Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Jacques Belin]

Le vendredi 31 janvier 2014 17:02:30,
Frederic Dhieux  a écrit:

> Tester un produit c'est bien, faire une enquête auprès des clients avant
> c'est mieux :)

Ouais... A condition qu'on ne doive pas filer pas la feuille de réponse,
même pas mise sous enveolppe, aux gens du Desk...

Peut-être qu"Alzheimer approche, mais j'ai comme un souvenir d'avoir vu
ça il y a quelques années dans un DC déjà cité dans ce thread..


A+ Jacques.
-- 
Le dernier Homme connecté sur le Net regardait d'anciens sites Web.
"Vous avez du courrier" apparut sur l'écran...
--- adapté d'une courte histoire de Fredric Brown


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 31/01/2014 17:02, Frederic Dhieux wrote:

Tester un produit c'est bien, faire une enquête auprès des clients avant
c'est mieux :)


Des enquêtes auprès des clients chez TH2 y'en a *très* souvent à remplir
au PCS, d'ailleurs en général je suis pas tendre. Mais après j'en parle
avec le resp. de la sécu, qui est accessible et même visible : son bureau
est dans le PCS.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Frederic Dhieux]

Le 1/31/14 5:11 PM, Clement Cavadore a écrit :
> On Fri, 2014-01-31 at 17:02 +0100, Frederic Dhieux wrote:
>> me faire passer un cross to MMR 12 000 Euros le 12FO
>> hier, donc je suis moins tolérant que d'habitude peut-être :) ). 
> What ?!?
> Il y a un moment, faut arrêter de se croire sur le marché US, et arrêter
> de se foutre de la gueule du monde, un breakout, même SM, c'est pas ce
> prix là... même si le mec passe une journée à le passer, et qu'il est
> payé à prix d'or !
>
> Par curiosité, combien en récurrent ? 50€/mois/paire, c'est ca ? :)
Un cross connect temporaire pour migrer, un espèce de record de foutage
de gueule =)

Bref, n'allons pas dans le H.S. ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

On Fri, 2014-01-31 at 17:02 +0100, Frederic Dhieux wrote:
> me faire passer un cross to MMR 12 000 Euros le 12FO
> hier, donc je suis moins tolérant que d'habitude peut-être :) ). 

What ?!?
Il y a un moment, faut arrêter de se croire sur le marché US, et arrêter
de se foutre de la gueule du monde, un breakout, même SM, c'est pas ce
prix là... même si le mec passe une journée à le passer, et qu'il est
payé à prix d'or !

Par curiosité, combien en récurrent ? 50€/mois/paire, c'est ca ? :)
-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Frederic Dhieux]

Le 1/31/14 11:10 AM, Sylvain Vallerot a écrit :
>
>
> On 30/01/2014 20:46, Edelwin Khaelos wrote:
>> Stop les chamailleries et attaques ad hominem, plz...
>
> S'agit pas de ça, on parle de l'importance de la relation
> dans les processus de sécurité.
>

Personnellement je parlais du système et de ses incohérences plutôt,
mais bon tu sembles vouloir orienter la discussion sur ce pauvre gardien
dont la seule critique que j'ai faite et d'avoir cherché une excuse pour
expliquer l'incohérence du système.

Et je n'ai pas pris la peine de répondre car effectivement je trouvais
que le ton ne donnait pas envie de le faire (après je manque de sommeil
et on a essayé de me faire passer un cross to MMR 12 000 Euros le 12FO
hier, donc je suis moins tolérant que d'habitude peut-être :) ).

/end of story

> Au fait en ce moment je participe au test du nouveau portail
> de TH, j'imagine que je ne suis pas le seul ? C'est à mon
> sens une bonne manière de faire progresser les choses pour
> eux, que d'intégrer les remarques des clients.
>
>

Tester un produit c'est bien, faire une enquête auprès des clients avant
c'est mieux :)

>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Bruno CAVROS / SKIWEBCENTER]

Un nouveau portail ? oh ? ils ont fait des dépenses ?

Quand je pense que leur tourniquet de m est resté plus de 6 mois HS..



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Sylvain Vallerot
Envoyé : vendredi 31 janvier 2014 11:10
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition 
à chaque fois ?



On 30/01/2014 20:46, Edelwin Khaelos wrote:
> Stop les chamailleries et attaques ad hominem, plz...

S'agit pas de ça, on parle de l'importance de la relation
dans les processus de sécurité.

Au fait en ce moment je participe au test du nouveau portail
de TH, j'imagine que je ne suis pas le seul ? C'est à mon
sens une bonne manière de faire progresser les choses pour
eux, que d'intégrer les remarques des clients.



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 30/01/2014 20:46, Edelwin Khaelos wrote:

Stop les chamailleries et attaques ad hominem, plz...


S'agit pas de ça, on parle de l'importance de la relation
dans les processus de sécurité.

Au fait en ce moment je participe au test du nouveau portail
de TH, j'imagine que je ne suis pas le seul ? C'est à mon
sens une bonne manière de faire progresser les choses pour
eux, que d'intégrer les remarques des clients.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Raphael Mazelier]

Le 30/01/2014 20:53, Julien Banchet a écrit :

Mon collègue/chef arrivé peu avant m'ayant donné accès, on nous donne 2
badges après un rapide controle...
Arrivé au 3ème, on peut pas passer la porte... Retour à l'acceuil, l'équipe
avait déjà changé "Ah, je vous ai pas vu donc je recheck"... "Ah mais j'ai
rien moi pour M. Banchet", mais wtf, on a fait la demande... bref... c'est
passé quand même


Tu vois moi j'ai apprécié. Cela faisait bien 3 ans que j'étais pas allé 
dans ce musée, et bien j'ai trouvé agréable de retrouver mes habitudes : 
à savoir attente, discussion, allez retour vers le PC sécurité bon enfin 
avoir des accès correct. J'avais planifié ma 1/2 heure pour rentrer, 
cela a été respecté.
Une nouveauté toutefois le petit portique à l'entrée, que je trouve très 
utile, surtout quand il avale les cartes.


Sinon je confirme Fred, il existe un vortex spatio-temporel dans chaque 
DC, mais il est visiblement très puissant par ici.
Arrivé 12H30 pour remplacer un serveur, poser un équipement, sortie 1H30 
du matin après remplacement mystique d'un LNS/carte ATM/ voodoo...
Je suis sur que l’équipement m'attendait, ou n'a pas apprécié mon regard 
désapprobateur. Le fourbe.


Sur ce bon trolldi.

--
Raphael Mazelier



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Edelwin Khaelos]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

C'est vrai que tu n'est jamais très loin, avec ton lance-flammes et ta
pelleteuse jaune :p

On 30/01/2014 21:04, Bruno CAVROS / SKIWEBCENTER wrote:
> C'est super sympa aussi quand ils rendent ta carte d'identité à
> quelqu'un d'autre... voila la galère ensuite pour refaire
> l'échange..
> 
> Bref il faut se sauver de ce truc obsolète avant que ça brule en
> entier :)
-BEGIN PGP SIGNATURE-
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=nndS
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Bruno CAVROS / SKIWEBCENTER]

C'est super sympa aussi quand ils rendent ta carte d'identité à quelqu'un 
d'autre... voila la galère ensuite pour refaire l'échange..

Bref il faut se sauver de ce truc obsolète avant que ça brule en entier :)

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Julien Banchet
Envoyé : jeudi 30 janvier 2014 20:54
À : frnog
Objet : Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition 
à chaque fois ?

2014-01-29 Philippe Marrot 

> Bonjour,
>
>
> J'en profite pour un coup de gueule concernant l'acceuil technique d'un DC
> de Paris 11ème...
>
> Je passe aussi sur les cartes d'accès qui ne sont pas bien activées une
> fois sur 2,
>

Bah voilà, rebelote aujourd'hui, j'arrive en Twizy et une machine à
l'arrière, j'ai du atteindre que des camions se barrent de devant le
portail.
Je m'approche, j'ai l'impression qu'on a fait que noter mon immat, sans
checker qu'on ai pu en demander l'accès auparavent. Heureusement qu'on
doute de rien avec ma caisse, elle fait sourire avant de faire douter :-)
(PS: pas de prise électrique "On sait pas si ça peut casser qqchose", doh!)

Mon collègue/chef arrivé peu avant m'ayant donné accès, on nous donne 2
badges après un rapide controle...
Arrivé au 3ème, on peut pas passer la porte... Retour à l'acceuil, l'équipe
avait déjà changé "Ah, je vous ai pas vu donc je recheck"... "Ah mais j'ai
rien moi pour M. Banchet", mais wtf, on a fait la demande... bref... c'est
passé quand même



> jusqu'au le tourniquet à l'acceuil qui déconne,, bref , peut vraiment mieux
> faire...
>

Ah, elle m'a bouffé la carte en allant déjeuner, extraction manuel...
rebelote en partant, ils l'ont laissé dedans, sic.


>
> PM.
>
>
>
>
>
>
>
>
> Le 24 janvier 2014 20:30, Thierry Del-Monte  a
> écrit :
>
> > Le 24/01/2014 19:16, Clement Cavadore a écrit :
> >
> >> En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
> >> les badges nominatifs qu'on emporte avec nous + biométrie.
> >> Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
> >> droides a l'entrée, ni à faire la queue s'il y a affluence.
> >>
> >>
> >> Par contre, chaque fois qu'il faut faire des autorisation, c'est presque
> >> systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
> >> quand même... surtout quand tu SAIS que le mail est parti :-)
> >>
> >> On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:
> >>
> >>> Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.
> >>>
> >>> Par contre c'est vrai que c'est assez casse-pied de devoir faire deux
> >>> fois
> >>> les accès entre PA2 et PA3. Et pour certains ce n'est pas si
> exceptionnel
> >>> que ca...
> >>>   Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
> >>> fr...@radu-adrian.feurdean.net> a écrit :
> >>>
> >>>  On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
> >>>>
> >>>>> Suffit de demander un accès permanent si vous y allez souvent...
> >>>>>
> >>>> Mais meme quand on a le badge permanent, si on gagne pas la lotterie
> des
> >>>> "badges a son propre nom", il faut perdre chaque fois du temps avec le
> >>>> re-enregistrement des empreintes + programmation du badge.
> >>>>
> >>>> Quand on fait partie des hereux gagnants, il reste uniquement la
> partie
> >>>> "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
> >>>> 50% de chance de devoir attendre derriere X autres personnes qui
> >>>> entrent/sortent du site. Pas exactement probleme de procedure, mais de
> >>>> capacite d'accueil.
> >>>>
> >>>> Par contre ce qui rend les choses penibles c'est le fait de ne pas
> avoir
> >>>> un acces permanent (deja evoque) ou de ne pas etre client direct, du
> >>>> coup devoir passer par X autre intermediaires avant d'arriver sur une
> >>>> liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.
> >>>>
> >>>> Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers
> mois),
> >>>> c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
> 

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Eric ROLLAND]

Le 30/01/2014 19:59, Sylvain Vallerot a écrit :
>
> Mon idée sur l'amabilité donc, et pas spécialement vis-à-vis de toi,
> c'était plutôt que pour que la sécurité fonctionne bien, elle doit
> se faire avec un minimum de souplesse ce qui inclut 2-3 doses de
> patience, d'acceptation de l'erreur de l'autre, de second degré,
> de tolérance, etc. 


Bonjour,
Lulu prend de la bouteille ! 2014 sera un bon millésimesile soleil est
au RDV;-)
Cordialement,
Eric ROLLAND
AS42929 - RE515-RIPE


*Artefact communication interactive* | Bat. Artechnopole - 3 rue des
Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33
SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z |
TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07

*artefact
*Communication Interactive
www.artefact.fr *artewan*
Opérateur de réseaux et de services
www.artewan.fr   *arteone*
Datacenter, Informatique & Services IT
www.arteone.fr 

Découvrez aussi Artechnopole , l'espace
IT de la Corrèze


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Julien Banchet]

2014-01-29 Philippe Marrot 

> Bonjour,
>
>
> J'en profite pour un coup de gueule concernant l'acceuil technique d'un DC
> de Paris 11ème...
>
> Je passe aussi sur les cartes d'accès qui ne sont pas bien activées une
> fois sur 2,
>

Bah voilà, rebelote aujourd'hui, j'arrive en Twizy et une machine à
l'arrière, j'ai du atteindre que des camions se barrent de devant le
portail.
Je m'approche, j'ai l'impression qu'on a fait que noter mon immat, sans
checker qu'on ai pu en demander l'accès auparavent. Heureusement qu'on
doute de rien avec ma caisse, elle fait sourire avant de faire douter :-)
(PS: pas de prise électrique "On sait pas si ça peut casser qqchose", doh!)

Mon collègue/chef arrivé peu avant m'ayant donné accès, on nous donne 2
badges après un rapide controle...
Arrivé au 3ème, on peut pas passer la porte... Retour à l'acceuil, l'équipe
avait déjà changé "Ah, je vous ai pas vu donc je recheck"... "Ah mais j'ai
rien moi pour M. Banchet", mais wtf, on a fait la demande... bref... c'est
passé quand même



> jusqu'au le tourniquet à l'acceuil qui déconne,, bref , peut vraiment mieux
> faire...
>

Ah, elle m'a bouffé la carte en allant déjeuner, extraction manuel...
rebelote en partant, ils l'ont laissé dedans, sic.


>
> PM.
>
>
>
>
>
>
>
>
> Le 24 janvier 2014 20:30, Thierry Del-Monte  a
> écrit :
>
> > Le 24/01/2014 19:16, Clement Cavadore a écrit :
> >
> >> En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
> >> les badges nominatifs qu'on emporte avec nous + biométrie.
> >> Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
> >> droides a l'entrée, ni à faire la queue s'il y a affluence.
> >>
> >>
> >> Par contre, chaque fois qu'il faut faire des autorisation, c'est presque
> >> systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
> >> quand même... surtout quand tu SAIS que le mail est parti :-)
> >>
> >> On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:
> >>
> >>> Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.
> >>>
> >>> Par contre c'est vrai que c'est assez casse-pied de devoir faire deux
> >>> fois
> >>> les accès entre PA2 et PA3. Et pour certains ce n'est pas si
> exceptionnel
> >>> que ca...
> >>>   Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
> >>> fr...@radu-adrian.feurdean.net> a écrit :
> >>>
> >>>  On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
> 
> > Suffit de demander un accès permanent si vous y allez souvent...
> >
>  Mais meme quand on a le badge permanent, si on gagne pas la lotterie
> des
>  "badges a son propre nom", il faut perdre chaque fois du temps avec le
>  re-enregistrement des empreintes + programmation du badge.
> 
>  Quand on fait partie des hereux gagnants, il reste uniquement la
> partie
>  "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
>  50% de chance de devoir attendre derriere X autres personnes qui
>  entrent/sortent du site. Pas exactement probleme de procedure, mais de
>  capacite d'accueil.
> 
>  Par contre ce qui rend les choses penibles c'est le fait de ne pas
> avoir
>  un acces permanent (deja evoque) ou de ne pas etre client direct, du
>  coup devoir passer par X autre intermediaires avant d'arriver sur une
>  liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.
> 
>  Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers
> mois),
>  c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
>  son propre system d'acces et on peut etre amenes a repeter la
> procedure
>  chaque fois qu'on change de site (alors que les deux sont a 100m l'un
> de
>  l'autre et geres par les memes).
> 
>   la procédure consiste a mettre 3 fois sa main sur le détecteur et
> doit
> > durer moins d'une minute... on peut pas dire que ce soit très
> > contraignant quand même.
> >
>  Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
>  personnes qui sont dans la meme situation. Tout ca parce qu'ils ont
> que
>  rarement des bagdes a alouer "par personne" de facon permanente (voir
>  plus haut).
> 
>   ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > Clément, c'est hasbeen les mails ;-)
> > Maintenant y a le portail web et franchement sur Equinix et Interxion
> > c'est plutôt bien foutu et j'ai jamais eu de problème avec (même si les
> > débuts ont été parfois difficiles maintenant ça roule bien).
> >
> >
> > Thierry
> >
> >
> >
> >
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Edelwin Khaelos]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Stop les chamailleries et attaques ad hominem, plz...
-BEGIN PGP SIGNATURE-
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=FoVe
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 30/01/2014 14:29, Frederic Dhieux wrote:

Qu'est-ce qui te fait dire que je n'ai pas été aimable
et patient avec la personne ?


Ben... J'ai pas dit une chose pareille si tu lis bien : je ne
parlais pas de toi.

Ceci dit ensuite la personne avec qui tu auras été aimable se fait
basher sur une ML publique que lisent peut-être ses patrons, alors
que si on creuse un peu, elle a pas fait d'erreur en fin de compte.
Puisque tu soulèves la question : est-ce que ça colle avec ma
conception de l'amabilité, finalement, c'est vrai que non, pas
tellement.

