Bonjour,
Je regarde avec tristesse le niveau souvent assez moyen en système et réseau de mes étudiants (non pas que la formation délivrée pose problème mais plus par le manque de pratique et de gérer quotidiennement ce type d'installation). De plus, l'idée de les frotter à des environnements réels a toujours été une bonne expérience, surtout en terme de connaissance en sécurité.
Une idée folle serait alors de permettre aux étudiants d'administrer leurs serveurs à l'intérieur de l'université Le problème du matériel semble le moins important: il existe toujours des bécanes ou de vieux routeurs qui traînent à droite ou à gauche. Par contre connecter ces machines au "vrai" Internet (c'est-à-dire sans aucun obstacle de type proxy, NAT ou firewall) semble un obstacle de taille conséquente.
La première idée serait de demander un local et une prise brassée directement sur Internet sans filtrage par l'institution, notamment pour exposer des services et regarder le "vrai" trafic. Là on peut imaginer la réticence de l'administration à laisser les étudiants sur le réseau de l'université / l'école. Même en isolant les machines dans un VLAN, il sera difficile de convaincre les administrateurs de l'institution. L'option de les laisser derrière un NAT est moins bonne et de toute façon semblera tout aussi folle aux yeux des administrateurs.
Un des obstacles le + important semble la difficulté de faire confiance aux étudiants. La sécurité périphérique traditionnellement déployé considère souvent l'étudiant comme un intrus dont la seule préoccupation est de charger des torrents en regardant du streaming pendant la pause de midi tout en mangeant un sandwich dont les miettes iront se glisser entre les interstices du clavier. Les mesures sont alors de le canaliser en lui mettant le + d'obstacles possibles (proxy web, socks ou autres) et le pose d'affichette signalant la mise à mort de tout individu finissant sa mousse au chocolat avec les doigts avant de taper un long rapport utilisant l'ensemble des touches disponibles sur le clavier.
Ces obstacles sont souvent outrepassables (surtout après le cours "VPN 101") mais l'institution s'est protégé en rejetant la responsabilité sur le fournisseur du dit service VPN.
Une option la plus intéressante serait alors "le cloud" pour éviter de se frotter aux différentes autorisations des administrations. Mais le coût induit peut-être important, surtout si l'on cherche à travailler des aspects comme la montée en charge ou la gestion de nombreux services. De plus devoir trifouiller de vrais matos (CISCO par exemple) est quand même important, surtout pour distinguer infrastructure réelle VS infrastructure virtuelle.
On revient donc au problème de base: comment fournir un local et une connexion Internet. Si l'on prend l'hypothèse que la disponibilité du lieu-dit et de la prise est acquise, reste à convaincre l'institution pour l'accès à Internet.
La première peur de cette dernière est le risque légal, notamment en cas d'actions pouvant compromettre sa réputation si la structure autonome ainsi constituée abusée des droits attribuées. L'institution a dans ce cas le statut d'hébergeur avec des étudiants sous sa responsabilité et dans son réseau.
Une idée serait alors de séparer le statut de l'université de celui de cette cellule autonome. Le plus simple serait un statut d'association (d'étudiants par exemple), permettant à l'institution de n'être que fournisseur au lieu d'hébergeur. L'idée est potentiellement réalisable: de nombreuses entreprises existent sur le campus. Après il existe un potentiel frais de connexion, sans compter qu'il est nécessaire d'avoir l'autorisation de faire passer ce flux dans un VLAN à travers les infrastructures de l'université.
Maintenant il est possible que j'exagère la difficulté de développer cette idée (je ne pense pas). J'aimerai bien savoir si d'autres personnes ont tenté de développer ce genre d'activité dans le cadre de leur école ou de leur université, les problèmes qu'ils ont rencontrés, etc…
# Marionnet
Posté par Pouetpouet . Évalué à 3.
A l'IUT notre prof nous avait installé Marionnet (http://www.marionnet.org/) sur les postes dédiés aux cours d'admin/réseau
[^] # Re: Marionnet
Posté par Julien CARTIGNY (site web personnel) . Évalué à 2.
Pas exactement ce que je recherche. Il existe beaucoup de solution pour les travaux pratiques (netkit, marionnet, packet tracer, …). Je suis plus à rechercher une installation pereine avec de machines (physiques) qu'ils controlleraient au fur et à mesure de l'année.
