Utiliser un cache de site sans toucher aux navigateurs, c est possible!



Documents pareils
Sécurité des réseaux Firewalls

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Le filtrage de niveau IP

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

TP réseaux Translation d adresse, firewalls, zonage

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Sécurité et Firewall

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA.

Réalisation d un portail captif d accès authentifié à Internet

FORMATION CN01a CITRIX NETSCALER

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Configuration du matériel Cisco. Florian Duraffourg

Squid. Olivier Aubert 1/19

Installation d'un service mandataire (Proxy SQUID) 1

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Mandataires, caches et filtres

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

SECURIDAY 2012 Pro Edition

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations?

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Installation et Configuration de Squid et SquidGuard sous Debian 7

MISE EN PLACE DU FIREWALL SHOREWALL

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Réseau - VirtualBox. Sommaire

Linux sécurité des réseaux

SQUID Configuration et administration d un proxy

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Proxy SQUID sous Debian

Comment surfer tranquille au bureau

Les réseaux /24 et x0.0/29 sont considérés comme publics

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Firewall Net Integrator Vue d ensemble

Les réseaux des EPLEFPA. Guide «PfSense»

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Configurer Squid comme serveur proxy

Mise en service d un routeur cisco

GENERALITES. COURS TCP/IP Niveau 1

Spécialiste Systèmes et Réseaux

Caches web. Olivier Aubert 1/35

pfsense Manuel d Installation et d Utilisation du Logiciel

Les systèmes pare-feu (firewall)

TCP/IP, NAT/PAT et Firewall

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Proxies,, Caches & CDNs

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Les firewalls libres : netfilter, IP Filter et Packet Filter

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

LAB : Schéma. Compagnie C / /24 NETASQ

Contrôle d accès Centralisé Multi-sites

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

DIFF AVANCÉE. Samy.

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

«clustering» et «load balancing» avec Zope et ZEO

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Plan. Programmation Internet Cours 3. Organismes de standardisation

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Informations Techniques Clic & Surf V 2.62

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Présentation du modèle OSI(Open Systems Interconnection)

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

NOTIONS DE RESEAUX INFORMATIQUES

Présentation du projet national

ADF Reverse Proxy. Thierry DOSTES

Manuel d installation serveurs

Note d Application. Bascule d ALOHA via injection de route en BGP

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Clément Prudhomme, Emilie Lenel

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

PROXY SQUID-SQARD. procédure

TARMAC.BE TECHNOTE #1

avec Netfilter et GNU/Linux

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

Aperçu technique Projet «Internet à l école» (SAI)

Zabbix. Solution de supervision libre. par ALIXEN

comment paramétrer une connexion ADSL sur un modemrouteur

Chapitre 2 Rôles et fonctionnalités

Sécurité du Système d Information. Authentification centralisée et SSO

EXCELIANCE ZAC des Metz 3 Rue du petit robinson Jouy en Josas Tél: Fax: sales@exceliance.

BTS Services informatiques aux organisations Session E4 Conception et maintenance de solutions informatiques Coefficient 4

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Serveur Mandataire SQUID

Transcription:

Utiliser un cache de site sans toucher aux navigateurs, c est possible! C. Claveleira Cellule technique du CRU claveleira@cru.fr

Introduction Mettre en service un cache web, c est bien, l utiliser c est mieux! Problème de la configuration des navigateurs Solutions - manuelle : désignation explicite du ou des caches - semi-automatique : utilisation de fichier.pac préparé par l administrateur - par l utilisateur : nécessite sa collaboration - par l administrateur : plus sûr, plus de travail - risque de déconfiguration - couper le port HTTP en sortie du site -> plus de choix pour les utilisateurs - intercepter le trafic HTTP et le traiter par un proxy-cache : proxy transparent Introduction CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 2 / 15

Principe de l interception de trafic mettre sur le trajet du trafic réseau un équipement qui va détourner le trafic HTTP vers un proxy-cache cache HTTP Réseau du site Principe de l interception de trafic CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 3 / 15

ce peut être le cache lui-même : cache proxy routage Réseau du site - la machine cache route le trafic non-http vers l extérieur - elle intercepte et traite le trafic HTTP Principe de l interception de trafic CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 4 / 15

ce peut être un routeur : routeur cache HTTP Réseau du site - utilisation du policy-routing : décision de routage sur critères autres que l adresse de destination Principe de l interception de trafic CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 5 / 15

ou un "L4-switch" : routeur L4Switch cache HTTP Réseau du site - un switch travaillant au niveau 4 (ports TCP) oriente le trafic HTTP vers le proxy-cache le proxy-cache doit accepter ce trafic qui ne lui est pas destiné. La plupart des produits le permettent (Squid, NetCache,...) Principe de l interception de trafic CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 6 / 15