Mon idée sur l'amabilité donc, et pas spécialement vis-à-vis de toi,
c'était plutôt que pour que la sécurité fonctionne bien, elle doit
se faire avec un minimum de souplesse ce qui inclut 2-3 doses de
patience, d'acceptation de l'erreur de l'autre, de second degré,
de tolérance, etc.

Finalement les accès ça devrait être comme le réseau : être strict
dans ce qu'on envoie, être permissif sur ce qu'on reçoit.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Frederic Dhieux]

Le 30/01/2014 11:30, Sylvain Vallerot a écrit :



On 30/01/2014 02:31, Frederic Dhieux wrote:

Et surtout ça fait près de 1 mois que je fais des
migrations 2 à 3 nuits par semaine sur ce site sans que rien ne
me soit signalé quant à la péremption de cette pièce d'identité :D


Le système de TH demande une pièce d'identité valable mais pas
qu'elle soit en cours de validité. Simplement si c'est pas le cas,
le système le signale.

En fait c'est plutôt ce gardien qui était pas très au courant de
ce détail, du coup il a probablement rien forcé du tout, d'ailleurs
je doute qu'il en ait la possibilité.



le côté erratique de la chose est pénible au possible...


Comme de se pointer sur un site avec une CI périmée sans savoir
si la procédure le permet par exemple ?  ;-)



Excuse moi, mais à ma connaissance, quand je passe plusieurs années à 
utiliser cette même CI et que du jour au lendemain on me dit que ça pose 
un problème, je ne considère pas que ce soit un cas "normal" et le mot 
erratique prend tout son sens. Quand un DC me dira à la première visite 
que ça ne convient pas, je n'irai pas pleurer sur mon sort, là par 
contre quand je passe 15 jours à aller sur ce site quasi toutes les 
nuits et que le comportement change sans cohérence, je pense que je suis 
en droit de trouver ça anormal.



L'erreur est humaine je dirais. Oui c'est parfois pénible et sur ce
site un peu plus de "rigueur" serait parfois la bienvenue car on a
moins la patience quand on est pressé.

Par contre d'expérience 30 secondes de patience avec le sourire
peuvent vous rendre les relations bien plus agréables, et vous
enlever beaucoup d'épines du pied parce que les gens sont aussi
plus souples.



Qu'est-ce qui te fait dire que je n'ai pas été aimable et patient avec 
la personne ? Je l'ai été, je suis entré, ce qui ne m'empêche pas d'être 
un peu agacé de l'incohérence et de le partager ici dans un sujet tout à 
fait approprié (ce que j'aurais gardé pour moi si le sujet n'était pas 
en cours).




Bonne journée,
Sylvain




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 30/01/2014 13:09, Raphael Jacquot wrote:

la CI périmée, meme les flics l’acceptent, tant que la photo est ressemblante.
j’en déduit que certains Dc sont plus royalistes que le roi…


Le code civil n'interdit pas de relever plus d'une dalle sur 2 non plus  ;-)

Sur la VP tu peux prouver ton identité avec le témoignage de ton pote...
Je suis pas sur que ce soit pertinent dans un DC.

Si tu compares les règles de l'espace public avec celle du domaine privé
t'as pas fini de trouver des différences, et c'est bien normal.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Raphael Jacquot]

On 30 Jan 2014, at 11:30, Sylvain Vallerot  wrote:
> 
> Comme de se pointer sur un site avec une CI périmée sans savoir
> si la procédure le permet par exemple ?  ;-)
> 
`
la CI périmée, meme les flics l’acceptent, tant que la photo est ressemblante.
j’en déduit que certains Dc sont plus royalistes que le roi…

Raphael

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

Bonjour,

On Thu, 2014-01-30 at 12:21 +0100, Philippe Marrot wrote:
> Non, l'idée serait plutot de mettre en place des indicateurs de qualité des
> différents services fournis par le DC.
> Ex:
> Indices: Efficacité / Efficience des outils/ Reactivité/ ...
> Thêmes: Accès Parking / Accès salles / Dessertes internes / Accès
> temporaire / Matériels / 
> 
> Avec à chaque fois une mesure (restant à établir), et un axe d'amélioration

Je trouve l'idée excellente... néanmoins il faudrait quelqu'un qui aie
du temps pour s'occuper de monter le truc, recueillir les témoignages,
tout en restant neutre, non discriminatoire, et aussi exhaustif que
possible. Ca en fait, des problématiques...

J'espère néanmoins que les responsables de site qui lisent
(silencieusement, quel dommage) tiendront compte des remarques qu'ils
auront pu lire ici. Ca serait déjà un bon début au schmilblick...

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Philippe Marrot]

Dans ce type de panorama qualité, il ne serait pas mentionné les mesures de
sécurité internes des datacenters
(qui a parlé de cela ?), de la même manière qu'un comparatif de modèles
d'auto ne détaille pas les
mécanismes internes des moteurs, et des brevets associés.

Non, l'idée serait plutot de mettre en place des indicateurs de qualité des
différents services fournis par le DC.

Ex:
Indices: Efficacité / Efficience des outils/ Reactivité/ ...
Thêmes: Accès Parking / Accès salles / Dessertes internes / Accès
temporaire / Matériels / 

Avec à chaque fois une mesure (restant à établir), et un axe d'amélioration

Le panel de résultat serait envoyé à un responsable commercial des sites
concernés.
Je pense qu'à partir de là , on peut garantir une amélioration des
services...

PM.




Le 30 janvier 2014 00:19, stephane.martin  a
écrit :

> Genre une liste publique des datacenters dans lesquels c'est le plus
> facile de rentrer ? Quelle bonne idée ! Même pas certain qu'une telle liste
> soit légale. Si les avocats des boîtes sont pas trop cons, il doit être
> interdit de mentionner publiquement les mesures de sécurité des datacenters.
>
> Bien à vous,
> Stéphane
>
>
>
>
> On 29/01/2014 19:14, Philippe Marrot wrote:
>
>> Bonjour,
>>
>> Puisque le sujet est lancé, il serait peut être interessant de mettre en
>> place un panorama actualisé
>> (façon indice de qualité) des accès aux DC parisiens, pourquoi pas ?
>>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 30/01/2014 02:31, Frederic Dhieux wrote:

Et surtout ça fait près de 1 mois que je fais des
migrations 2 à 3 nuits par semaine sur ce site sans que rien ne
me soit signalé quant à la péremption de cette pièce d'identité :D


Le système de TH demande une pièce d'identité valable mais pas
qu'elle soit en cours de validité. Simplement si c'est pas le cas,
le système le signale.

En fait c'est plutôt ce gardien qui était pas très au courant de
ce détail, du coup il a probablement rien forcé du tout, d'ailleurs
je doute qu'il en ait la possibilité.



le côté erratique de la chose est pénible au possible...


Comme de se pointer sur un site avec une CI périmée sans savoir
si la procédure le permet par exemple ?  ;-)

L'erreur est humaine je dirais. Oui c'est parfois pénible et sur ce
site un peu plus de "rigueur" serait parfois la bienvenue car on a
moins la patience quand on est pressé.

Par contre d'expérience 30 secondes de patience avec le sourire
peuvent vous rendre les relations bien plus agréables, et vous
enlever beaucoup d'épines du pied parce que les gens sont aussi
plus souples.

Bonne journée,
Sylvain




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Radu-Adrian Feurdean]

On Thu, Jan 30, 2014, at 0:19, stephane.martin wrote:
> Genre une liste publique des datacenters dans lesquels c'est le plus 
> facile de rentrer ? Quelle bonne idée ! Même pas certain qu'une telle 
> liste soit légale. Si les avocats des boîtes sont pas trop cons, il doit 
> être interdit de mentionner publiquement les mesures de sécurité des 
> datacenters.

Si les avocats des boites en question sont vraiment intelligents, ils
devait pouvoir meme se faire de la pub en mentionant publiquement les
mesures de securite.

Je ne vois pas en quoi le fait de preciser qu'un agent de securite ne
respecte pas les procedures en place est illegal ou dommageable.
Il y a dans la gestion des datacenters d'autres choses dont les
operateurs devait "ecouter" ce qui se dit autour. Du style "si tu n'est
pas permanent tu recois un badge qui te donne access a TOUT". En regle
generale arreter d'etre "business droid" et de penser un peu au service
rendu/vendu, surtout aux differences entre la realite et les plaquettes
commerciales.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Frederic Dhieux]

Ah bah faut croire que l'envie de multiplier les expériences négatives
les motive là :)

Ce soir en allant sur ce même site, le premier gardien de nuit me dit
que ma pièce d'identité est expirée d'après le système. Il est vrai
qu'elle l'est depuis quelques années cette carte d'identité, pour autant
je ne me fais jamais refouler sur les DC avec (et j'y vais souvent sur
plusieurs différents). Et surtout ça fait près de 1 mois que je fais des
migrations 2 à 3 nuits par semaine sur ce site sans que rien ne me soit
signalé quant à la péremption de cette pièce d'identité :D

J'aime bien quand ce gardien me dit que surement c'est parce que ce sont
ses collègues que j'ai eu, alors que c'est souvent lui qui me reçoit à
cette heure tardive et que c'est bien le système qui gueule là pour le
coup :D

Je passe sur la porte de la salle dans laquelle je suis où j'ai mes
accès sont mis sur le badge une fois sur deux...

Autant ça me saoule les procédures chiantes et pas très optimisées mais
je peux comprendre, autant le côté erratique de la chose est pénible au
possible... Bien sûr un permis de conduire n'est pas accepté, mais bon
au moins il a forcé le système pour me laisser entrer.

Ma petite histoire de nuit d'inter =) (et mes 20 min pour accéder à ma baie)

Bonne nuit,
Frederic


Le 1/29/14 7:14 PM, Philippe Marrot a écrit :
> Bonjour,
>
> Puisque le sujet est lancé, il serait peut être interessant de mettre en
> place un panorama actualisé
> (façon indice de qualité) des accès aux DC parisiens, pourquoi pas ?
>
> J'en profite pour un coup de gueule concernant l'acceuil technique d'un DC
> de Paris 11ème...
>
> Entre les erreurs d'interco internes, les changements de procédure décidés
> sans communication,
> et surtout la mauvaise volonté permanente de l'équipe qui se semble se
> croire à la Sécu,
> je n'ai jamais vu une telle fumisterie (y a pas d'autres mots)
>
> Je passe aussi sur les cartes d'accès qui ne sont pas bien activées une
> fois sur 2,
> jusqu'au le tourniquet à l'acceuil qui déconne,, bref , peut vraiment mieux
> faire...
>
> PM.
>
>
>
>
>
>
>
>
> Le 24 janvier 2014 20:30, Thierry Del-Monte  a écrit :
>
>> Le 24/01/2014 19:16, Clement Cavadore a écrit :
>>
>>> En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
>>> les badges nominatifs qu'on emporte avec nous + biométrie.
>>> Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
>>> droides a l'entrée, ni à faire la queue s'il y a affluence.
>>>
>>>
>>> Par contre, chaque fois qu'il faut faire des autorisation, c'est presque
>>> systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
>>> quand même... surtout quand tu SAIS que le mail est parti :-)
>>>
>>> On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:
>>>
 Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.

 Par contre c'est vrai que c'est assez casse-pied de devoir faire deux
 fois
 les accès entre PA2 et PA3. Et pour certains ce n'est pas si exceptionnel
 que ca...
   Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
 fr...@radu-adrian.feurdean.net> a écrit :

  On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
>> Suffit de demander un accès permanent si vous y allez souvent...
>>
> Mais meme quand on a le badge permanent, si on gagne pas la lotterie des
> "badges a son propre nom", il faut perdre chaque fois du temps avec le
> re-enregistrement des empreintes + programmation du badge.
>
> Quand on fait partie des hereux gagnants, il reste uniquement la partie
> "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
> 50% de chance de devoir attendre derriere X autres personnes qui
> entrent/sortent du site. Pas exactement probleme de procedure, mais de
> capacite d'accueil.
>
> Par contre ce qui rend les choses penibles c'est le fait de ne pas avoir
> un acces permanent (deja evoque) ou de ne pas etre client direct, du
> coup devoir passer par X autre intermediaires avant d'arriver sur une
> liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.
>
> Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers mois),
> c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
> son propre system d'acces et on peut etre amenes a repeter la procedure
> chaque fois qu'on change de site (alors que les deux sont a 100m l'un de
> l'autre et geres par les memes).
>
>  la procédure consiste a mettre 3 fois sa main sur le détecteur et doit
>> durer moins d'une minute... on peut pas dire que ce soit très
>> contraignant quand même.
>>
> Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
> personnes qui sont dans la meme situation. Tout ca parce qu'ils ont que
> rarement des bagdes a alouer "par personne" de facon permanente (voir
> plus haut).
>
>  ---
 Liste de 

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[stephane.martin]

Genre une liste publique des datacenters dans lesquels c'est le plus 
facile de rentrer ? Quelle bonne idée ! Même pas certain qu'une telle 
liste soit légale. Si les avocats des boîtes sont pas trop cons, il doit 
être interdit de mentionner publiquement les mesures de sécurité des 
datacenters.


Bien à vous,
Stéphane




On 29/01/2014 19:14, Philippe Marrot wrote:

Bonjour,

Puisque le sujet est lancé, il serait peut être interessant de mettre 
en

place un panorama actualisé
(façon indice de qualité) des accès aux DC parisiens, pourquoi pas ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Benjamin BILLON]

Haha je me retenais d'en parler, je profite de l'ouverture.
On a quitté le 3ème étage de TH2 pour notamment ces raisons, et également
le fait qu'on n'ait jamais réussi à avoir un commercial ou gestionnaire de
compte qui comprenait de quoi on parlait ou ce qu'on voulait.
Mes 2 centimes sur d'autres :
- Iliad DC2 (Vitry) : excellent. Le passage avec badge + empreinte se fait
sans problème, en toute autonomie.
- Interxion 2 : passable. Dans la même veine que TH2 (se présenter à
l'accueil pour recevoir un badge (même en tant que permanent), ça met des
plombes, mieux vaut ne pas avoir un serveur qui crame), MAIS avec des
procédures qui ont une certaine logique, et qui sont correctement
appliquées.

--
Benjamin BILLON

Paris - Barcelona - São Paulo - Beijing - Shanghai - Warsaw
www.splio.com
Splio, refreshing marketing


Le 29 janvier 2014 19:14, Philippe Marrot  a écrit :

> Bonjour,
>
> Puisque le sujet est lancé, il serait peut être interessant de mettre en
> place un panorama actualisé
> (façon indice de qualité) des accès aux DC parisiens, pourquoi pas ?
>
> J'en profite pour un coup de gueule concernant l'acceuil technique d'un DC
> de Paris 11ème...
>
> Entre les erreurs d'interco internes, les changements de procédure décidés
> sans communication,
> et surtout la mauvaise volonté permanente de l'équipe qui se semble se
> croire à la Sécu,
> je n'ai jamais vu une telle fumisterie (y a pas d'autres mots)
>
> Je passe aussi sur les cartes d'accès qui ne sont pas bien activées une
> fois sur 2,
> jusqu'au le tourniquet à l'acceuil qui déconne,, bref , peut vraiment mieux
> faire...
>
> PM.
>
>
>
>
>
>
>
>
> Le 24 janvier 2014 20:30, Thierry Del-Monte  a
> écrit :
>
> > Le 24/01/2014 19:16, Clement Cavadore a écrit :
> >
> >> En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
> >> les badges nominatifs qu'on emporte avec nous + biométrie.
> >> Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
> >> droides a l'entrée, ni à faire la queue s'il y a affluence.
> >>
> >>
> >> Par contre, chaque fois qu'il faut faire des autorisation, c'est presque
> >> systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
> >> quand même... surtout quand tu SAIS que le mail est parti :-)
> >>
> >> On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:
> >>
> >>> Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.
> >>>
> >>> Par contre c'est vrai que c'est assez casse-pied de devoir faire deux
> >>> fois
> >>> les accès entre PA2 et PA3. Et pour certains ce n'est pas si
> exceptionnel
> >>> que ca...
> >>>   Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
> >>> fr...@radu-adrian.feurdean.net> a écrit :
> >>>
> >>>  On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
> 
> > Suffit de demander un accès permanent si vous y allez souvent...
> >
>  Mais meme quand on a le badge permanent, si on gagne pas la lotterie
> des
>  "badges a son propre nom", il faut perdre chaque fois du temps avec le
>  re-enregistrement des empreintes + programmation du badge.
> 
>  Quand on fait partie des hereux gagnants, il reste uniquement la
> partie
>  "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
>  50% de chance de devoir attendre derriere X autres personnes qui
>  entrent/sortent du site. Pas exactement probleme de procedure, mais de
>  capacite d'accueil.
> 
>  Par contre ce qui rend les choses penibles c'est le fait de ne pas
> avoir
>  un acces permanent (deja evoque) ou de ne pas etre client direct, du
>  coup devoir passer par X autre intermediaires avant d'arriver sur une
>  liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.
> 
>  Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers
> mois),
>  c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
>  son propre system d'acces et on peut etre amenes a repeter la
> procedure
>  chaque fois qu'on change de site (alors que les deux sont a 100m l'un
> de
>  l'autre et geres par les memes).
> 
>   la procédure consiste a mettre 3 fois sa main sur le détecteur et
> doit
> > durer moins d'une minute... on peut pas dire que ce soit très
> > contraignant quand même.
> >
>  Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
>  personnes qui sont dans la meme situation. Tout ca parce qu'ils ont
> que
>  rarement des bagdes a alouer "par personne" de facon permanente (voir
>  plus haut).
> 
>   ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >>
> >
> > Clément, c'est hasbeen les mails ;-)
> > Maintenant y a le portail web et franchement sur Equinix et Interxion
> > c'est plutôt bien foutu et j'ai jamais eu de problème avec (même si les
> > débuts ont

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Philippe Marrot]

Bonjour,

Puisque le sujet est lancé, il serait peut être interessant de mettre en
place un panorama actualisé
(façon indice de qualité) des accès aux DC parisiens, pourquoi pas ?

