Protgez vos utilisateurs distants contre les malware et les menaces -> Capitalisez sur le service de type cloudBlue

Coat WebPulse, service de surveillance communautaire bas sur une vaste base mondiale dappliances Blue Coat et sur leurs utilisateurs, afin de dtecter les menaces au sein des sites les plus connus ou non rpertoris, ce qui se traduit par un Second niveau de protection sajoutant au logiciel antivirus install sur le PC.

Proxy

Un serveur proxy (traduction franaise de proxy server, appel aussi serveur mandataire) est l'origine une machine faisant fonction d'intermdiaire entre les ordinateurs d'un rseau local (utilisant parfois des protocoles autres que le protocole TCP/IP) et internet.

La plupart du temps le serveur proxy est utilis pour le web, il s'agit alors d'un proxy HTTP. Toutefois il peut exister des serveurs proxy pour chaque protocole applicatif (FTP, ...).

Le principe de fonctionnement d'un proxy

Le principe de fonctionnement basique d'un serveur proxy est assez simple : il s'agit d'un serveur "mandat" par une application pour effectuer une requte sur Internet sa place. Ainsi, lorsqu'un utilisateur se connecte internet l'aide d'une application cliente configure pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui donner sa requte. Le serveur proxy va alors se connecter au serveur que l'application cliente cherche joindre et lui transmettre la requte.

Le serveur va ensuite donner sa rponse au proxy, qui va son tour la transmettre l'application cliente.

Les fonctionnalits d'un serveur proxy

Dsormais, avec l'utilisation de TCP/IP au sein des rseaux locaux, le rle de relais du serveur proxy est directement assur par les passerelles et les routeurs. Pour autant, les serveurs proxy sont toujours d'actualit grce un certain nombre d'autres fonctionnalits.

La fonction de cache
La plupart des proxys assurent ainsi une fonction de cache (en anglais caching), c'est--dire la capacit garder en mmoire (en "cache") les pages les plus souvent visites par les utilisateurs du rseau local afin de pouvoir les leur fournir le plus rapidement possible. En effet, en informatique, le terme de "cache" dsigne un espace de stockage temporaire de donnes (le terme de "tampon" est galement parfois utilis).

Un serveur proxy ayant la possibilit de cacher (nologisme signifiant "mettre en mmoire cache") les informations est gnralement appel "serveur proxy-cache".

Cette fonctionnalit implmente dans certains serveurs proxy permet d'une part de rduire l'utilisation de la bande passante vers internet ainsi que de rduire le temps d'accs aux documents pour les utilisateurs.

Toutefois, pour mener bien cette mission, il est ncessaire que le proxy compare rgulirement les donnes qu'il stocke en mmoire cache avec les donnes distantes afin de s'assurer que les donnes en cache sont toujours valides.

Le filtrage
D'autre part, grce l'utilisation d'un proxy, il est possible d'assurer un suivi des connexions (en anglais logging ou tracking) via la constitution de journaux d'activit (logs) en enregistrant systmatiquement les requtes des utilisateurs lors de leurs demandes de connexion Internet.

Il est ainsi possible de filtrer les connexions internet en analysant d'une part les requtes des clients, d'autre part les rponses des serveurs. Lorsque le filtrage est ralis en comparant la requte du client une liste de requtes autorises, on parle de liste blanche, lorsqu'il s'agit d'une liste de sites interdits on parle de liste noire. Enfin l'analyse des rponses des serveurs conformment une liste de critres (mots-cls, ...) est appel filtrage de contenu.

L'authentification
Dans la mesure o le proxy est l'intermdiaire indispensable des utilisateurs du rseau interne pour accder des ressources externes, il est parfois possible de l'utiliser pour authentifier les utilisateurs, c'est--dire de leur demander de s'identifier l'aide d'un nom d'utilisateur et d'un mot de passe par exemple. Il est ainsi ais de donner l'accs aux ressources externes aux seules personnes autorises le faire et de pouvoir enregistrer dans les fichiers journaux des accs identifis.

Ce type de mcanisme lorsqu'il est mis en oeuvre pose bien videmment de nombreux problmes relatifs aux liberts individuelles et aux droits des personnes...

