Académique Documents
Professionnel Documents
Culture Documents
Définition
Un serveur proxy, appelé également serveur mandataire en français, est une machine
faisant l’intermédiaire entre un réseau local (LAN) et internet. Généralement utilisé pour
relayer les requêtes HTTP, il peut aussi servir à d’autres protocoles tels que FTP, SOCKS,
Gopher, streaming, etc.
Connexion directe
A quoi ça sert ?
Un serveur proxy est un relais entre un réseau privé et internet. La RFC 1918 stipule quelles
plages d’adresses IP doivent être utilisées dans un réseau privé. Ces adresses n’étant pas
routables sur Internet, il fallait utiliser un “relais” entre le LAN et la toile. C’était le but du
proxy. Désormais, avec la généralisation de TCP/IP dans les réseaux locaux, le rôle de relais
est assuré directement par les passerelles et les routeurs (NAT). Cependant, les serveurs
proxy ont d’autres utilités.
Proxy Cache
La plupart des proxys assurent une fonction de cache, c’est-à-dire qu’ils gardent en mémoire
les pages et documents visités précédemment afin de les redistribuer plus rapidement lors
de requêtes postérieures. L’effet direct est une nette diminution de l’utilisation de la bande
passante vers internet, et un accès plus rapide aux pages les plus visitées. A chaque requête,
le Proxy va vérifier s’il a déjà la page en cache. Si oui, il renvoie la page qu’il à en mémoire,
sinon il fait une requête normale sur Internet.
Afin de garder à jour la liste des pages en cache, le proxy va régulièrement comparer les
versions des données qu’il a en mémoire avec les données originale sur Internet. Certaines
informations ne doivent pas être cachées. (Ajout d’une META en entête de page, pages
générées par un certains scripts, pages authentifiées etc.). Dans ce cas, le proxy relaiera
directement les données depuis internet.
Filtrage
Une autre fonctionnalité des proxys est celle de filtrage, ou de contrôle de contenu, pour
des raisons de sécurité, voir d’éthique. Le proxy examine les requêtes émises, et les traite
suivant des règles prédéfinies (ACL - Acces Control Lists) :
▪ Il est ainsi possible d’interdire l’accès à des sites “dangereux” (vérolés, les sites de
hack et crack souvent nids à virus …), à des sites pornographiques, interdire certains
types de fichiers (.avi, .mp3, .exe, .msi etc.).
▪ Le serveur proxy peut également être utilisé pour définir des droits différents pour
chaque client, les heures autorisées, les sites accessibles etc.
▪ Il est possible de substituer du contenu “à la volée”. Les pages WEB sont analysées
et modifiées avant d’être envoyées au client. Par exemple, supprimer les pubs,
remplacer les images par un logo, censurer certaines informations.
Journalisation
Tout bon serveur proxy génère des fichiers de journalisation (log en anglais). On y trouve les
traces de toutes les requêtes effectuées par tous les clients. Ces fichiers contiennent au
minimum les informations suivantes :
▪ Date et heure
▪ Identité du client (Adresse IP, Nom, etc.)
▪ L’URL demandée
▪ Le résultat de la requête (Succès, timeout, codes d’erreur, etc.)
L’exploitation de ces logs permet à l’administrateur de contrôler l’utilisation faire pas ses
clients, de redéfinir la politique de sécurité du réseau, de redimensionner sa bande passante
ou encore d’intervenir auprès d’un utilisateur qui visite des sites malveillants ou sans
rapport avec son activité.
Authentification
Il est possible d’imposer une authentification des utilisateurs avant de leur ouvrir l’accès au
réseau extérieur afin de :
▪ Les utilisateurs possèdent un compte (non privilégié) sur chacune des machines du
réseau excepté sur la passerelle 193.172.53.1.
▪ L'administrateur installe un proxy HTTP sur l'une de ces machines (193.172.53.7) afin
d'optimiser et de contrôler les accès aux sites web externes.
▪ Les navigateurs des utilisateurs sont paramétrés par défaut pour utiliser ce proxy.
▪ On suppose que l'adresse du serveur web est 10.0.0.2 et que les proxy SMTP, HTTP et
DNS possèdent respectivement les adresses 192.168.10.25, 192.168.10.80, et
192.168.10.53.
▪ Les trois proxys sont utilisés en mode direct (donc vers Internet) et inverse (donc
depuis Internet).
▪ On désigne par dmz.proxy toutes les adresses de la zone des proxys et par dmz.web
toutes les adresses de la zone du serveur web
1. Ecrire les règles de filtrage pour le pare-feu interne avec mémoire (PF2)
2. Ecrire les règles de filtrage pour le pare-feu externe avec mémoire (PF1)