J'en profite pour un coup de gueule concernant l'acceuil technique d'un DC
de Paris 11ème...

Entre les erreurs d'interco internes, les changements de procédure décidés
sans communication,
et surtout la mauvaise volonté permanente de l'équipe qui se semble se
croire à la Sécu,
je n'ai jamais vu une telle fumisterie (y a pas d'autres mots)

Je passe aussi sur les cartes d'accès qui ne sont pas bien activées une
fois sur 2,
jusqu'au le tourniquet à l'acceuil qui déconne,, bref , peut vraiment mieux
faire...

PM.








Le 24 janvier 2014 20:30, Thierry Del-Monte  a écrit :

> Le 24/01/2014 19:16, Clement Cavadore a écrit :
>
>> En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
>> les badges nominatifs qu'on emporte avec nous + biométrie.
>> Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
>> droides a l'entrée, ni à faire la queue s'il y a affluence.
>>
>>
>> Par contre, chaque fois qu'il faut faire des autorisation, c'est presque
>> systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
>> quand même... surtout quand tu SAIS que le mail est parti :-)
>>
>> On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:
>>
>>> Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.
>>>
>>> Par contre c'est vrai que c'est assez casse-pied de devoir faire deux
>>> fois
>>> les accès entre PA2 et PA3. Et pour certains ce n'est pas si exceptionnel
>>> que ca...
>>>   Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
>>> fr...@radu-adrian.feurdean.net> a écrit :
>>>
>>>  On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:

> Suffit de demander un accès permanent si vous y allez souvent...
>
 Mais meme quand on a le badge permanent, si on gagne pas la lotterie des
 "badges a son propre nom", il faut perdre chaque fois du temps avec le
 re-enregistrement des empreintes + programmation du badge.

 Quand on fait partie des hereux gagnants, il reste uniquement la partie
 "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
 50% de chance de devoir attendre derriere X autres personnes qui
 entrent/sortent du site. Pas exactement probleme de procedure, mais de
 capacite d'accueil.

 Par contre ce qui rend les choses penibles c'est le fait de ne pas avoir
 un acces permanent (deja evoque) ou de ne pas etre client direct, du
 coup devoir passer par X autre intermediaires avant d'arriver sur une
 liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.

 Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers mois),
 c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
 son propre system d'acces et on peut etre amenes a repeter la procedure
 chaque fois qu'on change de site (alors que les deux sont a 100m l'un de
 l'autre et geres par les memes).

  la procédure consiste a mettre 3 fois sa main sur le détecteur et doit
> durer moins d'une minute... on peut pas dire que ce soit très
> contraignant quand même.
>
 Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
 personnes qui sont dans la meme situation. Tout ca parce qu'ils ont que
 rarement des bagdes a alouer "par personne" de facon permanente (voir
 plus haut).

  ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
> Clément, c'est hasbeen les mails ;-)
> Maintenant y a le portail web et franchement sur Equinix et Interxion
> c'est plutôt bien foutu et j'ai jamais eu de problème avec (même si les
> débuts ont été parfois difficiles maintenant ça roule bien).
>
>
> Thierry
>
>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 24/01/2014 20:51, Ruhi ASLAN wrote:

2 -- avez vous mis un sujet explicite au mail ?


C'est sur que le mail faut apprendre à s'en servir : mettre un sujet explicite
dans un mail, ne pas citer inutilement 80 lignes de conversation... (hum)

Quand les règles *de base* (niveau nétiquette du temps de usenet) ne sont pas
respectées il n'est pas très étonnant que les demandes d'accès se retrouvent 
dans
la corbeille à spam, donc c'est aussi un peu de la faute du client s'il est
obligé d'appeler pour vérifier que sa demande a été prise en compte (bonne 
mesure
de prudence que j'applique assez souvent).

Cela dit un service des opérations devrait avoir toutes les adresses autorisées
en whitelist (petit conseil pour Telecity...) pour éviter de perdre les requêtes
de ses clients.

En réalité il me semble qu'un peu de qualité et de méticulosité des deux côtés
rendrait des systèmes simples tellement plus efficaces, et éviterait de mettre 
en
place des portails coûteux, complexes, et dramatiquement buggés.La sécurité
c'est aussi savoir garder des choses simples, car ce sont celles qui marchent
le mieux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Ruhi ASLAN]

On Fri, 24 Jan 2014 20:30:25 +0100, Thierry Del-Monte
 wrote:
> Le 24/01/2014 19:16, Clement Cavadore a écrit :
>> En ce qui me concerne, je trouve que le plus efficace, ca a toujours
été
>> les badges nominatifs qu'on emporte avec nous + biométrie.
>> Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
>> droides a l'entrée, ni à faire la queue s'il y a affluence.
>>
>>
>> Par contre, chaque fois qu'il faut faire des autorisation, c'est
presque
>> systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
>> quand même... surtout quand tu SAIS que le mail est parti :-)
>>
>> On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:
>>> Personellement, je n'ai jamais vu de soucis avec les badges
nominatifs.
>>>
>>> Par contre c'est vrai que c'est assez casse-pied de devoir faire deux
>>> fois
>>> les accès entre PA2 et PA3. Et pour certains ce n'est pas si
>>> exceptionnel
>>> que ca...
>>>   Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
>>> fr...@radu-adrian.feurdean.net> a écrit :
>>>
 On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
> Suffit de demander un accès permanent si vous y allez souvent...
 Mais meme quand on a le badge permanent, si on gagne pas la lotterie
 des
 "badges a son propre nom", il faut perdre chaque fois du temps avec
le
 re-enregistrement des empreintes + programmation du badge.

 Quand on fait partie des hereux gagnants, il reste uniquement la
partie
 "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
 50% de chance de devoir attendre derriere X autres personnes qui
 entrent/sortent du site. Pas exactement probleme de procedure, mais
de
 capacite d'accueil.

 Par contre ce qui rend les choses penibles c'est le fait de ne pas
 avoir
 un acces permanent (deja evoque) ou de ne pas etre client direct, du
 coup devoir passer par X autre intermediaires avant d'arriver sur une
 liste d'access. La faute dans ce cas n'est pas toujours du cote du
DC.

 Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers
mois),
 c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site
a
 son propre system d'acces et on peut etre amenes a repeter la
procedure
 chaque fois qu'on change de site (alors que les deux sont a 100m l'un
 de
 l'autre et geres par les memes).

> la procédure consiste a mettre 3 fois sa main sur le détecteur et
> doit
> durer moins d'une minute... on peut pas dire que ce soit très
> contraignant quand même.
 Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
 personnes qui sont dans la meme situation. Tout ca parce qu'ils ont
que
 rarement des bagdes a alouer "par personne" de facon permanente (voir
 plus haut).

>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> Clément, c'est hasbeen les mails ;-)
> Maintenant y a le portail web et franchement sur Equinix et Interxion 
> c'est plutôt bien foutu et j'ai jamais eu de problème avec (même si les 
> débuts ont été parfois difficiles maintenant ça roule bien).
> 
> 
> Thierry

D'accord avec Thierry, surtout que :
1 -- malgré les filtres, on reçois 10 mails par minutes , time consuming
...
2 -- avez vous mis un sujet explicite au mail ?
3 -- avez vous appelé pour bien confirmer que vous aviez les accès ? 
4 -- "mail envoyé, responsabilité transféré aux to et cc" : ceux qui
adhèrent à la politique précité se fourvoient !

-- 

Ruhi ASLAN
IT Engineer 
Network, Storage & Linux System
--- 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Cedric T.]

> En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
> les badges nominatifs qu'on emporte avec nous + biométrie. 

Je plussoie !

Sur equinix j'aurai bien voulu pouvoir garder le badge avec moi.

Sur DC2 parfait, mais faut passer par le NOC pour entrer en salle OP
(très rapide cela dit, les tech sont toujours dispo)

Sur DC3, à part le fait que le parking est souvent plein et qu'il faut
se garer au fond, l'entrée est super rapide. Et il y a la biométrie
jusque dans les salle OP, donc super efficace quand on est pressé !

Sur Redbus c'est rapide aussi quand le scanner rétinien marche :P

a+
Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Thierry Del-Monte]

Le 24/01/2014 19:16, Clement Cavadore a écrit :

En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
les badges nominatifs qu'on emporte avec nous + biométrie.
Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
droides a l'entrée, ni à faire la queue s'il y a affluence.


Par contre, chaque fois qu'il faut faire des autorisation, c'est presque
systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
quand même... surtout quand tu SAIS que le mail est parti :-)

On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:

Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.

Par contre c'est vrai que c'est assez casse-pied de devoir faire deux fois
les accès entre PA2 et PA3. Et pour certains ce n'est pas si exceptionnel
que ca...
  Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
fr...@radu-adrian.feurdean.net> a écrit :


On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:

Suffit de demander un accès permanent si vous y allez souvent...

Mais meme quand on a le badge permanent, si on gagne pas la lotterie des
"badges a son propre nom", il faut perdre chaque fois du temps avec le
re-enregistrement des empreintes + programmation du badge.

Quand on fait partie des hereux gagnants, il reste uniquement la partie
"entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
50% de chance de devoir attendre derriere X autres personnes qui
entrent/sortent du site. Pas exactement probleme de procedure, mais de
capacite d'accueil.

Par contre ce qui rend les choses penibles c'est le fait de ne pas avoir
un acces permanent (deja evoque) ou de ne pas etre client direct, du
coup devoir passer par X autre intermediaires avant d'arriver sur une
liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.

Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers mois),
c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
son propre system d'acces et on peut etre amenes a repeter la procedure
chaque fois qu'on change de site (alors que les deux sont a 100m l'un de
l'autre et geres par les memes).


la procédure consiste a mettre 3 fois sa main sur le détecteur et doit
durer moins d'une minute... on peut pas dire que ce soit très
contraignant quand même.

Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
personnes qui sont dans la meme situation. Tout ca parce qu'ils ont que
rarement des bagdes a alouer "par personne" de facon permanente (voir
plus haut).


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


Clément, c'est hasbeen les mails ;-)
Maintenant y a le portail web et franchement sur Equinix et Interxion 
c'est plutôt bien foutu et j'ai jamais eu de problème avec (même si les 
débuts ont été parfois difficiles maintenant ça roule bien).



Thierry






smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

En ce qui me concerne, je trouve que le plus efficace, ca a toujours été
les badges nominatifs qu'on emporte avec nous + biométrie. 
Au moins, si tu es permanent, tu n'as pas besoin d'intéragir avec les
droides a l'entrée, ni à faire la queue s'il y a affluence.


Par contre, chaque fois qu'il faut faire des autorisation, c'est presque
systématique, et quel que soit le DC: "On a rien recu". C'est facheux,
quand même... surtout quand tu SAIS que le mail est parti :-)

On Fri, 2014-01-24 at 19:11 +0100, Nathan delhaye wrote:
> Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.
> 
> Par contre c'est vrai que c'est assez casse-pied de devoir faire deux fois
> les accès entre PA2 et PA3. Et pour certains ce n'est pas si exceptionnel
> que ca...
>  Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
> fr...@radu-adrian.feurdean.net> a écrit :
> 
> > On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
> > > Suffit de demander un accès permanent si vous y allez souvent...
> >
> > Mais meme quand on a le badge permanent, si on gagne pas la lotterie des
> > "badges a son propre nom", il faut perdre chaque fois du temps avec le
> > re-enregistrement des empreintes + programmation du badge.
> >
> > Quand on fait partie des hereux gagnants, il reste uniquement la partie
> > "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
> > 50% de chance de devoir attendre derriere X autres personnes qui
> > entrent/sortent du site. Pas exactement probleme de procedure, mais de
> > capacite d'accueil.
> >
> > Par contre ce qui rend les choses penibles c'est le fait de ne pas avoir
> > un acces permanent (deja evoque) ou de ne pas etre client direct, du
> > coup devoir passer par X autre intermediaires avant d'arriver sur une
> > liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.
> >
> > Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers mois),
> > c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
> > son propre system d'acces et on peut etre amenes a repeter la procedure
> > chaque fois qu'on change de site (alors que les deux sont a 100m l'un de
> > l'autre et geres par les memes).
> >
> > > la procédure consiste a mettre 3 fois sa main sur le détecteur et doit
> > > durer moins d'une minute... on peut pas dire que ce soit très
> > > contraignant quand même.
> >
> > Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
> > personnes qui sont dans la meme situation. Tout ca parce qu'ils ont que
> > rarement des bagdes a alouer "par personne" de facon permanente (voir
> > plus haut).
> >
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Nathan delhaye]

Personellement, je n'ai jamais vu de soucis avec les badges nominatifs.

Par contre c'est vrai que c'est assez casse-pied de devoir faire deux fois
les accès entre PA2 et PA3. Et pour certains ce n'est pas si exceptionnel
que ca...
 Le 24 janv. 2014 18:30, "Radu-Adrian Feurdean" <
fr...@radu-adrian.feurdean.net> a écrit :

> On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
> > Suffit de demander un accès permanent si vous y allez souvent...
>
> Mais meme quand on a le badge permanent, si on gagne pas la lotterie des
> "badges a son propre nom", il faut perdre chaque fois du temps avec le
> re-enregistrement des empreintes + programmation du badge.
>
> Quand on fait partie des hereux gagnants, il reste uniquement la partie
> "entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
> 50% de chance de devoir attendre derriere X autres personnes qui
> entrent/sortent du site. Pas exactement probleme de procedure, mais de
> capacite d'accueil.
>
> Par contre ce qui rend les choses penibles c'est le fait de ne pas avoir
> un acces permanent (deja evoque) ou de ne pas etre client direct, du
> coup devoir passer par X autre intermediaires avant d'arriver sur une
> liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.
>
> Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers mois),
> c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
> son propre system d'acces et on peut etre amenes a repeter la procedure
> chaque fois qu'on change de site (alors que les deux sont a 100m l'un de
> l'autre et geres par les memes).
>
> > la procédure consiste a mettre 3 fois sa main sur le détecteur et doit
> > durer moins d'une minute... on peut pas dire que ce soit très
> > contraignant quand même.
>
> Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
> personnes qui sont dans la meme situation. Tout ca parce qu'ils ont que
> rarement des bagdes a alouer "par personne" de facon permanente (voir
> plus haut).
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Radu-Adrian Feurdean]

On Fri, Jan 24, 2014, at 15:00, Nathan delhaye wrote:
> Suffit de demander un accès permanent si vous y allez souvent...

Mais meme quand on a le badge permanent, si on gagne pas la lotterie des
"badges a son propre nom", il faut perdre chaque fois du temps avec le
re-enregistrement des empreintes + programmation du badge.

Quand on fait partie des hereux gagnants, il reste uniquement la partie
"entree dans le campus" (gere par DRT), et le fait qu'on a quand-meme
50% de chance de devoir attendre derriere X autres personnes qui
entrent/sortent du site. Pas exactement probleme de procedure, mais de
capacite d'accueil.

Par contre ce qui rend les choses penibles c'est le fait de ne pas avoir
un acces permanent (deja evoque) ou de ne pas etre client direct, du
coup devoir passer par X autre intermediaires avant d'arriver sur une
liste d'access. La faute dans ce cas n'est pas toujours du cote du DC.