[^] # Re: Marionnet
Posté par Zylabon . Évalué à 5.
Je comprend parfaitement ta démarche.
Sans offense, les cours de réseau sont plutôt chiants, même donnés par des profs extra. En fait je pense que c'est la discipline est intrinsèquement chiante. C'est que de la technique, beaucoup de choses à savoir alors qu'il n'y a finalement très peu de concepts derrière. Mais c'est super important… Ce sont des compétences dont aucun informaticien ne peut se passer à mon sens.
Alors quand à une discipline chiante quand on ajoute des TP futiles… ça ne peut pas marcher.
Please do not feed the trolls
[^] # Re: Marionnet
Posté par Julien CARTIGNY (site web personnel) . Évalué à 1.
J'admets avoir ressenti ça comme étudiant. Se taper la théorie du signal, les calculs de checksums ou passer des heures sur l'automate TCP n'est pas l'expérience la plus intéressante de mes études. Personnellement, j'en ai tiré comme leçon qu'il faut avoir beaucoup de pratique (TP) et éviter de passer des heures sur du montage de réseau pour se consacrer à des maquettes qui amènent directement des problématiques pour des situations un peu complexe, comme par exemple monter une architecture de sécurité avec plusieurs sous-réseaux et de l'isolation / filtrage (netkit est une merveille pour ça).
Plus généralement la sécurité est un excellent vecteur éducatif: montrer les limitation d'un réseau local, déborder sur la nécessité de cryptographie ou du renforcement système, forger ses paquets pour tester des situations particulières (avec Scapy par exemple). Puis la sécurité il y a ce côté grisant que les étudiants adorent…
# Une asso, un local, une connexion ADSL autonome
Posté par NeoX . Évalué à 7.
bienvenu dans la vraie vie avec de vraies responsabilités
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . Évalué à 1.
Asso et local ça devrait se faire. Par contre la connexion ADSL autonome risque d'être rejetée car sur le local est sur le site universitaire (sans compter le fait que le téléphone déployé c'est de la VoIP Cisco). De plus l'idéal serait d'avoir accès au connection RENATER de l'université, mais sans entraîner d'ennuis techniques ou potentiellement légaux pour les personnes en charge du réseau.
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Loïs Taulelle ࿋ (site web personnel) . Évalué à 3.
Si tu es sur un campus, tu as accès à la charte RENATER de ton établissement…
Relis-la.
Encore.
Proverbe Alien : Sauvez la terre ? Mangez des humains !
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . Évalué à 1.
Et ?
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par NeoX . Évalué à 2.
ben y a peut-etre marqué ce que tu as le droit (ou pas) de faire sur le reseau en question.
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . Évalué à 0.
Oui mais après cette charte il y a encore l'administration locale, les problèmes techniques de connexion, la définition du cadre légal de responsabilité (la fac veut avoir des garanties sur le fait qu'elle ne risque rien au niveau juridique), sans compter la garantie que je devrais apporter sur le bon déroulement des opérations…
Pour moi la charte c'est un point de départ de discussion, après il reste le vrai travail pour monter une telle idée.
Bienvenue dans la vie.com !
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par NeoX . Évalué à 2.
probleme technique de connexion : c'est un detail technique, un vlan, un NAT 1:1, un dhcp et tu peux etre sur internet sans emmerder le vrai reseau de l'université
l'administration locale, cadre légale de responsabilité : c'est la charte qui dit ce qui a été décidé pour ton etablissement, c'est la dessus que tu dois demarrer.
Ensuite si tu montes une asso, il faudra une convention entre ton université et l'asso, qui fixera les droits et devoirs de chacun.
Cette asso aura un president, un secretaire, un tresorier, une AG, et donc des responsables désignés en cas de soucis.
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par Julien CARTIGNY (site web personnel) . Évalué à 0.
J'approuve sans réserve ces bonnes paroles (et j'avais en tête ces éléments), mais l'aspect humain des personnes devant autoriser ce projet est le + gros problème: il va falloir convaincre… C'est pour cette raison que la charte RENATER est une très bonne piste, mais aussi de définir les contours des aspects légaux derrière hébergeur et prestataire.
[^] # Re: Une asso, un local, une connexion ADSL autonome
Posté par NeoX . Évalué à 3.
certes il faut se preparer à "vendre" la solution et envisager toutes les possibilités,
mais faut peut-etre faire simple,
car si tu veux rentrer dans les details juridiques, c'est plutot un avocat qu'il te faudra voir.
