcp et tu peux etre sur internet sans emmerder le vrai reseau de l'université

                l'administration locale, cadre légale de responsabilité : c'est la charte qui dit ce qui a été décidé pour ton etablissement, c'est la dessus que tu dois demarrer.

                Ensuite si tu montes une asso, il faudra une convention entre ton université et l'asso, qui fixera les droits et devoirs de chacun.
                Cette asso aura un president, un secretaire, un tresorier, une AG, et donc des responsables désignés en cas de soucis.

                • [^] # Re: Une asso, un local, une connexion ADSL autonome

                  Posté par (page perso) . Évalué à 0.

                  J'approuve sans réserve ces bonnes paroles (et j'avais en tête ces éléments), mais l'aspect humain des personnes devant autoriser ce projet est le + gros problème: il va falloir convaincre… C'est pour cette raison que la charte RENATER est une très bonne piste, mais aussi de définir les contours des aspects légaux derrière hébergeur et prestataire.

                  • [^] # Re: Une asso, un local, une connexion ADSL autonome

                    Posté par . Évalué à 3.

                    l'aspect humain des personnes devant autoriser ce projet est le + gros problème: il va falloir convaincre…

                    certes il faut se preparer à "vendre" la solution et envisager toutes les possibilités,
                    mais faut peut-etre faire simple,
                    car si tu veux rentrer dans les details juridiques, c'est plutot un avocat qu'il te faudra voir.

  • # Quelques outils...

    Posté par . Évalué à -2.

    Le mieux est quand même d'avoir recours à la virtualisation…

    Packet Tracer -> Pour simuler des routeurs/switch cisco !
    VirtualBox -> Virtualisation système (De Linux à Windows en passant par Mac et BSD)

    Et le top du top !
    GNS ou tu peux virtualiser des routeurs, des switchs et inclure des postes avec virtualbox !

    Avec GNS tu peux réellement simuler un vrai réseau d'entreprise !

    • [^] # Re: Quelques outils...

      Posté par (page perso) . Évalué à 4.

      Je sais mais je parle de vrai installation que l'on peut maintenir et faire évoluer afin de voir le problème des architectures de sécurité, le déploiement d'outils comme des IDS/IPS, la mise en place de honeypot sur une adresse publique, etc. Cela ne s'apprend pas dans un ou plusieurs TP mais par l'expérience acquise au fur et à mesure…

  • # Ça existe à peu près

    Posté par (page perso) . Évalué à 10.

    Dans certaines écoles d'ingénieurs, les étudiants sont chargés de connecter eux-même la résidence des étudiants au grand ternet, et ça se fait par le biais d'une association d'étudiants. Donc si ça casse, ça retombe sur leur pomme.

    En pratique, c'est beaucoup plus facile pour des étudiants de bidouiller sur le WAN via cette association, justement parce qu'ils parlent à d'autres étudiants qui eux-mêmes ont d'autres choses à faire que de passer leur temps sur les problèmes légaux (non pas qu'ils laissent tout faire, juste qu'on parle plus facilement avec eux). Je pense que le mieux c'est de passer par ces associations.

    Justement, beaucoup de ces associations sont en contact via Federez. Peut-être une piste ?

    • [^] # Re: Ça existe à peu près

      Posté par (page perso) . Évalué à 1.

      Très bonne idée FedeRez, j'avais oublié l'existence de cette association. Merci.

    • [^] # Ca existe tout court.

      Posté par . Évalué à 0.

      C'est comme ça dans beaucoup d'écoles, dont SUPINFO. Les étudiants gèrent un vrai réseau, grandeur nature, celui de l'école. Ils sont bien sûr supervisés par l'administration, mais ils restent cependant très libres.

      On me dit également dans l'oreillette que d'autres écoles ont importé le même principe.

  • # Et une bonne rootwar?

    Posté par . Évalué à 6.

    Tu donnes 5 machines à un groupe d'étudiants, 5 autres à un autre groupe, et toi tu monitores.

    Les machines sont livrées "en l'état" (une damn vulnerable linux, gniark), et les étudiants doivent fournir le meilleur service possible (mail, HTTP, disponibilité, file download/upload, etc..).

    Le jour du grand final (par exemple au bout d'une semaine), tu leur dis que le switch est éteint à 16h précise, et que le plus grand nombre de personnes ayant un shell root sur le max de machines ont le plus de points.

    Ca permet d'apprendre pleins de choses aux étudiants sans se risquer sur le grand "ternet"

  • # Pourquoi forcément un accès internet complet ?

    Posté par (page perso) . Évalué à 2.

    Rien n'empêche de demander aux admins de la tête de réseau connectée à renater d'avoir simplement quelques ports entrants (mail, dns, ssh, http, https) ouverts sur une ip publique renater (ou un sous réseau ipv6) et de demander à une équipe d'étudiants de monter un système d'information parallèle (dns, hosting mail, hosting web, git, … avec https, cloud interne et extranet) avec un sous domaine de l'université.

    L'idée étant d'offrir des services aux étudiants accessibles depuis l'extérieur et géré 100% en interne. L’accès à internet se fait en proxy/socks et l'envoi de mail par le smtp interne de l'univ, si c'est juste pour récupérer du soft, ça suffit…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.