Autre cas exceptionnel (je sais pas si ca evolue les 12 derniers mois),
c'est quand on a des choses a faire entre PA2 et PA3, ou chaque site a
son propre system d'acces et on peut etre amenes a repeter la procedure
chaque fois qu'on change de site (alors que les deux sont a 100m l'un de
l'autre et geres par les memes).

> la procédure consiste a mettre 3 fois sa main sur le détecteur et doit
> durer moins d'une minute... on peut pas dire que ce soit très
> contraignant quand même.

Sauf quand on y est a 3 ou 4. Ou quand on doit attendre encore X
personnes qui sont dans la meme situation. Tout ca parce qu'ils ont que
rarement des bagdes a alouer "par personne" de facon permanente (voir
plus haut).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Jean-Philippe Castanet]

Bonjour,

L'accès principal  (guérite ) des sites de PA2 et PA3 est géré par Digital 
Reality Trust, nous leur remontrons votre feedback.

Cdt

 

-Original Message-
From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of 
Thierry Del-Monte
Sent: 24 January 2014 15:24
To: frnog@frnog.org
Subject: Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une 
punition à chaque fois ?

Bonjour,

Et les portails d'entrée on en parle ou pas?
A PAR7 la double barrière en sas où tu perds 15 min quand deux voitures 
veulent l'utiliser.
A PA2/PA3 l'agent de sécu qui te demande ta plaque d'immatriculation, 
nom, prénom et entreprise (où tu peux répondre un peu ce que tu veux 
d'ailleurs).

Sinon c'est un peu hypocrite de notre part non ?
On est bien content quand on fait des visites pour nos clients de 
montrer les belles portes sécurisé façon "métro", la sécurité avec la 
biométrie qui en jette etc etc puis après on râle car au jour le jour 
c'est quand même bien chiant ;-)


Thierry

Le 24/01/2014 14:42, Xavier Beaudouin a écrit :
> Hello,
>
> Le 23 janv. 2014 à 15:54, Nathan delhaye  a écrit :
>
>>> - La biométrie est inutile et contre-productive
>>>
>>>
>> Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
>> rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès
>> sont rapides et simples au passage), le scanner de la main marche très
>> bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de
>> poser vraiment la main dessus :-)
> Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque fois 
> je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas 
> d'accès permanent).
>
> C'est ca que j'appelle contre productif. En plus de 10 minutes perdues a 
> trouver mon ACL, il faut aussi qu'on attendent l'enrôlement...
>
> Encore je parle pas des machins a emprunte digitale qui sont une putain de 
> plaie.
>
> Le seul truc "potable" (a part l'interface d'enrôlement pourrie en java) 
> c'est les machins "biovein".
>
> /Xavier
>




This email is from Equinix (EMEA) B.V. or one of its associated companies in 
the territory from where this email has been sent. This email, and any files 
transmitted with it, contains information which is confidential, is solely for 
the use of the intended recipient and may be legally privileged. If you have 
received this email in error, please notify the sender and delete this email 
immediately. Equinix (EMEA) B.V.. Registered Office: Luttenbergweg 4, 1101 EC 
Amsterdam-Zuidoost, The Netherlands. Registered in The Netherlands No. 57577889.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Thierry Del-Monte]

Bonjour,

Et les portails d'entrée on en parle ou pas?
A PAR7 la double barrière en sas où tu perds 15 min quand deux voitures 
veulent l'utiliser.
A PA2/PA3 l'agent de sécu qui te demande ta plaque d'immatriculation, 
nom, prénom et entreprise (où tu peux répondre un peu ce que tu veux 
d'ailleurs).


Sinon c'est un peu hypocrite de notre part non ?
On est bien content quand on fait des visites pour nos clients de 
montrer les belles portes sécurisé façon "métro", la sécurité avec la 
biométrie qui en jette etc etc puis après on râle car au jour le jour 
c'est quand même bien chiant ;-)



Thierry

Le 24/01/2014 14:42, Xavier Beaudouin a écrit :

Hello,

Le 23 janv. 2014 à 15:54, Nathan delhaye  a écrit :


- La biométrie est inutile et contre-productive



Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès
sont rapides et simples au passage), le scanner de la main marche très
bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de
poser vraiment la main dessus :-)

Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque fois 
je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas d'accès 
permanent).

C'est ca que j'appelle contre productif. En plus de 10 minutes perdues a 
trouver mon ACL, il faut aussi qu'on attendent l'enrôlement...

Encore je parle pas des machins a emprunte digitale qui sont une putain de 
plaie.

Le seul truc "potable" (a part l'interface d'enrôlement pourrie en java) c'est les 
machins "biovein".

/Xavier






smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Nathan delhaye]

>
>> Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque
>> fois je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas
>> d'accès permanent).
>>
>> J'ai essayé de leur faire comprendre que c'était pour leur faire gagner
> du temps, mais non re-enroll à chaque fois aussi...
>

Suffit de demander un accès permanent si vous y allez souvent...

Non à Equinix c'est clairement le fait de devoir se réenregistrer à chaque
> fois + le fait que les mecs du PCS te parlent par signes à travers la vitre
> qui est exaspérant.
>

Là je suis d'accord avec vous. Comme dit plus haut, les agents de sécurité
sont souvent un peu des droïdes. Mais de toute façon, pour le ré-enrôlement
la procédure consiste a mettre 3 fois sa main sur le détecteur et doit
durer moins d'une minute... on peut pas dire que ce soit très contraignant
quand même.

-- 
Nathan Delhaye

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Romain GUICHARD]

Le 24 janvier 2014 14:42, Xavier Beaudouin  a écrit :

> Hello,
>
> Le 23 janv. 2014 à 15:54, Nathan delhaye  a
> écrit :
>
> >> - La biométrie est inutile et contre-productive
> >>
> >>
> > Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
> > rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les
> accès
> > sont rapides et simples au passage), le scanner de la main marche très
> > bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de
> > poser vraiment la main dessus :-)
>
> Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque
> fois je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas
> d'accès permanent).
>
> J'ai essayé de leur faire comprendre que c'était pour leur faire gagner du
temps, mais non re-enroll à chaque fois aussi...

> C'est ca que j'appelle contre productif. En plus de 10 minutes perdues a
> trouver mon ACL, il faut aussi qu'on attendent l'enrôlement...
>
> Encore je parle pas des machins a emprunte digitale qui sont une putain de
> plaie.
>
 J'ai vu une seule fois le truc mis en défaut. Mais le presta avec moi
avait une main plus grande que le détecteur alors c'était compliqué. Mis à
part ça, je n'ai jamais eu de problème, ça marche 99% du temps et c'est
plutôt rapide.

Non à Equinix c'est clairement le fait de devoir se réenregistrer à chaque
fois + le fait que les mecs du PCS te parlent par signes à travers la vitre
qui est exaspérant.

>
> Le seul truc "potable" (a part l'interface d'enrôlement pourrie en java)
> c'est les machins "biovein".
>
> /Xavier
>
>


-- 
*Romain Guichard*
* | rom...@rguichard.fr Network and Security engineer*
*~ Blog  *

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Xavier Beaudouin]

Hello,

Le 23 janv. 2014 à 15:54, Nathan delhaye  a écrit :

>> - La biométrie est inutile et contre-productive
>> 
>> 
> Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
> rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès
> sont rapides et simples au passage), le scanner de la main marche très
> bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de
> poser vraiment la main dessus :-)

Je ne suis pas d'accord avec toi. Je passe souvent a Equinix et a chaque fois 
je suis obligé de me re-enroller pour un accès temporaire (n'ayant pas d'accès 
permanent).

C'est ca que j'appelle contre productif. En plus de 10 minutes perdues a 
trouver mon ACL, il faut aussi qu'on attendent l'enrôlement... 

Encore je parle pas des machins a emprunte digitale qui sont une putain de 
plaie.

Le seul truc "potable" (a part l'interface d'enrôlement pourrie en java) c'est 
les machins "biovein".

/Xavier



signature.asc
Description: Message signed with OpenPGP using GPGMail

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Abraham Morgan]

Ca sent le gaz votre histoire de CI les gars :)


Le 24 janvier 2014 10:38, frederic ollivier  a
écrit :

> Allez encore deux ou trois theard est on est au point Godwin :)
>
> 2014/1/24 Jérôme Couvreur-Goeneutte :
> > Le 24/01/2014 10:12, Cedric T. a écrit :
> >> * Clement Cavadore  [2014-01-24 09:54 +0100]:
> >>> On Fri, 2014-01-24 at 09:49 +0100, Cedric T. wrote:
>  (...) qu'ils avaient oublié de me rendre.
> >>>
> >>> Que t'avais oublié de récupérer à la sortie... :D
> >>
> >> Ce n'est qu'une question de point de vue... et le client a toujours
> >> raison :P
> > Sauf quand il se trompe…
> >
> >
> > --
> > ┌──┐
> > │  ┌─┐ │
> > │  ├─┤ │
> > │ ┌┘ │érôme│
> > │ │ ┌┘ │
> > │ │ └┐ouvreur-Goeneutte│
> > │ └──┘ │
> > │ jerome.couvr...@yahoo.fr │
> > └──┘
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
>
> --
> Frédéric Ollivier
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[frederic ollivier]

Allez encore deux ou trois theard est on est au point Godwin :)

2014/1/24 Jérôme Couvreur-Goeneutte :
> Le 24/01/2014 10:12, Cedric T. a écrit :
>> * Clement Cavadore  [2014-01-24 09:54 +0100]:
>>> On Fri, 2014-01-24 at 09:49 +0100, Cedric T. wrote:
 (...) qu'ils avaient oublié de me rendre.
>>>
>>> Que t'avais oublié de récupérer à la sortie... :D
>>
>> Ce n'est qu'une question de point de vue... et le client a toujours
>> raison :P
> Sauf quand il se trompe…
>
>
> --
> ┌──┐
> │  ┌─┐ │
> │  ├─┤ │
> │ ┌┘ │érôme│
> │ │ ┌┘ │
> │ │ └┐ouvreur-Goeneutte│
> │ └──┘ │
> │ jerome.couvr...@yahoo.fr │
> └──┘
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/



-- 
Frédéric Ollivier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Jérôme Couvreur-Goeneutte]

Le 24/01/2014 10:12, Cedric T. a écrit :
> * Clement Cavadore  [2014-01-24 09:54 +0100]:
>> On Fri, 2014-01-24 at 09:49 +0100, Cedric T. wrote:
>>> (...) qu'ils avaient oublié de me rendre.
>>
>> Que t'avais oublié de récupérer à la sortie... :D
> 
> Ce n'est qu'une question de point de vue... et le client a toujours
> raison :P
Sauf quand il se trompe…


-- 
┌──┐
│  ┌─┐ │
│  ├─┤ │
│ ┌┘ │érôme│
│ │ ┌┘ │
│ │ └┐ouvreur-Goeneutte│
│ └──┘ │
│ jerome.couvr...@yahoo.fr │
└──┘


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Cedric T.]

* Clement Cavadore  [2014-01-24 09:54 +0100]:
> On Fri, 2014-01-24 at 09:49 +0100, Cedric T. wrote:
> > (...) qu'ils avaient oublié de me rendre.
> 
> Que t'avais oublié de récupérer à la sortie... :D

Ce n'est qu'une question de point de vue... et le client a toujours
raison :P


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Cedric T.]

* Clement Cavadore  [2014-01-24 09:46 +0100]:
> On Fri, 2014-01-24 at 09:28 +0100, Cedric T. wrote:
> > Plus d'1h d'attente pour rentrer au Netcenter à Courbevoie hier.
> 
> J'espère que tu n'avais pas une urgence... :-)

Non heureusement, mais j'ai du y retourner pour récup ma carte
d'identité qu'ils avaient oublié de me rendre.

a+
Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

On Fri, 2014-01-24 at 09:28 +0100, Cedric T. wrote:
> Plus d'1h d'attente pour rentrer au Netcenter à Courbevoie hier.

J'espère que tu n'avais pas une urgence... :-)

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Cedric T.]

Plus d'1h d'attente pour rentrer au Netcenter à Courbevoie hier.

Le dispatch ne répond pas aux demandes par mail, ils sont saturés, le
système informatique est a moitié planté et ils utilisent l'ancien pour
faire des acces temporaires, en se trompant de date.
Après plein de coups de fil j'ai réussi à avoir un numéro d'accès et à
rentrer, un vrai miracle.

Cédric


* Clement Cavadore  [2014-01-20 10:07 +0100]:
> Bonjour,
> 
> J'aimerais lançer une discussion auprès des gens habitués à accéder aux
> datacenters: Quelle est votre opinion concernant la facilité d'accès aux
> diverses salles machines que vous fréquentez ?
> 
> En ce qui me concerne, j'ai eu l'occasion, depuis une grosse dizaine
> d'années, de visiter plusieurs datacenters de la place Parisienne (et
> d'ailleurs), et force est de constater que la facilité/rapidité/etc
> d'accès est très variable (pas forcément dans le bon sens), en fonction
> des procédures de sécurité en vigueur dans $datacenter, de la taille de
> celui-ci, et des interlocuteurs que l'on a en face de soi. 
> 
> 
> Selon que l'on soit permanent ou pas, que l'on aie un badge ou un tag
> (qu'on conserve ou non), une autorisation temporaire, et selon l'heure
> d'accès, je trouve tout de même étonnant de si fréquemment tomber à
> l'entrée sur des espèce de droïdes, qui ne savent rien faire d'autre que
> "dérouler leur procédure". Sauf que quand leur procédure est broken, on
> ne sait plus trop comment s'en sortir pour pouvoir accéder au site. 
> Qui n'a jamais eu droit au "ah, on n'a pas reçu le mail", ou "ya pas eu
> d'autorisation de faite, faut la refaire" ? Pas plus tard qu'il y a
> quelques jours, je me suis retrouvé à devoir attendre plus d'une heure
> pour entrer dans un gros datacenter Parisien,  avec ce genre d'excuses à
> l'entrée. Alors même que le mail était VRAIMENT parti (log de MX à
> l'appui), et que c'est quasi systématique dans ledit DC.
> 
> 
> Ma question est donc: Quel est votre retour d'expérience sur ce sujet ?
> Est-ce qu'il y a, à vos yeux, des bons et des mauvais élèves parmi les
> DC sur leurs procédures d'accès ? Trouvez vous tolérable de devoir
> attendre plus de 10 minutes pour rentrer sur un site ?
> Evidemment, j'aurais tendance à vouloir éviter de mettre trop de
> business dans les salles où l'accès (qu'il soit pour moi, ou pour mes
> clients) est SYSTEMATIQUEMENT compliqué... Mais est-ce que c'est, pour
> vous vraiment un "mal nécessaire", au nom de la sécurité ? 
> Qu'en pensent les exploitants des datacenters ?
> 
> 
> Merci d'avance !
> 
> -- 
> Clément Cavadore
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[neo futur]

2014/1/23 Jérôme Nicolle :
> Plop,
tres bonne analyse du probleme a tous les niveaux , amon humble avis,
mais je voulai juste mettre une emphase sur un detail que peu semblent
avoir vu :

> Mieux vaut avoir quelques gamers noctambules dans l'équipe
et

> Mais on aime bien les voir passer : c'est la principale source de gamers
> noctambules au final ;)

 vu d ici, decouvrir un patron ( ou futur patron ) qui peut comprendre
ca . . . ca fait plaisir . . . si je rentre un jour en france et
cherche un emploi salarie . . . je risque fort de postuler chez toi :p

 l essentiel de mon travail et d etre utile et rapidement disponible .
. . et je dis souvent "je ne joue que quand je travaille" :p

40 ans, still gamer addict, admin linux and more, travailleur
independant expatrie au perou




-- 
Cordialement

   ---

 William Waisse
  http://waisse.org | http://neoskills.com
   http://cahierspip.ww7.be | http://feeder.ww7.be
Computers are like air conditionners. They work better when you close windows.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Radu-Adrian Feurdean]

On Thu, Jan 23, 2014, at 15:54, Nathan delhaye wrote:
> Pour les gros volumes, c'est toujours sympa de pouvoir se faire livrer
> directement sur site et d'avoir un process pour récupérer le matériel. Du

En theorie, tous les DC avec lesquels j'ai eu a faire permettent ca.
En pratique, il y a parfois des combinations DC+fournisseur(+client ou
sous-client parfois) qui sont impossibles.
Du style :
 - fourniseur qui met juste le nom du destinataire a l'addresse de
 livraison, pas des elements intemediaires essentiels ( Attn:
 Dept/sous-client , Pour client, livre au DC)
 - quand le fourniseur est pret a mettre tout ca dans l'addresse de
 livraison, le client/sous-client qui oublie de preciser
 - fourniseur qui envoie, mais pas la moindre idee quand, avec quel
 transporteur, en combien de transports et combien de colis
 - DC qui peut etre rigide sur certains aspects (prevenir en avance,
 avec le nom du transporteur et nombre de colis, voire meme date estimee
 de livraison)
 - le sous-client qui oublie d'informer l'hebergeur (client du DC) de sa
 livraison

> qu'il y a le nom de quelqu'un sur le carton.

