Fiche synthétique PROXY / REVERSE PROXY Un Proxy est un serveur mandataire (quelqu un à qui on délègue une tâche), (passerelle entre le réseau intérieur et l extérieur -Proxy http : relayer les demandes relatives au http par un serveur mandataire proxy -Proxy https : relayer les demandes relatives au https par un serveur mandataire proxy -Proxy socks (3, 5 ) : Tous les protocoles passent par le proxy Rappel : Cryptage symétrique : même clé publique de chaque coté Cryptage asymétrique : une clé publique et une clé privée Connexion symétrique : même débit en download que en upload (flux entrant/flux sortant)(descendant/montant) Connexion asymétrique : pas le même débit en download qu en upload Le proxy peut être transparent (juste pour du http cela signifie que l on intercepte les flux à destination d un port 80 et que l on les redirige vers le proxy automatiquement- plus besoin de paramétrer les navigateurs) Les 2 modes de configuration : -soit on renseigne l @ du proxy dans les navigateurs -soit on met le proxy en mode transparent (généralement sur la passerelle de sortie du réseau en réalisant un hook -> crochet) des connexions à destinations du web vers le proxy local Les fonctionnalités du proxy : -fonction de cache web -filtrage de contenu web -intégration d un système de blacklists (blackhole lists dites BL) -système de journalisation (obligation légal de stocker tous accès, tentatives d accès au web et cela pendant 366 jours), (cela implique une rotation des logs, incrémentation et gestion d un serveur de centralisation d événement (Syslog NG) ) Principe du proxy :
-gestion, configuration via des ACLs (Access Control Lists) Il existe différents types d ACL : - acl mon réseaux IP : acl <nom_de_acl> <type_acl> <attributs> Ex : acl mon_rx_ip src 192.168.1.0/24 cela équivant à écrire acl mon_rx_ip src «usr/local/acl-rx.ip» Les droits NTFS Windows sont vu comme des ACL. -acl dst -acl dst domain :.facebook.com -acl url-regex : Un faux positif: est un élément qu on a cru intercepté et que l on a bloqué or l on aurait pas du Ex : je bloque «jeu» il me sera impossible d aller sur «lejeudi.com» -acl arp : Il est plus juste de bloquer des @ MAC que les @ IP -acl time : Définir des plages horaires d accès -acl maxconn : Limiter le nombre de connexions par @ IP -acl max user ip: Limiter le nombre de connexions pour un utilisateur spécifique en fonction de son @ IP Tous les types d ACL http://wiki.squid-cache.org/squidfaq/squidacl L ordonnancement des ACL : comment elles se lisent? Lecture séquentielle du plus permissif au plus restrictif Ex : acl A src 192.168.2.0/24 acl ma-pomme src 192.168.2.5/32 acl ma-poire src 192.168.2.6/32
acl blokdomain dstdomain facebook.com acl regexblok url-regex jeu http_access allow ma-pomme ma-poire -> (ma-pomme, ma-poire ont tous les accès) http_access deny blokdomain http_access deny regexblok http_access allow A http_access deny all Attention: http_acces allow!blokdomain! -> signifie tout domaines qui n est pas bloqué (inverse,négation) Authentification: -en interne -AD /LDAP -RADIUS Gestion des catégories de sites : Cela se fait par des systèmes tels SQUIDGUARD On peut télécharger la listes des sites blacklistés, cette liste est régulièrement mise à jour par des organismes (universités) SQUIDGUARD : Dbhome /usr/local/squidguard/db -> répertoire par défaut Src admin { Ip 192.168.2.5/32 Src labo { Ip 192.168.2.0/24 Dest webmail { Domain webmail/domain
Urllist webmail/urllist Acl { Admin { pass all Labo { pass!webmail all -> autorise tout au labo sauf le webmail Default { pass none redirect http://google.fr LOGS Squid: -heure ->format UTC seconds écoulées depuis le 1 er janvier 1970 ->norme posix format TimesTamp (année mois jour heure minutes secondes) Pour répondre à l obligation légale de stocker toutes les tentatives d accès vers l extérieur de notre réseau il faut créer un fichier de log par jour. Pour se faire utiliser logrotate et crontab sur 366 fichiers. -> REVERSE PROXY C est un proxy inversé, il sert de passerelle entre le réseau extérieur et intérieur Contrôler l accès d une ressource de l entreprise, protéger son réseau interne. Permet des authentifications par mot de passe ou par certificats Réalise du cache Permet à des clients externes d accéder au service interne Permet de faire du Loadbalancing (répartition de charges) Tunnel crypté entre le navigateur WEB et le serveur WEB (VPN SSL)