Notion de Proxy

Définition

Un serveur proxy, appelé également serveur mandataire en français, est une machine
faisant l’intermédiaire entre un réseau local (LAN) et internet. Généralement utilisé pour
relayer les requêtes HTTP, il peut aussi servir à d’autres protocoles tels que FTP, SOCKS,
Gopher, streaming, etc.

Connexion directe

Connexion à travers un proxy WEB

A quoi ça sert ?

Un serveur proxy est un relais entre un réseau privé et internet. La RFC 1918 stipule quelles
plages d’adresses IP doivent être utilisées dans un réseau privé. Ces adresses n’étant pas
routables sur Internet, il fallait utiliser un “relais” entre le LAN et la toile. C’était le but du
proxy. Désormais, avec la généralisation de TCP/IP dans les réseaux locaux, le rôle de relais
est assuré directement par les passerelles et les routeurs (NAT). Cependant, les serveurs
proxy ont d’autres utilités.
Proxy Cache

La plupart des proxys assurent une fonction de cache, c’est-à-dire qu’ils gardent en mémoire
les pages et documents visités précédemment afin de les redistribuer plus rapidement lors
de requêtes postérieures. L’effet direct est une nette diminution de l’utilisation de la bande
passante vers internet, et un accès plus rapide aux pages les plus visitées. A chaque requête,
le Proxy va vérifier s’il a déjà la page en cache. Si oui, il renvoie la page qu’il à en mémoire,
sinon il fait une requête normale sur Internet.

Afin de garder à jour la liste des pages en cache, le proxy va régulièrement comparer les
versions des données qu’il a en mémoire avec les données originale sur Internet. Certaines
informations ne doivent pas être cachées. (Ajout d’une META en entête de page, pages
générées par un certains scripts, pages authentifiées etc.). Dans ce cas, le proxy relaiera
directement les données depuis internet.

Filtrage

Une autre fonctionnalité des proxys est celle de filtrage, ou de contrôle de contenu, pour
des raisons de sécurité, voir d’éthique. Le proxy examine les requêtes émises, et les traite
suivant des règles prédéfinies (ACL - Acces Control Lists) :

▪ Il est ainsi possible d’interdire l’accès à des sites “dangereux” (vérolés, les sites de
hack et crack souvent nids à virus …), à des sites pornographiques, interdire certains
types de fichiers (.avi, .mp3, .exe, .msi etc.).

▪ Le serveur proxy peut également être utilisé pour définir des droits différents pour
chaque client, les heures autorisées, les sites accessibles etc.

▪ Il est possible de substituer du contenu “à la volée”. Les pages WEB sont analysées
et modifiées avant d’être envoyées au client. Par exemple, supprimer les pubs,
remplacer les images par un logo, censurer certaines informations.
Journalisation

Tout bon serveur proxy génère des fichiers de journalisation (log en anglais). On y trouve les
traces de toutes les requêtes effectuées par tous les clients. Ces fichiers contiennent au
minimum les informations suivantes :

▪ Date et heure
▪ Identité du client (Adresse IP, Nom, etc.)
▪ L’URL demandée
▪ Le résultat de la requête (Succès, timeout, codes d’erreur, etc.)

L’exploitation de ces logs permet à l’administrateur de contrôler l’utilisation faire pas ses
clients, de redéfinir la politique de sécurité du réseau, de redimensionner sa bande passante
ou encore d’intervenir auprès d’un utilisateur qui visite des sites malveillants ou sans
rapport avec son activité.

Authentification

Il est possible d’imposer une authentification des utilisateurs avant de leur ouvrir l’accès au
réseau extérieur afin de :

▪ renforcer la sécurité en limitant l’accès aux seules personnes autorisées

▪ journaliser plus finement l’activité internet de chaque personne (comprendre :
surveiller l’utilisateur)
▪ dissuader l’utilisateur de visiter des sites “douteux”.
▪ sécuriser les accès au WIFI.
Exercice 1

On considère le réseau local 193.172.53.0 représenté sur la figure suivante :

▪ Les utilisateurs possèdent un compte (non privilégié) sur chacune des machines du
réseau excepté sur la passerelle 193.172.53.1.

▪ L'administrateur installe un proxy HTTP sur l'une de ces machines (193.172.53.7) afin
d'optimiser et de contrôler les accès aux sites web externes.

▪ Les navigateurs des utilisateurs sont paramétrés par défaut pour utiliser ce proxy.

1. Comment les utilisateurs peuvent-ils simplement contourner le proxy ?

▪ Afin de renforcer sa politique de sécurité, l'administrateur décide d'installer un pare-

feu à mémoire au niveau de la passerelle. Il le configure de telle sorte à ce que seule
la machine 193.172.53.7 puisse accéder à Internet, pour n'effectuer que des requêtes
HTTP ou DNS.

2. Ecrire la table de filtrage du pare-feu.

3. Proposer une méthode qui permette aux utilisateurs de naviguer sur le Web sans
utiliser le proxy.
Exercice 2
On considère l'architecture décrite dans la figure suivante :

▪ On suppose que l'adresse du serveur web est 10.0.0.2 et que les proxy SMTP, HTTP et
DNS possèdent respectivement les adresses 192.168.10.25, 192.168.10.80, et
192.168.10.53.

▪ Les trois proxys sont utilisés en mode direct (donc vers Internet) et inverse (donc
depuis Internet).

▪ Le serveur web doit aussi être accessible depuis le réseau interne.

▪ On désigne par dmz.proxy toutes les adresses de la zone des proxys et par dmz.web
toutes les adresses de la zone du serveur web

1. Ecrire les règles de filtrage pour le pare-feu interne avec mémoire (PF2)
2. Ecrire les règles de filtrage pour le pare-feu externe avec mémoire (PF1)