Les noms de personnes pour les livraisons "entreprise", je suis plutot
contre l'obligativite.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Radu-Adrian Feurdean]

On Thu, Jan 23, 2014, at 15:54, Nathan delhaye wrote:

> Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
> rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès
> sont rapides et simples au passage), le scanner de la main marche très
> bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de
> poser vraiment la main dessus :-)

J'ai des experiences exactement opposes des deux cotes:
 - des deux cotes la biometrie marchait pas mal en utilisation courante
 (OK, pas tout le monde arrivait facilement, surtout pour l'iris, mais
 la plupart des "habitues" n'avait pas trop de problemes)
 - des deux cotes, ce qui etait long et avec des rates assez courants
 c'etait l'enregistrement dans le systeme. Avec un Bonus chez EQX ou
 avoir son propre badge pour toujours (et non pas un badge "generique
 societe", re-programe a chaque arivee sur site) c'etait de la lotterie.
Je dirai pareil chez Iliad, les rates en moins (mais toujours long pour
la premiere fois ou lors d'un "changement intempestif de systeme").
Ce qui rend les l'access lourd et lent c'est le fait de devoir presenter
une piece d'identite a l'entree, surtout quand il y a encore 10
personnes devant; et tout ca malgre la presence de systemes biometriques
qui marchent.

Les livraisons, c'est une toute autre histoire, et souvent les
expediteurs (certains fournisseurs) ont leur partie de responsabilite
dans l'histoire.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Nathan delhaye]

Le 23 janvier 2014 16:06, Jérôme Nicolle  a écrit :

>
> Bref, tu veux dire, quand t'es pas hypocondriaque, juste prudent ?
>

Ouais. On ne sais jamais! Si un dev kernel est passé par là avant toi avec
ses gros doigts boudinés


> Ah ben toutes les grosses livraisons arrivent dans la même salle, avec
> des étagères prévues pour, mais seul un membre du staff du datacenter
> peut y accéder.
>

C'est effectivement ce qui est en place dans ceux que je connais. Le staff
du DC prend la livraison et signe le bordereau, puis met la livraison dans
la salle prévue a cet effet. Quand tu veux la récupérer, tu demande. C'est
quand même rare de devoir récupérer en urgence une palette à 3h du mat
quand le staff est en effectif réduit, alors qu'elle a été livrée 2 jours
avant...


>
> Mais je ne pense pas qu'un datacenter doive pouvoir servir de boite
> postale pour autant : je préfèrerai n'y recevoir que les machines vouées
> à y être installées. Au delà, c'est un service qui n'est plus inclus
> dans les tarifs de colocation.
>
>
 Tout a fait, c'est dans ce sens là que je l'entendais. De toute façon les
abus se remarquent vite dans ce genre de cas puisque c'est le staff du DC
qui sort les colis du stock. Et je ne vois pas trop l'intérêt de te faire
livrer dans un DC ou tu ne vas pas mettre la machine.

-- 
Nathan Delhaye

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Jérôme Nicolle]

Le 23/01/14 15:54, Nathan delhaye a écrit :
> Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
> rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les
> accès sont rapides et simples au passage), le scanner de la main marche
> très bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas
> besoin de poser vraiment la main dessus :-)

Bref, tu veux dire, quand t'es pas hypocondriaque, juste prudent ?

> Pour les gros volumes, c'est toujours sympa de pouvoir se faire livrer
> directement sur site et d'avoir un process pour récupérer le matériel.
> Du moment que l'envoyeur marque les coordonnées *complètes* de ta boite
> et qu'il y a le nom de quelqu'un sur le carton.

Ah ben toutes les grosses livraisons arrivent dans la même salle, avec
des étagères prévues pour, mais seul un membre du staff du datacenter
peut y accéder.

Mais je ne pense pas qu'un datacenter doive pouvoir servir de boite
postale pour autant : je préfèrerai n'y recevoir que les machines vouées
à y être installées. Au delà, c'est un service qui n'est plus inclus
dans les tarifs de colocation.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Nathan delhaye]

> - La biométrie est inutile et contre-productive
>
>
Je ne suis pas d'accord avec toi. Certes à Redbus avec leur scanner
rétinien à la noix c'était infâme, mais chez Eqx par exemple (où les accès
sont rapides et simples au passage), le scanner de la main marche très
bien. Si t'a du doigté et que t'es anti-microbes, t'a même pas besoin de
poser vraiment la main dessus :-)


> - Livraisons
>
> Pour les petits volumes, on prévoit des casiers qui peuvent être ouverts
> à distance, façon point coliposte. Pour les gros volumes,
> l'accompagnement est obligatoire puisque c'est stocké dans un des
> espaces de préparation.
>

Pour les gros volumes, c'est toujours sympa de pouvoir se faire livrer
directement sur site et d'avoir un process pour récupérer le matériel. Du
moment que l'envoyeur marque les coordonnées *complètes* de ta boite et
qu'il y a le nom de quelqu'un sur le carton.

Ça évite de devoir se faire livrer 20 serveurs HP/Dell où les cartons font
quand même 1m*1.5m*50cm dans un bureau ou tu n'a pas forcément un entrepôt.

-- 
Nathan Delhaye
06 69 27 64 25
0805 696 494

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Jérôme Nicolle]

Plop,

Le 20/01/14 10:07, Clement Cavadore a écrit :
> J'aimerais lançer une discussion auprès des gens habitués à accéder aux
> datacenters: Quelle est votre opinion concernant la facilité d'accès aux
> diverses salles machines que vous fréquentez ?

On (Fullsave) se pose ces questions alors qu'on prépare l'ouverture d'un
DC à Toulouse. Les pistes sont pour l'instant les suivantes :

- La biométrie est inutile et contre-productive

Trop souvent en panne, pas fiable de toute façon, elle ajoute des
contraintes bien supérieures à la délivrance de badges. Donc badge et code.

- Contrôle à distance

On a de toute façon un pilotage de toutes les infras et des caméras
partout. On communique avec tous les clients par mail et téléphone. En
cas d'oubli de badge, s'il souri aux caméras ultra-full-HD de l'entrée
et du sas pendant qu'il est en ligne, alors qu'on a un scan des pièces
d'identité de toutes les personnes enregistrées, ça suffit bien.

De toute façon la hotline H24 est déjà assurée.

- Formulaires et mails

GPG obligatoire, comme avec Marvin, et ça tombe bien : c'est une bonne
façon de luter contre Outlook qui ne respecte pas les normes et les
balises de threads des mails. Mais ça ne concerne que les mises à jour
des listes d'accès.

- Équipe intervenant sur place

Ce sont les mêmes personnes que la hotline H24, la maintenance du DC ou
le remote-hands : ils sont tous formés et en contact avec les locataires
dans le DC. Mieux vaut avoir quelques gamers noctambules dans l'équipe
que des droïdes ou gorilles loués à un presta.

- Livraisons

Pour les petits volumes, on prévoit des casiers qui peuvent être ouverts
à distance, façon point coliposte. Pour les gros volumes,
l'accompagnement est obligatoire puisque c'est stocké dans un des
espaces de préparation.

Pour les petites fournitures de dernière minute (optiques LX/LH, patchs
et jarretières, ... ), l'idée est d'avoir un des casiers avec un fond de
stock pour dépanner les clients à la demande.





Il n'y a qu'une spécificité pour laquelle il nous reste à réfléchir : la
salle dédiée aux beta-tests et activités non commerciales. Celle-ci est
prévue pour que les intervenants des différentes associations puissent y
accéder sans passer par la zone haute sécurité, du coup ça reste un peu
hors périmètre.

Mais on aime bien les voir passer : c'est la principale source de gamers
noctambules au final ;)


@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Michel Py]

> Raphaël Jacquot a écrit:
> "security theater" on dit, c'est à dire qu'on donne une
> apparence de sérieux alors qu'en fait c'est tout pipo

> Clement Cavadore a écrit:
> C'est juste que l'écran de fumée donné aux décideurs qui ne mettent
> jamais les pieds dans les datacenters (hormis peut être pour le RDV
> commercial initial et la visite de site), il finit souvent par
> asphyxier les gens qui vont vraiment y bosser.

Situation ici: exactement la même chose; la connerie n'est pas un monopole 
Français.

Pour le coté pipo j'ajouterai: les hôpitaux (un vrai moulin), les tribunaux 
(suffit de connaître quelqu'un), les avions (pareil) et les prisons (plus 
restrictif). Le seul truc que j'ai jamais emmené à l'intérieur d'une prison 
c'est un éléphant: il ne passe pas sous le portique.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

On Tue, 2014-01-21 at 17:40 +0100, Inulogic - Free-H wrote:
> On se demande pourquoi tu as commencé alors :).

Tu remarqueras peut être que je n'ai cité personne (même si j'avoue que
parfois, l'envie me démange, car chez certains DC, le fait que ce soit
*systématique* a le don de me hérisser le poil).

> On souhaite la suite du coup.

Il y a déjà eu des exemples de donnés sur la liste. 


C'est juste que l'écran de fumée donné aux décideurs qui ne mettent
jamais les pieds dans les datacenters (hormis peut être pour le RDV
commercial initial et la visite de site), il finit souvent par asphyxier
les gens qui vont vraiment y bosser.

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Xavier Beaudouin]

Le 21/01/2014 17:40, Inulogic - Free-H a écrit :
Le 21 janvier 2014 13:29, Clement Cavadore  a 
écrit :



Si encore on ne faisait qu'imaginer... j'ai quelques anecdotes assez
edifiantes (mais je vais les taire sur une liste publique :-))


On se demande pourquoi tu as commencé alors :).
On souhaite la suite du coup.


Dans la série "anecdotes édifiantes" j'ai eu le coup mec qui trifouille 
les câbles pour y coller des étiquettes à la con dans une suite chez SFR 
Courbevoie en Septembre/Octobre 2012 suite aux pb électriques connus qui 
se sont passé la bas.


Évidement coup de fil au PC Sécu : "on sait pas, les clef sont pas 
données, c'est pas normal"...


Comment ça été découvert ? Les serveurs qui disparaissent d'un coup de 
la supervision (les pris C13/C14 étant un peu sensibles au touché) et 
une camera dans la suite


Alors que pour rentrer la dedans c'est ultra relou, même si on a badges 
ET listes d'accès.


Comme quoi la sécurité ne fait chier que ceux qui sont dans la white 
liste. A noter qu'à ce jour SFR ne sais toujours pas qui est venu (ou ne 
veux pas savoir...).


Je suis quasiment sûr que Clément a d'autres anecdotes bien grasses.

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Inulogic - Free-H]

Le 21 janvier 2014 13:29, Clement Cavadore  a écrit :

> Si encore on ne faisait qu'imaginer... j'ai quelques anecdotes assez
> edifiantes (mais je vais les taire sur une liste publique :-))

On se demande pourquoi tu as commencé alors :).
On souhaite la suite du coup.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

On Tue, 2014-01-21 at 13:22 +0100, Alexandre Legrix wrote:
> sisi on imagine, on imagine :-)

Si encore on ne faisait qu'imaginer... j'ai quelques anecdotes assez
edifiantes (mais je vais les taire sur une liste publique :-))

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Alexandre Legrix]

On Tue, 2014-01-21 at 13:00 +0100, Arnaud wrote:
> Je suis d'accord :-)
> Surtout que c'est vraiment très facile (vous n'imaginez même pas le
> nombre de possibilités ...) de rentrer dans ces lieux d'apparence
> sécurisé 

sisi on imagine, on imagine :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Arnaud]

Le 21 janv. 2014 à 10:43, Raphaël Jacquot a écrit :

> "security theater" on dit, c'est à dire qu'on donne une apparence de
> sérieux alors qu'en fait c'est tout pipo

Je suis d'accord :-)
Surtout que c'est vraiment très facile (vous n'imaginez même pas le nombre de 
possibilités ...) de rentrer dans ces lieux d'apparence sécurisé 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Raphaël Jacquot]

On 21.01.2014 09:48, Stephane Clodic wrote:


On parle de l'acces a un DC, pas de faire refaire des papiers ou de
franchir une frontiere.

Surtout que les personnes se presentant au DC se sont en plus
pre-enregistrees, leur identite a donc ete "annoncee".

Mais si certains confondent bureaucratie et securite ...


"security theater" on dit, c'est à dire qu'on donne une apparence de
sérieux alors qu'en fait c'est tout pipo


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Alexandre Legrix]

Bonjour.

Je top-post parce que c'est trop le fouillis ce sujet.

Je suis a 100% d'accord avec Clement.

Que ca soit a ... ou a ... ou bien a ... les access c'est TOUJOURS une
punition. (et les autres non cites c'est pareil hein !!!)
C'est systématique.

Soit il y a trop de monde devant toi, et ca te prend des lustres pour
avoir ton badge. (ne jamais arriver a 9h le matin !!!)

Soit tes accès ont été reset sans que personne ne t'ai rien dit.
Soit le gars cherche dans son outlook tout moisi si il a bien reçu un
forward de quelqu'un d'autre qui lui valide. (WTF quand on y pense).

Allo les gars  On est au 21eme siècle hein !!!

Je parle même pas des empreintes palmaires ou de l'iris qui sont reset
tous les 3 mois, car comme il n'y a que 50 licences pour tout le
datacenter, si ca fait longtemps que tu n'es pas venu tu n'es plus dans
la bdd.

Les tourniquets qui restent bloques.

Les énervements et crises de nerf a 3h du matin pour les interphones qui
tombent en panne en plein intervention de nuit. (alors que tu as un
serveur sous le bras)

etc ... etc ...

Franchement, nous ne sommes même pas a l'age de pierre.
C'est le crétacé les mecs ! Les dinosaures quoi.

Et je pèse mes mots.

Alexandre



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Jean-Baptiste]

Je ne sous entendais pas que le permis de conduire ne devrait pas suffire,
simplement que cela peut expliquer certain comportements.


Le 21 janvier 2014 09:48, Stephane Clodic  a écrit :

> On Tue, Jan 21, 2014 at 09:29:38AM +0100, Jean-Baptiste wrote:
> > Bonjour,
> >
> > Je pense que la suite mérite d'être citée :
> >
> > "Il n'a cependant pas la même valeur que la carte nationale d'identité ou
> > le passeport qui peuvent, eux, certifier l'identité de leur titulaire.
> >
> > Ainsi, pour la réalisation de certaines démarches, un organisme peut vous
> > demander de justifier votre identité par la présentation d'un document
> > spécifique."
>
> On parle de l'acces a un DC, pas de faire refaire des papiers ou de
> franchir une frontiere.
>
> Surtout que les personnes se presentant au DC se sont en plus
> pre-enregistrees, leur identite a donc ete "annoncee".
>
> Mais si certains confondent bureaucratie et securite ...
>
> --
> /SClo
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Stephane Clodic]

On Tue, Jan 21, 2014 at 09:29:38AM +0100, Jean-Baptiste wrote:
> Bonjour,
> 
> Je pense que la suite mérite d'être citée :
> 
> "Il n'a cependant pas la même valeur que la carte nationale d'identité ou
> le passeport qui peuvent, eux, certifier l'identité de leur titulaire.
> 
> Ainsi, pour la réalisation de certaines démarches, un organisme peut vous
> demander de justifier votre identité par la présentation d'un document
> spécifique."

On parle de l'acces a un DC, pas de faire refaire des papiers ou de
franchir une frontiere.

Surtout que les personnes se presentant au DC se sont en plus
pre-enregistrees, leur identite a donc ete "annoncee".

Mais si certains confondent bureaucratie et securite ...

-- 
/SClo


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Jean-Baptiste]

Bonjour,

Je pense que la suite mérite d'être citée :

"Il n'a cependant pas la même valeur que la carte nationale d'identité ou
le passeport qui peuvent, eux, certifier l'identité de leur titulaire.

Ainsi, pour la réalisation de certaines démarches, un organisme peut vous
demander de justifier votre identité par la présentation d'un document
spécifique."