# Quelques outils...
Posté par Krast . Évalué à -2.
Le mieux est quand même d'avoir recours à la virtualisation…
Packet Tracer -> Pour simuler des routeurs/switch cisco !
VirtualBox -> Virtualisation système (De Linux à Windows en passant par Mac et BSD)
Et le top du top !
GNS ou tu peux virtualiser des routeurs, des switchs et inclure des postes avec virtualbox !
Avec GNS tu peux réellement simuler un vrai réseau d'entreprise !
[^] # Re: Quelques outils...
Posté par Julien CARTIGNY (site web personnel) . Évalué à 4.
Je sais mais je parle de vrai installation que l'on peut maintenir et faire évoluer afin de voir le problème des architectures de sécurité, le déploiement d'outils comme des IDS/IPS, la mise en place de honeypot sur une adresse publique, etc. Cela ne s'apprend pas dans un ou plusieurs TP mais par l'expérience acquise au fur et à mesure…
# Ça existe à peu près
Posté par rakoo (site web personnel) . Évalué à 10.
Dans certaines écoles d'ingénieurs, les étudiants sont chargés de connecter eux-même la résidence des étudiants au grand ternet, et ça se fait par le biais d'une association d'étudiants. Donc si ça casse, ça retombe sur leur pomme.
En pratique, c'est beaucoup plus facile pour des étudiants de bidouiller sur le WAN via cette association, justement parce qu'ils parlent à d'autres étudiants qui eux-mêmes ont d'autres choses à faire que de passer leur temps sur les problèmes légaux (non pas qu'ils laissent tout faire, juste qu'on parle plus facilement avec eux). Je pense que le mieux c'est de passer par ces associations.
Justement, beaucoup de ces associations sont en contact via Federez. Peut-être une piste ?
[^] # Re: Ça existe à peu près
Posté par Julien CARTIGNY (site web personnel) . Évalué à 1.
Très bonne idée FedeRez, j'avais oublié l'existence de cette association. Merci.
[^] # Ca existe tout court.
Posté par Didrik Pining . Évalué à 0.
C'est comme ça dans beaucoup d'écoles, dont SUPINFO. Les étudiants gèrent un vrai réseau, grandeur nature, celui de l'école. Ils sont bien sûr supervisés par l'administration, mais ils restent cependant très libres.
On me dit également dans l'oreillette que d'autres écoles ont importé le même principe.
# Et une bonne rootwar?
Posté par octane . Évalué à 6.
Tu donnes 5 machines à un groupe d'étudiants, 5 autres à un autre groupe, et toi tu monitores.
Les machines sont livrées "en l'état" (une damn vulnerable linux, gniark), et les étudiants doivent fournir le meilleur service possible (mail, HTTP, disponibilité, file download/upload, etc..).
Le jour du grand final (par exemple au bout d'une semaine), tu leur dis que le switch est éteint à 16h précise, et que le plus grand nombre de personnes ayant un shell root sur le max de machines ont le plus de points.
Ca permet d'apprendre pleins de choses aux étudiants sans se risquer sur le grand "ternet"
# Pourquoi forcément un accès internet complet ?
Posté par superna (site web personnel) . Évalué à 2.
Rien n'empêche de demander aux admins de la tête de réseau connectée à renater d'avoir simplement quelques ports entrants (mail, dns, ssh, http, https) ouverts sur une ip publique renater (ou un sous réseau ipv6) et de demander à une équipe d'étudiants de monter un système d'information parallèle (dns, hosting mail, hosting web, git, … avec https, cloud interne et extranet) avec un sous domaine de l'université.
L'idée étant d'offrir des services aux étudiants accessibles depuis l'extérieur et géré 100% en interne. L’accès à internet se fait en proxy/socks et l'envoi de mail par le smtp interne de l'univ, si c'est juste pour récupérer du soft, ça suffit…
[^] # Re: Pourquoi forcément un accès internet complet ?
Posté par Julien CARTIGNY (site web personnel) . Évalué à 1.
Pour deux raisons l'accès complet est une meilleure idée:
- si la fac commence à filtrer, elle peut être considéré comme hébergeur
- être le vrai Internet permet de développer aussi des compétences dans les honeypots, la pratique des IDS/IPS, etc…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.