Proxy-cache intercepteur le proxy-cache joue également le rôle de routeur possible avec Linux +ipfwadm ou ipchains, *BSD et Solaris + ipfilter (ipnat) Exemple avec Linux : - générer un noyau avec CONFIG_FIREWALL=y CONFIG_INET=y CONFIG_IP_FORWARD=y CONFIG_IP_FIREWALL=y CONFIG_IP_TRANSPARENT_PROXY=y CONFIG_IP_ALWAYS_DEFRAG=Y - commandes ipfwadm (à exécuter au boot) : # this_host est l'adresse du proxy # prévention des boucles : ipfwadm -I -a accept -W lo ipfwadm -I -a accept -S this_host ipfwadm -I -a accept -D this_host # redirection proprement dite : ipfwadm -I -a accept -P tcp -D 0/0 80 -r 3128 Proxy-cache intercepteur CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 7 / 15

modifications de configuration pour squid 2 : http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on intéressant pour un petit site, un labo,... Proxy-cache intercepteur CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 8 / 15

Routeur-détourneur utilisation du policy-routing Cisco possible avec IOS 11.x problème de performance jusqu en 11.2, fast-switché à partir de 11.3 exemple de configuration : interface Ethernet1 ip address 195.220.94.44 255.255.255.224 ip policy route-map proxy-redir! access-list 110 deny tcp host 195.220.94.33 any eq www! pour éviter bouclage access-list 110 permit tcp any any eq www! restreindre éventuellement les adresses source route-map proxy-redir permit 10 match ip address 110 set ip next-hop 195.220.94.33! le next hop est le proxy Routeur-détourneur CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 9 / 15

à surveiller : avantages - charge du routeur - fonctionnement du proxy-cache : nécessite une surveillance externe pour reconfigurer le routeur en cas de panne - pas besoin d équipement supplémentaire si routeur de site Cisco - possibilité de répartition du trafic sur plusieurs caches solution propriétaire : WCCP Cisco - bonne intégration routeur-cache - backup automatique - maintenant licencié à d autres constructeurs solution orientée moyenne à grosse configuration le routeur peut aussi être une machine Linux, *BSD ou Solaris Routeur-détourneur CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 10 / 15

L4 switch avantages - switch => hautes performances - partage de charge entre plusieurs caches - surveillance et backup automatique en cas de panne d un cache routeur cache cache cache L4Switch Réseau du site L4 switch CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 11 / 15

inconvénient - un élément de plus à traverser -> critique mais possibilité de redondance exemples de switches L4 : - Alteon : AceSwitch (jusqu à un Gb/s) - Foundry Networks : ServerIron (jusqu à un Gb/s) - Arrow Point : L7 switch (examen des urls) orienté grosse à très grosse configuration L4 switch CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 12 / 15

Restrictions, effets de bord FTP non traité (ni Gopher, Wais,...) pages "inattendues" affichées à l utilisateur en cas d erreurs attention - à la stabilité de route entre les clients et le (ou les) cache(s) - aux sites faisant du contrôle d accès sur adresse IP -> nécessité de gérer des listes d exceptions + de requêtes DNS faites par les navigateurs -> légers délais supplémentaires par rapport a proxy désigné dans la configuration du navigateur pas de connexions persistantes entre navigateurs et proxy transparent aléas de reload? Restrictions, effets de bord CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 13 / 15

Conclusion le proxy transparent permet de s affranchir des problèmes de configuration de navigateurs plusieurs façons de le mettre en oeuvre dont certaines très peu coûteuses demande quelques précautions : backup en cas de panne, listes d exceptions recommandations pour un site : inciter néanmoins les utilisateurs à configurer leurs navigateurs pour éviter les quelques effets de bord du proxy transparent et traiter ainsi au moins une partie de FTP Conclusion CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 14 / 15

Références la FAQ de Squid : http://squid.nlanr.net/squid/faq/faq.html la page du CRU : http://www.cru.fr/renater-cache/transparent_proxy_how_to.html Network Appliance : http://www.netapp.com/technology/level3/3033.html Cisco WCCP : http://www-search.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/wccp.htm Références CRU-CT/CC (30-05-99) Utiliser un cache de site sans toucher aux navigateurs, c est possible! Cache-show-31/5/99-Paris- 15 / 15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back