Le 21 janvier 2014 09:24, Stephane Clodic  a écrit :

> On Tue, Jan 21, 2014 at 09:14:26AM +0100, Mikaël Poussard wrote:
> > Le 20/01/2014 10:53, Romain GUICHARD a écrit :
> > > De l'autre coté, certains DC refusent même le
> > > permis de conduire comme pièce d'identité. Je me suis toujours demandé
> si
> > > ils en avaient le droit...
> >
> > Tant que l'on reste dans le domaine privée...
> >
> > De plus un permis de conduire n'est pas une pièce d'identité. En France
> > seul les cartes d'identité et Passeports sont des pièces justificatives.
>
> "Oui, le permis est bien une piÚce d'identité officielle, car elle est
> délivrée par l'État français et peut donc permettre de justifier son
> identité, à condition que la photographie d'identité soit
> ressemblante."
>
> source : http://vosdroits.service-public.fr/particuliers/F11860.xhtml
>
> Cya
>
> --
> /SClo
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Samuel Thibault]

Mikaël Poussard, le Tue 21 Jan 2014 09:14:26 +0100, a écrit :
> Le 20/01/2014 10:53, Romain GUICHARD a écrit :
> > De l'autre coté, certains DC refusent même le
> > permis de conduire comme pièce d'identité. Je me suis toujours demandé si
> > ils en avaient le droit...
> 
> Tant que l'on reste dans le domaine privée...
> 
> De plus un permis de conduire n'est pas une pièce d'identité. En France
> seul les cartes d'identité et Passeports sont des pièces justificatives.

http://www.ants.interieur.gouv.fr/ants/Pieces-justificatives-d-identite.html

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Stephane Clodic]

On Tue, Jan 21, 2014 at 09:14:26AM +0100, Mikaël Poussard wrote:
> Le 20/01/2014 10:53, Romain GUICHARD a écrit :
> > De l'autre coté, certains DC refusent même le
> > permis de conduire comme pièce d'identité. Je me suis toujours demandé si
> > ils en avaient le droit...
> 
> Tant que l'on reste dans le domaine privée...
> 
> De plus un permis de conduire n'est pas une pièce d'identité. En France
> seul les cartes d'identité et Passeports sont des pièces justificatives.

"Oui, le permis est bien une piÚce d'identité officielle, car elle est
délivrée par l'État français et peut donc permettre de justifier son
identité, à condition que la photographie d'identité soit
ressemblante."

source : http://vosdroits.service-public.fr/particuliers/F11860.xhtml

Cya

-- 
/SClo


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Mikaël Poussard]

Le 20/01/2014 10:53, Romain GUICHARD a écrit :
> De l'autre coté, certains DC refusent même le
> permis de conduire comme pièce d'identité. Je me suis toujours demandé si
> ils en avaient le droit...

Tant que l'on reste dans le domaine privée...

De plus un permis de conduire n'est pas une pièce d'identité. En France
seul les cartes d'identité et Passeports sont des pièces justificatives.

-- 
Mikaël


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Régis M]

Mon dieu ca fait peur.. :)
Content d'avoir choisi un DC sur Reims quand j'en ai eu besoin, et à vous
entendre: éviter Paris à tout prix (ca je le savais déjà d'un autre coté...
:) )
Après, c'est pas les mêmes arrivées ou meetme disponible non plus c'est
clair

Quelqu'un sait ce que vaut le Telco center d'alphalink à ce niveau ?
Merci

Régis


Le 20 janvier 2014 21:36, Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net> a écrit :

> On Mon, Jan 20, 2014, at 17:55, Xavier Beaudouin wrote:
> > Mes expériences:
> >
> > - bus rouge : quand tu as ton accès et que tu n'es pas sous loc : RAZ,
>  en dehors... aie
> > - Th2 : quelque soit le truc: trop de papier et d'attente
> > - Equinix : Ca va, des fois relou de pas faire des demande dans
> > l'urgence quand tu n'as pas de badge (eg demande le jour pour... dans 1h
> :=> DTC).
> > - SFR a CBV: alors... avant = moulin... Now : "laissez moi sortir de la
> > - Autrement la biométrie c'est bien, en abuser ça crain :)
>
> De mon cote:
>  - RedBus CBV faisait (encore en 2011-2012) exception dans la "galaxie
>  Telecity" :
>-> RedBus CBV : une fois la douleur de la "creation de badge
>permanent" passee, fallait juste s'habituer au scanner d'iris (pas
>evident pour tout le monde). La procedure "avec CNI" je l'ai vue
>uniquement applique quand il y avait des personnes "bien connues" sur
>site (visiteurs, badge oublie) et ca marchait assez rapidement.
>-> HEX8/9 (anciennement Telecity) : rien que sur la plaquette, des
>procedures qui rendent la vie impossible
>-> HEX6/7 (anciennement RedBus) : en 2012 les choses avait l'air
>encore limite potable, mais avec assurance du commercial ("we are
>aligning it to HEX8/9")
>-> PowerGate : une lourdeur difficile a supporter, les gens au
>NOC/accueil (c'etait les memes) ne parlait pas avec vous s'il n'y
>avait pas de ticket ouvert. Access au site (pour arriver a l'accueil
>seulement) avec un code obtenu via le portail et strictement pas
>autrement. Je me demande meme si c'etait vraiment des etres humains.
>-> Amsterdam Zuid-Oost : meme systeme d'access avec code, mais ca
>avait l'air plus "mou" (c'etait bien un humain a l'accueil, pas un
>robot). L'accueil etait en plus gere par des presta externs.
>- Sinon, j'ai eu l'impression que la tendance generale chez TCY est
>la lourdeur administrative.
>  - Equinix : une volonte de faire les choses bien, mais avec le temps ca
>  part en vrille. J'ai vu l'evolution sur PA2 et PA3; j'ai vu aussi le
>  tout debut a PA3 et PA4, aussi que le resultat "quelques annees plus
>  tard" a PA2, PA3 et "111 8th ave" -> les choses suivent toujours le
>  meme chemin: ca part des bonnes intentions, ca se degrade et ca finit
>  tres mal.
>  - GlobalSwith : promoteur immobilier point
>  - TeleHouse Docklands (je les ai frequente plus que TH2) : systeme
>  archique (base beaucoup sur du papier), assez lent, mais finalement
>  assez efficace.
>  - Colt Bessieres : meme resenti que THN/E/W.
>  - TH2 : assez similaire que les TH en UK, mais avec une "french touch"
>  (plus bordelique, moins bien pense)
>  - Iliad : a part des mails occasionnels (mise a jour de la liste
>  d'acces) perdus dans la nature, ca va a peu pres.
>  - SFR CBV : pitie, non, pas/plus jamais ca ! Lors de la "journee avec 3
>  pannes" en sept 2012, on etait a deux doigts de commencer a eteindre
>  des equipements a on sait pas qui, parce-qu'il y avait un erreur dans
>  tous sauf un des badges existants dans la boite. Du coup on avait acces
>  dans la salle de quelqu'un d'autre mais pas dans la notre, plus
>  personne a l'accueil (une mlle qui sourti joliment mais n'a strictement
>  aucun droit sur le systeme ne rentre pas en compte), le NOC totalement
>  incompetent et impuissant ("desole, c'est 19h01,y'a plus personne qui
>  peut faire quoi que ce soit"), et la "securite" gere par des externs
>  (boite externe carement) qui ne se permettent pas de prendre des
>  decisions ("monsieur, vous pouvez arreter ce que vous voulez la ou vous
>  pouvez entrer, mais je n'ai pas le doit de vous faire entrer dans votre
>  salle"). Hereusement que la securite etait vraiment deficitaire, et
>  qu'on est finalement reussi a ramasser TOUS les badges de la boite,
>  pour finalement trouver UN SEUL qui ouvrait la porte de notre salle.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Radu-Adrian Feurdean]

On Mon, Jan 20, 2014, at 17:55, Xavier Beaudouin wrote:
> Mes expériences:
> 
> - bus rouge : quand tu as ton accès et que tu n'es pas sous loc : RAZ,  en 
> dehors... aie
> - Th2 : quelque soit le truc: trop de papier et d'attente
> - Equinix : Ca va, des fois relou de pas faire des demande dans 
> l'urgence quand tu n'as pas de badge (eg demande le jour pour... dans 1h :=> 
> DTC).
> - SFR a CBV: alors... avant = moulin... Now : "laissez moi sortir de la 
> - Autrement la biométrie c'est bien, en abuser ça crain :)

De mon cote:
 - RedBus CBV faisait (encore en 2011-2012) exception dans la "galaxie
 Telecity" :
   -> RedBus CBV : une fois la douleur de la "creation de badge
   permanent" passee, fallait juste s'habituer au scanner d'iris (pas
   evident pour tout le monde). La procedure "avec CNI" je l'ai vue
   uniquement applique quand il y avait des personnes "bien connues" sur
   site (visiteurs, badge oublie) et ca marchait assez rapidement.
   -> HEX8/9 (anciennement Telecity) : rien que sur la plaquette, des
   procedures qui rendent la vie impossible
   -> HEX6/7 (anciennement RedBus) : en 2012 les choses avait l'air
   encore limite potable, mais avec assurance du commercial ("we are
   aligning it to HEX8/9")
   -> PowerGate : une lourdeur difficile a supporter, les gens au
   NOC/accueil (c'etait les memes) ne parlait pas avec vous s'il n'y
   avait pas de ticket ouvert. Access au site (pour arriver a l'accueil
   seulement) avec un code obtenu via le portail et strictement pas
   autrement. Je me demande meme si c'etait vraiment des etres humains.
   -> Amsterdam Zuid-Oost : meme systeme d'access avec code, mais ca
   avait l'air plus "mou" (c'etait bien un humain a l'accueil, pas un
   robot). L'accueil etait en plus gere par des presta externs.
   - Sinon, j'ai eu l'impression que la tendance generale chez TCY est
   la lourdeur administrative.
 - Equinix : une volonte de faire les choses bien, mais avec le temps ca
 part en vrille. J'ai vu l'evolution sur PA2 et PA3; j'ai vu aussi le
 tout debut a PA3 et PA4, aussi que le resultat "quelques annees plus
 tard" a PA2, PA3 et "111 8th ave" -> les choses suivent toujours le
 meme chemin: ca part des bonnes intentions, ca se degrade et ca finit
 tres mal.
 - GlobalSwith : promoteur immobilier point
 - TeleHouse Docklands (je les ai frequente plus que TH2) : systeme
 archique (base beaucoup sur du papier), assez lent, mais finalement
 assez efficace.
 - Colt Bessieres : meme resenti que THN/E/W.
 - TH2 : assez similaire que les TH en UK, mais avec une "french touch"
 (plus bordelique, moins bien pense)
 - Iliad : a part des mails occasionnels (mise a jour de la liste
 d'acces) perdus dans la nature, ca va a peu pres.
 - SFR CBV : pitie, non, pas/plus jamais ca ! Lors de la "journee avec 3
 pannes" en sept 2012, on etait a deux doigts de commencer a eteindre
 des equipements a on sait pas qui, parce-qu'il y avait un erreur dans
 tous sauf un des badges existants dans la boite. Du coup on avait acces
 dans la salle de quelqu'un d'autre mais pas dans la notre, plus
 personne a l'accueil (une mlle qui sourti joliment mais n'a strictement
 aucun droit sur le systeme ne rentre pas en compte), le NOC totalement
 incompetent et impuissant ("desole, c'est 19h01,y'a plus personne qui
 peut faire quoi que ce soit"), et la "securite" gere par des externs
 (boite externe carement) qui ne se permettent pas de prendre des
 decisions ("monsieur, vous pouvez arreter ce que vous voulez la ou vous
 pouvez entrer, mais je n'ai pas le doit de vous faire entrer dans votre
 salle"). Hereusement que la securite etait vraiment deficitaire, et
 qu'on est finalement reussi a ramasser TOUS les badges de la boite,
 pour finalement trouver UN SEUL qui ouvrait la porte de notre salle.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Inulogic - Free-H]

Bonjour,

J'étais chez OVH pendant plus d'une bonne année à DC1 (Paris 19),
l'accès se fait via un badge et comme il n'y a aucune surveillance, il
n'y a pas de problème d'accès.
En soit c'est pratique mais la sécurité est minimum. Une fois dans une
salle, on peut bruteforce une baie en quelques minutes vu le système
utilisé.

Chez Iliad DC2, badge et empreinte veineuse dans le sas et on rentre
sans problème. Ça peut poser quelques soucis si vous avez les mains
très froides en hiver. Dans ce cas, vous êtes bon pour une carte
d'ident/passeport/permis.
Il y a un garde sur site en permanence en cas de besoin, si en ronde,
un numéro de tel fixe et portable pour joindre ce qui évite de trop
attendre. (Sans parler de la présence au NOC).
Le seul regret, c'est les portes pour les sorties de secours juste à
côté du sas. Je pense que c'est le plus fragile en cas de pénétration
de force.
Le bruteforce d'une baie est beaucoup plus compliqué qu'ovh, les
molettes sont séparées les unes des autres, plus dures à tourner et il
faut essayer l'ouverture à chaque fois.
Permis accepté de mémoire.

Chez Cogent en banlieue de Paris, il faut prévenir par mail une heure
avant et on obtient un code (long et composé de lettres et chiffres) à
donner à l'entrée, ensuite pas de badge, il faut se faire débloquer
les portes en open bar par le noc ou laisser quelqu'un dans la salle
en permanence pour ouvrir à chaque fois sinon dring dring. C'est très
pénible du coup.


Je trouve très pratique de pouvoir entrer sans devoir se signaler,
surtout quand il y a une panne qui nécessite une intervention en
urgence. Néanmoins cela reste (je l'espère pour vous) relativement
rare.
Sans parle qu'on a pas tout le temps le matériel sur soit pour envoyer
un mail avant d'arriver au DC.

Je n'ai pas de mauvaise expérience en dehors d'une faute de ma part
(pas de badge et pas de CI) ou la encore, une fois identifié au NOC,
celui-ci m'a cordialement affecté un badge temporaire.

Gurvan.







Le 20 janvier 2014 16:00, Clement Cavadore  a écrit :
> On Mon, 2014-01-20 at 15:50 +0100, Eric ROLLAND wrote:
>> Clément tu le sais, le mieux, c'est encore de se faire sa salle ;-)
>
> Il ne fait aucun doute que c'est clairement en partie à cause de ces
> procédures "a la con" (et de leurs droides associés) que certaines
> salles privées se montent...
>
> --
> Clément Cavadore
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Xavier Beaudouin]

Hello,


Le 20/01/2014 11:35, Clement Cavadore a écrit :

On Mon, 2014-01-20 at 10:53 +0100, Romain GUICHARD wrote:

Mais en soit si je dois perdre en moyenne 10min à chaque fois pour
assurer la sécurité du DC, so be it.


Il y a une différence entre perdre 10 minutes en moyenne, et entre 1/2h
et 1h (pour au final te rendre compte que tu avais TOUT fait dans les
règles, et que c'est juste le droide qui a décidé ne pas bosser, ou de
te faire chier)


Oui ou si tu es en sous-sous-sous location, la c'est un peu normal.

L'expérience du bus rouge qui n'étais pas payé par un presta, qui 

bref.

Mes expériences:

- bus rouge : quand tu as ton accès et que tu n'es pas sous loc : RAZ, 
en dehors... aie

- Th2 : quelque soit le truc: trop de papier et d'attente
- Equinix : Ca va, des fois relou de pas faire des demande dans 
l'urgence quand tu n'as pas de badge (eg demande le jour pour... dans 1h 
:=> DTC).
- SFR a CBV: alors... avant = moulin... Now : "laissez moi sortir de la 
forteresse", on a la la palme de la bêtise et de la lourdeur. J'ai dû 
peter un plomb pour avoir un badge (valable 6 mois a renouveler), 
surtout quand t'a une @~#@~#\@~ de porte qui ne s'ouvre pas par 
incompétence de la personne à l’accueil qui n'est pas un droit, mais 
pire... une personne type "SFR Bonjour?". Une fois qu'on a ce badge 
: "LA PAIX", a part quand tu dois livrer un truc lourd ou faut négocier 
a fond avec le PC sécu pour eviter de faire option déménageur dans la 
rue.

- Autrement la biométrie c'est bien, en abuser ça crain :)

Xavier

--
Xavier Beaudouin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Eric ROLLAND]

Le 20/01/2014 15:36, Sylvain Vallerot a écrit :
> On 20/01/2014 15:30, Romain GUICHARD wrote:
>> Un code à 3 chiffres ça se bruteforce en 30min si on va par là.
>
> Oui c'est pour ça qu'il faut pas compter sur les racks pour protéger
> le matériel.



BonjourClément, Sylvain, et bonne année à toute la liste.
Il y a un mois en balade Bd Voltaire, j'ai vu sur la plateau 12, en
bordure de l'allée(autour du millieuvers J ou K) une baie sans facade,
les équipements à l'air. Là, pas besoin d'être un brute.
Il y a des années, quand on était au Redbus, le sas biométrique, il
marchait une fois sur 2 visites. Le reste du temps, c'était controle sur
la liste + CNI et accès par la porte de droite.
Clément tu le sais, le mieux, c'est encore de se faire sa salle;-)
Cordialement,
Eric ROLLAND
AS42929 - RE515-RIPE


*Artefact communication interactive* | Bat. Artechnopole - 3 rue des
Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33
SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z |
TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

On Mon, 2014-01-20 at 15:50 +0100, Eric ROLLAND wrote:
> Clément tu le sais, le mieux, c'est encore de se faire sa salle ;-)

Il ne fait aucun doute que c'est clairement en partie à cause de ces
procédures "a la con" (et de leurs droides associés) que certaines
salles privées se montent...

