Proxy pour la securite ?

Le
smu
Bonjour,

Je m'informe sur la sécurité des réseaux. Et là, je me pose une question
: qu'apporte un proxy au niveau de la sécurité d'un réseau ?

Si cela apporte un point positif à la sécurité, quels sont les
inconvénients ?

D'avance merci

smu

  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Vincent Bernat
Le #714604
OoO En cette matinée pluvieuse du samedi 12 mars 2005, vers 10:44, smu

Je m'informe sur la sécurité des réseaux. Et là, je me pose une question
: qu'apporte un proxy au niveau de la sécurité d'un réseau ?

Si cela apporte un point positif à la sécurité, quels sont les
inconvénients ?


Les inconvénients sont pour les utilisateurs : obligation de
configurer chaque logiciel pour passer par ce proxy. Il existe
toutefois des façons d'automatiser cette configuration : proxy
transparent ou utilisation de wpad.
--
/* Identify the flock of penguins. */
2.2.16 /usr/src/linux/arch/alpha/kernel/setup.c

Cedric Blancher
Le #714400
Le Sat, 12 Mar 2005 12:32:49 +0000, Xavier a écrit :
Un proxy par lui-même n'apporte rien. Il permet seulement de fermer tous
les ports sortants, et d'obliger les utilisateurs à passer par lui, seul
autorisé à sortir.


Il ne permet pas entre autres :

. d'ajouter des authentifications
. de vérifier la cohérence applicative (genre SSH à travers TCP/80)
. de mettre en place des fonctions de sanitizing
. de mettre en place de l'inspection de contenu (antivirus)
. etc.

Bref, de faire pleins de choses qu'un simple filtre de paquets ne fera pas
parce qu'il n'a pas la vision du protocole applicatif utilisé, mais que
le proxy peut faire.


--
BOFH excuse #382:

Someone was smoking in the computer room and set off the halon systems.

Patrick 'Zener' Brunet
Le #714165
Bonjour.

"smu" 4232b663$0$21505$
Bonjour,

Je m'informe sur la sécurité des réseaux. Et là, je me pose une question
: qu'apporte un proxy au niveau de la sécurité d'un réseau ?

Si cela apporte un point positif à la sécurité, quels sont les
inconvénients ?



J'ai un PC proxy sur mon réseau. Voilà pourquoi :

Côté inconvénients, ça veut dire que chaque machine devant accéder à
Internet doit être configurée pour ne pas le faire directement, mais à
travers les services du proxy.
=> De toute manière elle aurait dû être configurée, donc c'est un travail
équivalent (plus lourd seulement si on change la config d'un réseau
existant).
=> C'est parfois complexe avec des softs qui ne sont pas conçus pour ça, et
selon lesquels la machine doit être reliée directement à Internet avec tous
les ports grands ouverts :-@ Ces softs-là je les jette.

La plus grosse dificulté a été de trouver un logiciel de proxy qui
fonctionne vraiment, comme un service NT, et qui offre tous les services
voulus. J'en ai trouvé un, il s'appelle FreeProxy (celui de
HandCraftedSoftware).

Côté sécurité, le proxy n'apporte rien en lui-même, si ce n'est son rôle
centralisateur. Après, c'est à vous d'exploiter cet avantage.
=> Accessoirement, le proxy offre un service de Dial-on-Demand (même avec
ADSL), qui peut être paramétré pour contrôler les accès.
=> Les relais POP peuvent être cascadés pour introduire par exemple un relai
APOP pour Free.fr, et aussi un filtrage SpamPal.
=> Vous pouvez localiser sur le PC proxy les filtres de mails anti-virus,
les filtres HTML anti-saloperies, etc.
=> Mon PC proxy a deux cartes réseau, et côté extérieur il n'y a pas de
NetBIOS (bavard), ce qui est utile quend vous utilisez un firewall matériel
qui se comporte comme une simple diode.
=> Côté intérieur, les autres machines sont dotées de firewalls logiciels
légers qui sont paramétrés pour une certaine méfiance à l'égard du PC proxy,
qui n'est pas supposé leur parler de sa propre initiative, hors NetBIOS.
=> Le PC proxy est par principe léger et non-évolutif, donc il est plus
facile de le surveiller, de le scanner très fréquemment, et au besoin de le
reconstruire à neuf à partir d'une image disque.
=> Le PC proxy ne contient aucune donnée sensible. Il constitue donc en
dernier recours une sorte de fusible interne pour le réseau.

Mon PC proxy est un petit DELL desktop à base de P2 400, de telles machines
sont en donation. Ca vaut le coup.

Hope It Helps,
Cordialement,

--

/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Stephane Catteau
Le #713257
smu nous disait récement dans fr.comp.securite

Si cela apporte un point positif à la sécurité, quels sont les
inconvénients ?


En plus des autres réponses, je rajouterais un inconvénient indirect
qui est une évidence mais qu'il faut quand même citer amha. Si
quelqu'un réussi à mettre la main sur ton proxy, et donc à en changer
un brin la configuration, il peut alors s'en servir comme relais pour
d'autres attaques. Il est donc impératif de choisir un proxy dont l'on
peut facilement vérifier la configuration, ou tout du moins la liste
des adresses IP autorisées ou bien, cas le plus fréquent, s'il interdit
bien toutes connexions étrangères au LAN. Et, bien entendu, vérifier
cette configuration au moins une fois par jour.


--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos

Eric Lalitte
Le #718546
"smu" news:4232b663$0$21505$
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question
: qu'apporte un proxy au niveau de la sécurité d'un réseau ?


Pour répondre assez simplement, le proxy est un mandataire applicatif,
il te permettra donc de sécuriser ta couche applicative, ce qu'aucun
autre
outil te permettra.
Par exemple, pour du flux http, c'est le seul outil te permettant de
filtrer selon les URLs.

Après, il y a une foultitude de possibilités selon les outils et les
protocoles, mais c'est en gros le principe.


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Publicité
Poster une réponse
Anonyme