Des nouvelles d'ARN

Bonjour à tous !

Que s'est-il passé chez ARN depuis un an ? Il est grand temps de vous donner quelques nouvelles !

Les quelques évènements de cette année n'ont pas été jugés « importants », d'où l'absence de news sur le site et de messages sur notre liste publique principale discussion@listes.arn-fai.net, cependant nous sommes toujours bien vivants ! :)

Un certain nombre de personnes nous ont demandé explicitement d'informer de façon plus régulière des actions, des choix et de la vie de l'asso en général. Nous avons conscience qu'il est difficile pour quelqu'un qui n'est pas impliqué aussi activement que nous dans l'association de suivre nos activités. C'est pourquoi nous allons désormais faire des récapitulatifs une fois par mois sur ce que nous faisons, et éventuellement vous faire part d'informations un peu plus générales sur des sujets en rapport avec les FAI associatifs par exemple.

Pour l'heure, voici un bref récapitulatif de ce qui a été fait depuis un an.

Le plus gros de la partie technique est depuis un moment en place avec la base de virtualisation (KVM, netns, VLAN, …). Nous y faisons tourner du BGP (recevoir les routes Internet et envoyer les nôtres pour qu'on puisse nous contacter avec *nos* IP), et une partie des services de notre infra, par exemple un serveur DNS récursif, pour nos abonnés et aussi pour tout le monde qui souhaite s'en servir [1], les mails (alias et listes de diffusion), le radius…

Autre chose, nous avons mis en place un service de VPN chiffrés, qui fournit des IP ARN fixes. Cela peut être utile par exemple si vous êtes en déplacement, ou si vous souhaitez simplement garder votre FAI actuel mais bénéficier d'un accès neutre et qui respecte votre vie privée. Nous écrivons le contrat en ce moment même. Le tarif est/sera de 4€ par mois.

Concernant la collecte qui n'arrive pas, nous faisons tout pour que cela avance, en relançant sans cesse notre prestataire (téléphone, mails, physique). Toujours pas de contrat. Nous avons cependant fait ce qui était humainement possible de notre côté, les différentes configurations que nous pouvons faire avec les informations que nous avons [2].

Plus récemment, nous avons changé les anciens disques durs de notre machine de services par des Vélociraptors 3x1TB 10K rpm qui sont bien plus puissants. Cela est arrivé après s'être rendu compte d'un vrai problème avec un des anciens disques et la carte mère, comme mentionné dans la nouvelle précédente [3]. Ce problème a duré un moment avant que nous trouvions son origine (plutôt délicat, dû à la nature périodique des erreurs constatées).

Nous supportons aussi un projet connexe de distribution gratuite et ouvert de sous-domaines DNS [4]. Ce service est hébergé et maintenu sur notre infrastructure.

Entre deux commandes shell sur les serveurs, nous avons envoyé un e-mail aux députés de divers partis politiques concernant un projet de loi sur la neutralité du net en mars dernier.

Que vous soyez membre de l'association ou non, on profite de cet article pour vous rappeler que vous pouvez venir discuter avec nous à tout moment sur IRC. Des adhérents et des sympathisants sont connectés en permanence sur notre canal, et nous y sommes bien plus bavards qu'ici : [5]

Pour ceux qui s'intéressent à la technique, vous trouverez des informations purement techniques ci-dessous.

Nous vous souhaitons une bonne journée !

[1]: Nous avons également protégé le service DNS des attaques par amplification et ce genre de choses dont nous sommes la proie. Avoir un serveur DNS récursif-cache ouvert et validant autre que ceux de Google est une bonne chose pour des aspects de vie privée, mais on ne va pas s'attarder sur ce sujet (vaste) dans cet article.

[2]: https://lists.ffdn.org/wws/arc/grandest/2014-06/msg00015.html

[3]: http://arn-fai.net/node/35 [4]: http://netlib.re

[5]: http://irc.lc/geeknode/arn

Quelques informations purement techniques.

Nous avons mis en place un certain nombre de règles iptables pour nous protéger de diverses attaques, limiter notre implication dans des attaques par amplification sur notre récursif , empêcher l'usurpation d'IP, etc.

Nous avons mis une partie de notre configuration sous puppet, ce qui nous permet de nous simplifier la vie concernant la gestion des utilisateurs, des configurations de base des machines et nous simplifie le déploiement sur le long terme. L'ajout d'une machine nécessitera relativement peu de configuration (uniquement ce qui lui sera spécifique).

Nous avons mis en place des sauvegardes de nos systèmes. En cas de crash d'une machine, même physique, nous serons en mesure de récupérer les différentes configurations éparpillées sur nos machines ainsi que les logs.

Nous avions un problème de spams, et pris des mesures (légères pour l'instant) : un système de greylisting. Souvent les spams sont envoyés en vitesse depuis des serveurs éphémères, et ne sont donc jamais renvoyés en cas d'erreur à la première tentative. C'est ce sur quoi joue le greylisting en refusant les messages uniquement à la première tentative.

Nous avons aussi pu prendre le temps de mettre en place la surveillance de l'infra, pour remonter des alertes en cas de défaillance d'une part, mais aussi pour garder trace des activités des machines (RAM, CPU, réseau etc.) et pour pouvoir retrouver ce qu'il s'est passé a posteriori en cas d'incident. Il reste la partie hors-infra à mettre en place.