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 20/01/2014 15:30, Romain GUICHARD wrote:

Un code à 3 chiffres ça se bruteforce en 30min si on va par là.


Oui c'est pour ça qu'il faut pas compter sur les racks pour protéger le 
matériel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Romain GUICHARD]

Le 20 janvier 2014 14:51, Sylvain Vallerot  a écrit :

>
>
> On 20/01/2014 12:22, Bruno CAVROS / SKIWEBCENTER wrote:
>
>> Dans le cas d'un "vieux Datacenter du 11 eme"
>> -Gestion des accès par mail non authentifié un fake mail passe sans
>> soucis.
>>
>
> Les listes d'accès admettent un mot de passe à présent.
>
> Et ca devrait s'améliorer encore avec le portail qui est en cours de
> test.
>
>
>
>  -Resté 5 Heures une nuit  sur le boulevard devant la porte, le gardien
>> et le PCS n'avaient pas raccrochés leurs téléphones.
>>
>
> A ça arrive semble-t-il... Il y a clairement un défaut à ce niveau,
> ou quand le gardien part en ronde. J'en parlerai à Dom.
>
>
>
>  -Resté 9 Heures à attendre jusqu'au matin, je n'étais soit disant pas
>> permanent.. j'avais un k bis pour prouver que j'étais gérant mais rien
>> à faire. etc
>>
>
> Curieux sur le DC dont tu parles, la liste papier résoud facilement
> le problème en principe.
>
> Sur un autre DC par contre j'ai des intervenants qui ont été refoulés
> à l'entrée parce que la case "mail" de la liste d'accès était vide...
>
>
>
>  Les autres fois souvent très long pour avoir un badge et.. ensuite
>> redescendre
>> pour leur rappeler d'ouvrir les baies.
>>
>
> Il y a des téléphones aux étages depuis quelques années. Le genre de chose
> qu'on aimerait avoir chez Equinix où les distances sont bien supérieures
> et la réactivité des agents donne des envies de sang.
>
> Y'a ça à PA4 (de mémoire à PA3 aussi non ?). C'est bien, ça répond très
vite généralement.

>
>
>  A coté de ça niveau sécurité physique aucunes portes solides ni blindées,
>>
>
> Franchement je me demande si c'est utile de faire plus.
>
> OK je reconnais qu'il y a des sites sur lesquels l'intégrité physique des
> agents doit effectivement être préservée des intervenants au bord de la
> crise de nerfs.
>
>
>
>  des baies laissées ouvertes plusieurs jours, on a eu des vols de spare
>> etc.
>>
>
> La plupart des racks s'ouvrent avec un tournevis de toutes façons,
> et quel que soit le site en salle mutualisée.
>
> Que dire des racks installés en série qui s'ouvrent tous avec le même pass,
> genre minkels...
>
> Un code à 3 chiffres ça se bruteforce en 30min si on va par là.

>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
*Romain Guichard*
* | rom...@rguichard.fr Network and Security engineer*
*~ Blog  *

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 20/01/2014 12:22, Bruno CAVROS / SKIWEBCENTER wrote:

Dans le cas d'un "vieux Datacenter du 11 eme"
-Gestion des accès par mail non authentifié un fake mail passe sans soucis.


Les listes d'accès admettent un mot de passe à présent.

Et ca devrait s'améliorer encore avec le portail qui est en cours de
test.



-Resté 5 Heures une nuit  sur le boulevard devant la porte, le gardien
et le PCS n'avaient pas raccrochés leurs téléphones.


A ça arrive semble-t-il... Il y a clairement un défaut à ce niveau,
ou quand le gardien part en ronde. J'en parlerai à Dom.



-Resté 9 Heures à attendre jusqu'au matin, je n'étais soit disant pas
permanent.. j'avais un k bis pour prouver que j'étais gérant mais rien
à faire. etc


Curieux sur le DC dont tu parles, la liste papier résoud facilement
le problème en principe.

Sur un autre DC par contre j'ai des intervenants qui ont été refoulés
à l'entrée parce que la case "mail" de la liste d'accès était vide...



Les autres fois souvent très long pour avoir un badge et.. ensuite redescendre
pour leur rappeler d'ouvrir les baies.


Il y a des téléphones aux étages depuis quelques années. Le genre de chose
qu'on aimerait avoir chez Equinix où les distances sont bien supérieures
et la réactivité des agents donne des envies de sang.



A coté de ça niveau sécurité physique aucunes portes solides ni blindées,


Franchement je me demande si c'est utile de faire plus.

OK je reconnais qu'il y a des sites sur lesquels l'intégrité physique des
agents doit effectivement être préservée des intervenants au bord de la
crise de nerfs.



des baies laissées ouvertes plusieurs jours, on a eu des vols de spare etc.


La plupart des racks s'ouvrent avec un tournevis de toutes façons,
et quel que soit le site en salle mutualisée.

Que dire des racks installés en série qui s'ouvrent tous avec le même pass,
genre minkels...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[David RIBEIRO]

Bonjour à tous,

Pour ma part, j'accède le plus souvent au DataCenter d'Altitude DataCenter
loué en intégralité à Completel sur Val de Reuil (27).
Pour le DC de VDR, depuis l'Extranet Completel, tu dis qui a accès, tu te
présentes avec ta CI * obligatoire *(Française ou autre, le permis de
conduire passe pas forcément si tu n'es pas "connu" de l'agent) et ça se
passe très bien.
Après nous avons un BOX dédié donc des cartes déjà faites dans une boite
classé par Entreprise (Ordre Alphabétique).

La gestion de l'accès est géré par un prestataire, Completel leur met à
dispo un outil Web pour logué mon passage + un cahier de passage que je
dois remplir et signé.

Pour résumé, ici à VDR en moins de 2 minutes tu as ton badge d'accès si les
pré-requis sont OK.



Le 20 janvier 2014 10:07, Clement Cavadore  a écrit :

> Bonjour,
>
> J'aimerais lançer une discussion auprès des gens habitués à accéder aux
> datacenters: Quelle est votre opinion concernant la facilité d'accès aux
> diverses salles machines que vous fréquentez ?
>
> En ce qui me concerne, j'ai eu l'occasion, depuis une grosse dizaine
> d'années, de visiter plusieurs datacenters de la place Parisienne (et
> d'ailleurs), et force est de constater que la facilité/rapidité/etc
> d'accès est très variable (pas forcément dans le bon sens), en fonction
> des procédures de sécurité en vigueur dans $datacenter, de la taille de
> celui-ci, et des interlocuteurs que l'on a en face de soi.
>
>
> Selon que l'on soit permanent ou pas, que l'on aie un badge ou un tag
> (qu'on conserve ou non), une autorisation temporaire, et selon l'heure
> d'accès, je trouve tout de même étonnant de si fréquemment tomber à
> l'entrée sur des espèce de droïdes, qui ne savent rien faire d'autre que
> "dérouler leur procédure". Sauf que quand leur procédure est broken, on
> ne sait plus trop comment s'en sortir pour pouvoir accéder au site.
> Qui n'a jamais eu droit au "ah, on n'a pas reçu le mail", ou "ya pas eu
> d'autorisation de faite, faut la refaire" ? Pas plus tard qu'il y a
> quelques jours, je me suis retrouvé à devoir attendre plus d'une heure
> pour entrer dans un gros datacenter Parisien,  avec ce genre d'excuses à
> l'entrée. Alors même que le mail était VRAIMENT parti (log de MX à
> l'appui), et que c'est quasi systématique dans ledit DC.
>
>
> Ma question est donc: Quel est votre retour d'expérience sur ce sujet ?
> Est-ce qu'il y a, à vos yeux, des bons et des mauvais élèves parmi les
> DC sur leurs procédures d'accès ? Trouvez vous tolérable de devoir
> attendre plus de 10 minutes pour rentrer sur un site ?
> Evidemment, j'aurais tendance à vouloir éviter de mettre trop de
> business dans les salles où l'accès (qu'il soit pour moi, ou pour mes
> clients) est SYSTEMATIQUEMENT compliqué... Mais est-ce que c'est, pour
> vous vraiment un "mal nécessaire", au nom de la sécurité ?
> Qu'en pensent les exploitants des datacenters ?
>
>
> Merci d'avance !
>
> --
> Clément Cavadore
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
David


Le 20 janvier 2014 10:07, Clement Cavadore  a écrit :

> Bonjour,
>
> J'aimerais lançer une discussion auprès des gens habitués à accéder aux
> datacenters: Quelle est votre opinion concernant la facilité d'accès aux
> diverses salles machines que vous fréquentez ?
>
> En ce qui me concerne, j'ai eu l'occasion, depuis une grosse dizaine
> d'années, de visiter plusieurs datacenters de la place Parisienne (et
> d'ailleurs), et force est de constater que la facilité/rapidité/etc
> d'accès est très variable (pas forcément dans le bon sens), en fonction
> des procédures de sécurité en vigueur dans $datacenter, de la taille de
> celui-ci, et des interlocuteurs que l'on a en face de soi.
>
>
> Selon que l'on soit permanent ou pas, que l'on aie un badge ou un tag
> (qu'on conserve ou non), une autorisation temporaire, et selon l'heure
> d'accès, je trouve tout de même étonnant de si fréquemment tomber à
> l'entrée sur des espèce de droïdes, qui ne savent rien faire d'autre que
> "dérouler leur procédure". Sauf que quand leur procédure est broken, on
> ne sait plus trop comment s'en sortir pour pouvoir accéder au site.
> Qui n'a jamais eu droit au "ah, on n'a pas reçu le mail", ou "ya pas eu
> d'autorisation de faite, faut la refaire" ? Pas plus tard qu'il y a
> quelques jours, je me suis retrouvé à devoir attendre plus d'une heure
> pour entrer dans un gros datacenter Parisien,  avec ce genre d'excuses à
> l'entrée. Alors même que le mail était VRAIMENT parti (log de MX à
> l'appui), et que c'est quasi systématique dans ledit DC.
>
>
> Ma question est donc: Quel est votre retour d'expérience sur ce sujet ?
> Est-ce qu'il y a, à vos yeux, des bons et des mauvais élèves parmi les
> DC sur leurs procédures d'accès ? Trouvez vous tolérable de devoir
> attendre plus de 10 minutes pour rentrer sur un site ?
> Evidemment, j'aurais tendance à vouloir éviter de mettre trop de
> business dans les salles où l'accès (

RE: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Bruno CAVROS / SKIWEBCENTER]

C'est pour éviter de rentrer avec un serveur :)

Et les tourniquets de la mort tu en penses quoi ? ;)

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Clement Cavadore
Envoyé : lundi 20 janvier 2014 12:23
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une
punition à chaque fois ?

On Mon, 2014-01-20 at 12:11 +0100, Raphael Mazelier wrote:

> les procédures pour rentrer sont "complexes" aka :
> - 1er check pour rentrer dans le parking
> - 1ere porte ou il faut sonner pour rentrer dans le DC
> - check de la carte d'identité à la guérite puis passage dans le SAS
> - 2eme sonnette pour enfin ouvrir l'accès a la salle
> - plus badge individuel pour ouvrir la bonne cage

Et encore, selon l'endroit ou tu vas, tu as aussi les portillons facon
RATP, sauf que ceux-ci, ils se ferment sur ta gueule une fois sur deux
quand tu veux passer :-))

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Bruno CAVROS / SKIWEBCENTER]

Dans le cas d'un "vieux Datacenter du 11 eme"

-Refus du jour au lendemain du permis de conduire sans notifier les clients, 
400 bornes pour avoir une piece d'identité..
-Gestion des accès par mail non authentifié un fake mail passe sans soucis.
-Resté 5 Heures une nuit  sur le boulevard devant la porte, le gardien et le 
PCS n'avaient pas raccrochés leurs téléphones.
-Resté 9 Heures à attendre jusqu'au matin, je n'étais soit disant pas 
permanent.. j'avais un k bis pour prouver que j'étais gérant mais rien à faire.
etc

Les autres fois souvent très long pour avoir un badge et.. ensuite redescendre 
pour leur rappeler d'ouvrir les baies.

A coté de ça niveau sécurité physique aucunes portes solides ni blindées, des 
baies laissées ouvertes plusieurs jours, on a eu des vols de spare etc.

Donc en réalité que de la façade et une démonstration d'une pseudo sécurité.

Vous me direz il y a bien eu des évadés de prison avec des faux fax...

Sinon en bonne référence CIV vers Lille, site grillagé, gardien H24, 
construction solides, portes adaptées, contrôle veineux couplé au badge, salle 
systématiquement sous alarme si il n'y a pas d'intervenant, corridor entourant 
l'intégrité des salles machines.

Bruno





-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Sylvain Vallerot
Envoyé : lundi 20 janvier 2014 12:06
À : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition 
à chaque fois ?



On 20/01/2014 10:53, Romain GUICHARD wrote:
> Attendre 10-20min à chaque fois devant le poste de sécurité pour des
> raisons administratives c'est contraignant.
> Mais en soit si je dois perdre en moyenne 10min à chaque fois pour assurer
> la sécurité du DC, so be it.

Je trouve que le développement des mesures sécuritaires est très souvent une
gène et très peu souvent un gain de temps. Il y a des sites par exemple sur
lesquels le portail reconnaît l'iris une fois sur deux et sonne systématiquement
quand on a quelques outils ou un laptop dans le sac à dos. Dommage car j'y vais
rarement avec seulement la serviette et l'huile bronzante.

Le nombre de pannes du système sur d'autres sites est proprement hallucinant
en général ça se tasse un peu avec le temps, jusqu'à la prochaine lubie
sécuritaire... Il y a des sites qui externalisent aussi complètement la gestion
des accès à des boites dont le personnel qui patauge littéralement dans la 
simple
utilisation de l'outil de gestion des accès. On les reconnait vite avec leurs
uniformes et leurs pompes cirées et avec ceux-là il faut donner une information
à la fois en articulant bien, si vous donnez deux informations vous êtes sur de
vous farcir un aller-retour jusqu'à la prochaine porte qui vous refusera l'accès
et sans interphone pour vous faire ouvrir.

On pourrait aussi parler de la gestion des colis, pour lesquels l'attente est
souvent supérieure à 20 minutes (le double n'est pas rare).

Bref les gadgets sécuritaires et automatiques sont, en ce qui me concerne, à
ranger dans la case marketing, mais certainement pas dans la case améliorations
opérationnelles. Je déplore que l'efficacité et la sureté de fonctionnement soit
négligées dans ces systèmes dont ce devrait être la principale caractéristique.

Quand à savoir quel risque de sécurité ces dispositifs bancales sont supposés
éviter, je me le demande encore. J'interrogeais récemment un responsable de la
sécurité sur le nombre d'actes de vol ou de vandalisme qu'il espérait faire
diminuer, mais il ne se souvenait même pas qu'il y en ait eu alors même que le
lieu était ouvert à tous vents.

Ce sont parfois les personnels habitués et les bonnes relations qu'on a avec
eux qui font que les situations se débloquent, et j'en profite pour les
remercier pour la souplesse dont il peut leur arriver de faire preuve.


>  De l'autre coté, certains DC refusent même le
> permis de conduire comme pièce d'identité. Je me suis toujours demandé si
> ils en avaient le droit...

Ils ont le droit : ils sont chez eux et ils laissent entrer qui ils veulent
a priori ton contrat dit que tu dois te plier à leur procédure de sécurité.


> Je trouve qu'il y un fossé entre la sécurité annoncée pour ce genre de
> bâtiment et le sécurité effective sur le terrain. Ajouté à ça, l'efficacité
> des employés (j'aime bien l'image du droïde), j'ai parfois peur pour nos
> baies...

Tout à fait. Et il n'est pas rare que certains des agents en question
représentent en fait par leur inhibition le plus gros danger qui soit, au
point que je préfère parfois me déplacer sur site que de faire intervenir
une personne donnée dans mon rack car je sais qu'il/elle a 50% de chances
de faire une catastrophe.