Les reverse-proxy
On appelle reverse-proxy (en franais le terme de relais inverse est parfois employ) un serveur proxy-cache "mont l'envers", c'est--dire un serveur proxy permettant non pas aux

utilisateurs d'accder au rseau internet, mais aux utilisateurs d'internet d'accder indirectement certains serveurs internes.

Le reverse-proxy sert ainsi de relais pour les utilisateurs d'internet souhaitant accder un site web interne en lui transmettant indirectement les requtes. Grce au reverse-proxy, le serveur web est protg des attaques directes de l'extrieur, ce qui renforce la scurit du rseau interne. D'autre part, la fonction de cache du reverse-proxy peut permettre de soulager la charge du serveur pour lequel il est prvu, c'est la raison pour laquelle un tel serveur est parfois appel acclrateur (server accelerator).

Enfin, grce des algorithmes perfectionns, le reverse-proxy peut servir rpartir la charge en redirigeant les requtes vers diffrents serveurs quivalents;

on parle alors de rpartition de charge (en anglais load balancing).

Mise en place d'un serveur proxy

Le proxy le plus rpandu est sans nul doute Squid, un logiciel libre disponible sur de nombreuses plates-formes dont Windows et Linux.

Sous Windows il existe plusieurs logiciels permettant de raliser un serveur proxy moindre cot pour son rseau local :

Wingate est la solution la plus courante (mais non gratuite) la configuration d'un proxy avec Jana server devient de plus en plus courante Windows 2000 intgre Microsoft Proxy Server (MSP), complt par Microsoft Proxy Client, permettant de raliser cette opration

La conception de rseau inclut dautres lments cl tels que loptimisation de lutilisation de la bande passante, la prise en charge de la scurit et des performances rseau. Pour optimiser la bande passante sur un rseau dentreprise, ce rseau doit tre organis de telle sorte que le trafic reste localis et ne se propage pas vers des parties superflues du rseau. Lutilisation dun modle de conception hirarchique trois couches permet dorganiser le rseau. Ce modle rpartit les fonctionnalits du rseau sur trois couches distinctes : la couche daccs, la couche distribution et la couche cur de rseau. Chaque couche est conue pour remplir des fonctions spcifiques. La couche daccs fournit une connectivit pour les utilisateurs. La couche distribution est utilise pour transfrer du trafic entre plusieurs rseaux locaux. Enfin, la couche cur de rseau reprsente une couche de rseau fdrateur haut dbit entre des rseaux disperss. Le trafic utilisateur est initi au niveau de la couche daccs et circule par les autres couches, si les fonctionnalits de ces couches sont requises. Mme si le modle hirarchique comporte trois couches, certains rseaux dentreprise utilisent les services de la couche cur de rseau propose par un FAI afin de rduire leurs cots. Un rseau dentreprise conu de manire efficace prsente des modles de flux de trafic prcis et prvisibles. Dans certains cas, le trafic reste sur la partie de rseau local de lentreprise et dans dautres cas, il transite via les liaisons de rseau tendu. Au moment de dfinir la conception du rseau, il est important de prendre en compte la quantit de trafic destin un emplacement spcifique et lorigine la plus frquente de ce trafic. Par exemple, le trafic qui reste gnralement au niveau local pour les utilisateurs du rseau inclut : Partage de fichiers ; Impression ; Sauvegarde interne et mise en miroir ;

 Voix au sein des campus.

Les types de trafic habituellement prsents sur le rseau local, mais galement transitant via le rseau tendu sont les suivants : Mises jour systme ; Courriel dentreprise ; Traitement de transactions. Outre le trafic de rseau tendu, le trafic externe est un trafic provenant de ou destin Internet. Le trafic de rseau priv virtuel et Internet est considr comme un flux de trafic externe. Le contrle du flux de trafic sur un rseau permet doptimiser la bande passante et introduit un niveau de scurit grce la surveillance. Cest uniquement sil connat les modles et flux de trafic que ladministrateur rseau pourra prvoir les types et la quantit de trafic escompts. Lorsque du trafic est dtect dans une zone inhabituelle du rseau, il est possible de filtrer ce trafic et den identifier la source.