Malheureusement grâc

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

On Mon, 2014-01-20 at 12:11 +0100, Raphael Mazelier wrote:

> les procédures pour rentrer sont "complexes" aka :
> - 1er check pour rentrer dans le parking
> - 1ere porte ou il faut sonner pour rentrer dans le DC
> - check de la carte d'identité à la guérite puis passage dans le SAS
> - 2eme sonnette pour enfin ouvrir l'accès a la salle
> - plus badge individuel pour ouvrir la bonne cage

Et encore, selon l'endroit ou tu vas, tu as aussi les portillons facon
RATP, sauf que ceux-ci, ils se ferment sur ta gueule une fois sur deux
quand tu veux passer :-))

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Raphael Mazelier]

Le 20/01/2014 11:37, Frederic Dhieux a écrit :

Bonjour,

Forcément je partage un certain agacement sur le sujet. On prévoit
toujours 10 min à parfois 30 min dans le planning rien que pour cette
partie qui consiste à entrer sur le site.
Je ne peux qu’être d'accord. Je ne compte pas le nombre de fois où j'ai 
du attendre un temps interminable alors que j'étais pressé.



Les raisons sont en général (ça liste tous les DC) :
- Mauvais fonctionnement des outils et non maitrise par la personne à
l'entrée
- Procédure compliquée qui pourrait être optimisée par de meilleurs
outils (souvent)
- Personne à l'entrée débordée par le travail quand il y a du monde (et
des livraisons)
- Recherche du badge de la personne dans un tiroir rempli de tas de badges
- Badge expiré annuellement sans prévenir par mail (ravi quand tu es en
urgence à 3h du mat et que le site est sans personnel youpi). A noter
que par contre en temps normal c'est le site le plus simple et rapide
puisque badge + emprunte palmaire et aucun humain
- Système rétinien qui fonctionne pas
- Personnel de sécurité en ronde et personne à l'accueil (pour le site
ou le DC)
Tu as très bien résumé la situation néanmoins je trouve que la situation 
s'est largement amélioré ces dernière années, surtout du coté de 
boulevard voltaire, ou on est passé d'une situation parfois ubuesque, a 
un truc a peu près géré.

Plutôt que de distribuer les mauvais points, je dirais aujourd'hui
qu'Iliad a le meilleur fonctionnement avec Level 3 le Capitole (sauf
l'histoire de l'expiration auto annuelle sans prévenir pour ce dernier).

+1, je rajouterais Telecity avec qui je n'ai aucun problème depuis 4ans.


Le problème je trouve, c'est que les DC font des procédures poussées
pour la sécurité (c'est bien), mais adaptent mal des outils pour
celles-ci, rendant le fonctionnement compliqué pour tout le monde et
surtout pour un personnel d'abord formé à la sécurité du batiment.

La sécurité des datacenters est un sujet en lui même.
J'ai un exemple sur lequel je vous laisse méditer :
vécu dans un DC du coté de St Denis...
les procédures pour rentrer sont "complexes" aka :
- 1er check pour rentrer dans le parking
- 1ere porte ou il faut sonner pour rentrer dans le DC
- check de la carte d'identité à la guérite puis passage dans le SAS
- 2eme sonnette pour enfin ouvrir l'accès a la salle
- plus badge individuel pour ouvrir la bonne cage

Avec tout cela on pourrait se dire que c'est vraiment ultra secure. Sauf 
que.

En pratique on ouvre "la porte de derrière" qui donne sur le parking.
Donc la procédure quand on y allait à plusieurs et que l'on avait du 
matos c’était d'envoyer quelqu'un en éclaireur pour ouvrir cette fameuse 
porte, et ensuite tout le monde rentrait par la porte du parking





De toute façon en règle générale les DC sont un vortex temporel, tu
penses passer un certain temps au départ et inexorablement quand tu sors
tu as fait un plus grand bond dans le temps que prévu :D


Ah ça, on arrive pour faire quelque chose, et finalement ou trouve 
toujours mille trucs à faire, surtout quand on est perfectionniste et 
que l'on aime les baies bien rangées.



--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Sylvain Vallerot]

On 20/01/2014 10:53, Romain GUICHARD wrote:

Attendre 10-20min à chaque fois devant le poste de sécurité pour des
raisons administratives c'est contraignant.
Mais en soit si je dois perdre en moyenne 10min à chaque fois pour assurer
la sécurité du DC, so be it.


Je trouve que le développement des mesures sécuritaires est très souvent une
gène et très peu souvent un gain de temps. Il y a des sites par exemple sur
lesquels le portail reconnaît l'iris une fois sur deux et sonne systématiquement
quand on a quelques outils ou un laptop dans le sac à dos. Dommage car j'y vais
rarement avec seulement la serviette et l'huile bronzante.

Le nombre de pannes du système sur d'autres sites est proprement hallucinant
en général ça se tasse un peu avec le temps, jusqu'à la prochaine lubie
sécuritaire... Il y a des sites qui externalisent aussi complètement la gestion
des accès à des boites dont le personnel qui patauge littéralement dans la 
simple
utilisation de l'outil de gestion des accès. On les reconnait vite avec leurs
uniformes et leurs pompes cirées et avec ceux-là il faut donner une information
à la fois en articulant bien, si vous donnez deux informations vous êtes sur de
vous farcir un aller-retour jusqu'à la prochaine porte qui vous refusera l'accès
et sans interphone pour vous faire ouvrir.

On pourrait aussi parler de la gestion des colis, pour lesquels l'attente est
souvent supérieure à 20 minutes (le double n'est pas rare).

Bref les gadgets sécuritaires et automatiques sont, en ce qui me concerne, à
ranger dans la case marketing, mais certainement pas dans la case améliorations
opérationnelles. Je déplore que l'efficacité et la sureté de fonctionnement soit
négligées dans ces systèmes dont ce devrait être la principale caractéristique.

Quand à savoir quel risque de sécurité ces dispositifs bancales sont supposés
éviter, je me le demande encore. J'interrogeais récemment un responsable de la
sécurité sur le nombre d'actes de vol ou de vandalisme qu'il espérait faire
diminuer, mais il ne se souvenait même pas qu'il y en ait eu alors même que le
lieu était ouvert à tous vents.

Ce sont parfois les personnels habitués et les bonnes relations qu'on a avec
eux qui font que les situations se débloquent, et j'en profite pour les
remercier pour la souplesse dont il peut leur arriver de faire preuve.



 De l'autre coté, certains DC refusent même le
permis de conduire comme pièce d'identité. Je me suis toujours demandé si
ils en avaient le droit...


Ils ont le droit : ils sont chez eux et ils laissent entrer qui ils veulent
a priori ton contrat dit que tu dois te plier à leur procédure de sécurité.



Je trouve qu'il y un fossé entre la sécurité annoncée pour ce genre de
bâtiment et le sécurité effective sur le terrain. Ajouté à ça, l'efficacité
des employés (j'aime bien l'image du droïde), j'ai parfois peur pour nos
baies...


Tout à fait. Et il n'est pas rare que certains des agents en question
représentent en fait par leur inhibition le plus gros danger qui soit, au
point que je préfère parfois me déplacer sur site que de faire intervenir
une personne donnée dans mon rack car je sais qu'il/elle a 50% de chances
de faire une catastrophe.

Malheureusement grâce au principe de Peter, les plus compétents sont les
premiers à critiquer les problèmes et à se faire virer, ou bien à monter
en grade et donc à ne plus faire les shift.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Stephane]

Le 20/01/14 à 10:53 (+0100), Romain GUICHARD a écrit :


Bonjour,

(...)
Par contre là où je grince des dents c'est qu'on en fait tout un plat si le
mail de demande d'accès respecte pas la demande type mais qu'à coté une
fois arrivé au poste de sécurité, une bête carte d'entreprise en plastique
(oui celle que vous badgez pour rentrer dans vos bureaux) suffit pour
justifier de son identité. De l'autre coté, certains DC refusent même le
permis de conduire comme pièce d'identité. Je me suis toujours demandé si
ils en avaient le droit...


 Bonjour,

 Concernant ce dernier point, selon l'ANTS (Ministère de l'intérieur), le 
permis de conduire serait valide comme "Pièce justificative d’identité pour les 
personnes physiques" [*].
 Dans la pratique, il est quasiment toujours refusé (à raison AMHA vu le nb de 
faux en circulation).


 [*] 
http://www.ants.interieur.gouv.fr/ants/Pieces-justificatives-d-identite.html

 Cordialement,
--
  Stéphane


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Frederic Dhieux]

Bonjour,

Forcément je partage un certain agacement sur le sujet. On prévoit
toujours 10 min à parfois 30 min dans le planning rien que pour cette
partie qui consiste à entrer sur le site.

Les raisons sont en général (ça liste tous les DC) :
- Mauvais fonctionnement des outils et non maitrise par la personne à
l'entrée
- Procédure compliquée qui pourrait être optimisée par de meilleurs
outils (souvent)
- Personne à l'entrée débordée par le travail quand il y a du monde (et
des livraisons)
- Recherche du badge de la personne dans un tiroir rempli de tas de badges
- Badge expiré annuellement sans prévenir par mail (ravi quand tu es en
urgence à 3h du mat et que le site est sans personnel youpi). A noter
que par contre en temps normal c'est le site le plus simple et rapide
puisque badge + emprunte palmaire et aucun humain
- Système rétinien qui fonctionne pas
- Personnel de sécurité en ronde et personne à l'accueil (pour le site
ou le DC)

Plutôt que de distribuer les mauvais points, je dirais aujourd'hui
qu'Iliad a le meilleur fonctionnement avec Level 3 le Capitole (sauf
l'histoire de l'expiration auto annuelle sans prévenir pour ce dernier).

Souvent je préfère d'ailleurs aller de nuit en DC, tu sais que tu peux
attendre parfois que le mec revienne de ronde ou que tu le réveilles,
mais en général une fois que tu as la personne, elle s'occupe de toi
pleinement.

Le problème je trouve, c'est que les DC font des procédures poussées
pour la sécurité (c'est bien), mais adaptent mal des outils pour
celles-ci, rendant le fonctionnement compliqué pour tout le monde et
surtout pour un personnel d'abord formé à la sécurité du batiment.

On sait aussi qu'un salaire c'est un coût et que le fait d'avoir peu de
personnel et de rassembler les fonctions n'aide pas.

De toute façon en règle générale les DC sont un vortex temporel, tu
penses passer un certain temps au départ et inexorablement quand tu sors
tu as fait un plus grand bond dans le temps que prévu :D

Frederic


Le 1/20/14 10:07 AM, Clement Cavadore a écrit :
> Bonjour,
>
> J'aimerais lançer une discussion auprès des gens habitués à accéder aux
> datacenters: Quelle est votre opinion concernant la facilité d'accès aux
> diverses salles machines que vous fréquentez ?
>
> En ce qui me concerne, j'ai eu l'occasion, depuis une grosse dizaine
> d'années, de visiter plusieurs datacenters de la place Parisienne (et
> d'ailleurs), et force est de constater que la facilité/rapidité/etc
> d'accès est très variable (pas forcément dans le bon sens), en fonction
> des procédures de sécurité en vigueur dans $datacenter, de la taille de
> celui-ci, et des interlocuteurs que l'on a en face de soi. 
>
>
> Selon que l'on soit permanent ou pas, que l'on aie un badge ou un tag
> (qu'on conserve ou non), une autorisation temporaire, et selon l'heure
> d'accès, je trouve tout de même étonnant de si fréquemment tomber à
> l'entrée sur des espèce de droïdes, qui ne savent rien faire d'autre que
> "dérouler leur procédure". Sauf que quand leur procédure est broken, on
> ne sait plus trop comment s'en sortir pour pouvoir accéder au site. 
> Qui n'a jamais eu droit au "ah, on n'a pas reçu le mail", ou "ya pas eu
> d'autorisation de faite, faut la refaire" ? Pas plus tard qu'il y a
> quelques jours, je me suis retrouvé à devoir attendre plus d'une heure
> pour entrer dans un gros datacenter Parisien,  avec ce genre d'excuses à
> l'entrée. Alors même que le mail était VRAIMENT parti (log de MX à
> l'appui), et que c'est quasi systématique dans ledit DC.
>
>
> Ma question est donc: Quel est votre retour d'expérience sur ce sujet ?
> Est-ce qu'il y a, à vos yeux, des bons et des mauvais élèves parmi les
> DC sur leurs procédures d'accès ? Trouvez vous tolérable de devoir
> attendre plus de 10 minutes pour rentrer sur un site ?
> Evidemment, j'aurais tendance à vouloir éviter de mettre trop de
> business dans les salles où l'accès (qu'il soit pour moi, ou pour mes
> clients) est SYSTEMATIQUEMENT compliqué... Mais est-ce que c'est, pour
> vous vraiment un "mal nécessaire", au nom de la sécurité ? 
> Qu'en pensent les exploitants des datacenters ?
>
>
> Merci d'avance !
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Clement Cavadore]

On Mon, 2014-01-20 at 10:53 +0100, Romain GUICHARD wrote:
> Mais en soit si je dois perdre en moyenne 10min à chaque fois pour
> assurer la sécurité du DC, so be it.

Il y a une différence entre perdre 10 minutes en moyenne, et entre 1/2h
et 1h (pour au final te rendre compte que tu avais TOUT fait dans les
règles, et que c'est juste le droide qui a décidé ne pas bosser, ou de
te faire chier)

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Les procédures d'accès aux datacenters: Une punition à chaque fois ?

[Romain GUICHARD]

Bonjour,

Attendre 10-20min à chaque fois devant le poste de sécurité pour des
raisons administratives c'est contraignant.
Mais en soit si je dois perdre en moyenne 10min à chaque fois pour assurer
la sécurité du DC, so be it.
Par contre là où je grince des dents c'est qu'on en fait tout un plat si le
mail de demande d'accès respecte pas la demande type mais qu'à coté une
fois arrivé au poste de sécurité, une bête carte d'entreprise en plastique
(oui celle que vous badgez pour rentrer dans vos bureaux) suffit pour
justifier de son identité. De l'autre coté, certains DC refusent même le
permis de conduire comme pièce d'identité. Je me suis toujours demandé si
ils en avaient le droit...

Je trouve qu'il y un fossé entre la sécurité annoncée pour ce genre de
bâtiment et le sécurité effective sur le terrain. Ajouté à ça, l'efficacité
des employés (j'aime bien l'image du droïde), j'ai parfois peur pour nos
baies...


Le 20 janvier 2014 10:07, Clement Cavadore  a écrit :

> Bonjour,
>
> J'aimerais lançer une discussion auprès des gens habitués à accéder aux
> datacenters: Quelle est votre opinion concernant la facilité d'accès aux
> diverses salles machines que vous fréquentez ?
>
> En ce qui me concerne, j'ai eu l'occasion, depuis une grosse dizaine
> d'années, de visiter plusieurs datacenters de la place Parisienne (et
> d'ailleurs), et force est de constater que la facilité/rapidité/etc
> d'accès est très variable (pas forcément dans le bon sens), en fonction
> des procédures de sécurité en vigueur dans $datacenter, de la taille de
> celui-ci, et des interlocuteurs que l'on a en face de soi.
>
>
> Selon que l'on soit permanent ou pas, que l'on aie un badge ou un tag
> (qu'on conserve ou non), une autorisation temporaire, et selon l'heure
> d'accès, je trouve tout de même étonnant de si fréquemment tomber à
> l'entrée sur des espèce de droïdes, qui ne savent rien faire d'autre que
> "dérouler leur procédure". Sauf que quand leur procédure est broken, on
> ne sait plus trop comment s'en sortir pour pouvoir accéder au site.
> Qui n'a jamais eu droit au "ah, on n'a pas reçu le mail", ou "ya pas eu
> d'autorisation de faite, faut la refaire" ? Pas plus tard qu'il y a
> quelques jours, je me suis retrouvé à devoir attendre plus d'une heure
> pour entrer dans un gros datacenter Parisien,  avec ce genre d'excuses à
> l'entrée. Alors même que le mail était VRAIMENT parti (log de MX à
> l'appui), et que c'est quasi systématique dans ledit DC.
>
>
> Ma question est donc: Quel est votre retour d'expérience sur ce sujet ?
> Est-ce qu'il y a, à vos yeux, des bons et des mauvais élèves parmi les
> DC sur leurs procédures d'accès ? Trouvez vous tolérable de devoir
> attendre plus de 10 minutes pour rentrer sur un site ?
> Evidemment, j'aurais tendance à vouloir éviter de mettre trop de
> business dans les salles où l'accès (qu'il soit pour moi, ou pour mes
> clients) est SYSTEMATIQUEMENT compliqué... Mais est-ce que c'est, pour
> vous vraiment un "mal nécessaire", au nom de la sécurité ?
> Qu'en pensent les exploitants des datacenters ?
>
>
> Merci d'avance !
>
> --
> Clément Cavadore
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
*Romain Guichard*
* | rom...@rguichard.fr Network and Security engineer*
*~ Blog  *

---
Liste de diffusion du FRnOG
http://www.frnog.org/