Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Vincent Bernat
OoO En cette matinée pluvieuse du samedi 12 mars 2005, vers 10:44, smu disait:
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question : qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Si cela apporte un point positif à la sécurité, quels sont les inconvénients ?
Les inconvénients sont pour les utilisateurs : obligation de configurer chaque logiciel pour passer par ce proxy. Il existe toutefois des façons d'automatiser cette configuration : proxy transparent ou utilisation de wpad. -- /* Identify the flock of penguins. */ 2.2.16 /usr/src/linux/arch/alpha/kernel/setup.c
OoO En cette matinée pluvieuse du samedi 12 mars 2005, vers 10:44, smu
<pas@d.adresse> disait:
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question
: qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Si cela apporte un point positif à la sécurité, quels sont les
inconvénients ?
Les inconvénients sont pour les utilisateurs : obligation de
configurer chaque logiciel pour passer par ce proxy. Il existe
toutefois des façons d'automatiser cette configuration : proxy
transparent ou utilisation de wpad.
--
/* Identify the flock of penguins. */
2.2.16 /usr/src/linux/arch/alpha/kernel/setup.c
OoO En cette matinée pluvieuse du samedi 12 mars 2005, vers 10:44, smu disait:
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question : qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Si cela apporte un point positif à la sécurité, quels sont les inconvénients ?
Les inconvénients sont pour les utilisateurs : obligation de configurer chaque logiciel pour passer par ce proxy. Il existe toutefois des façons d'automatiser cette configuration : proxy transparent ou utilisation de wpad. -- /* Identify the flock of penguins. */ 2.2.16 /usr/src/linux/arch/alpha/kernel/setup.c
Cedric Blancher
Le Sat, 12 Mar 2005 12:32:49 +0000, Xavier a écrit :
Un proxy par lui-même n'apporte rien. Il permet seulement de fermer tous les ports sortants, et d'obliger les utilisateurs à passer par lui, seul autorisé à sortir.
Il ne permet pas entre autres :
. d'ajouter des authentifications . de vérifier la cohérence applicative (genre SSH à travers TCP/80) . de mettre en place des fonctions de sanitizing . de mettre en place de l'inspection de contenu (antivirus) . etc.
Bref, de faire pleins de choses qu'un simple filtre de paquets ne fera pas parce qu'il n'a pas la vision du protocole applicatif utilisé, mais que le proxy peut faire.
-- BOFH excuse #382:
Someone was smoking in the computer room and set off the halon systems.
Le Sat, 12 Mar 2005 12:32:49 +0000, Xavier a écrit :
Un proxy par lui-même n'apporte rien. Il permet seulement de fermer tous
les ports sortants, et d'obliger les utilisateurs à passer par lui, seul
autorisé à sortir.
Il ne permet pas entre autres :
. d'ajouter des authentifications
. de vérifier la cohérence applicative (genre SSH à travers TCP/80)
. de mettre en place des fonctions de sanitizing
. de mettre en place de l'inspection de contenu (antivirus)
. etc.
Bref, de faire pleins de choses qu'un simple filtre de paquets ne fera pas
parce qu'il n'a pas la vision du protocole applicatif utilisé, mais que
le proxy peut faire.
--
BOFH excuse #382:
Someone was smoking in the computer room and set off the halon systems.
Le Sat, 12 Mar 2005 12:32:49 +0000, Xavier a écrit :
Un proxy par lui-même n'apporte rien. Il permet seulement de fermer tous les ports sortants, et d'obliger les utilisateurs à passer par lui, seul autorisé à sortir.
Il ne permet pas entre autres :
. d'ajouter des authentifications . de vérifier la cohérence applicative (genre SSH à travers TCP/80) . de mettre en place des fonctions de sanitizing . de mettre en place de l'inspection de contenu (antivirus) . etc.
Bref, de faire pleins de choses qu'un simple filtre de paquets ne fera pas parce qu'il n'a pas la vision du protocole applicatif utilisé, mais que le proxy peut faire.
-- BOFH excuse #382:
Someone was smoking in the computer room and set off the halon systems.
Patrick 'Zener' Brunet
Bonjour.
"smu" a écrit dans le message de news: 4232b663$0$21505$
Bonjour,
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question : qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Si cela apporte un point positif à la sécurité, quels sont les inconvénients ?
J'ai un PC proxy sur mon réseau. Voilà pourquoi :
Côté inconvénients, ça veut dire que chaque machine devant accéder à Internet doit être configurée pour ne pas le faire directement, mais à travers les services du proxy. => De toute manière elle aurait dû être configurée, donc c'est un travail équivalent (plus lourd seulement si on change la config d'un réseau existant). => C'est parfois complexe avec des softs qui ne sont pas conçus pour ça, et selon lesquels la machine doit être reliée directement à Internet avec tous les ports grands ouverts :-@ Ces softs-là je les jette.
La plus grosse dificulté a été de trouver un logiciel de proxy qui fonctionne vraiment, comme un service NT, et qui offre tous les services voulus. J'en ai trouvé un, il s'appelle FreeProxy (celui de HandCraftedSoftware).
Côté sécurité, le proxy n'apporte rien en lui-même, si ce n'est son rôle centralisateur. Après, c'est à vous d'exploiter cet avantage. => Accessoirement, le proxy offre un service de Dial-on-Demand (même avec ADSL), qui peut être paramétré pour contrôler les accès. => Les relais POP peuvent être cascadés pour introduire par exemple un relai APOP pour Free.fr, et aussi un filtrage SpamPal. => Vous pouvez localiser sur le PC proxy les filtres de mails anti-virus, les filtres HTML anti-saloperies, etc. => Mon PC proxy a deux cartes réseau, et côté extérieur il n'y a pas de NetBIOS (bavard), ce qui est utile quend vous utilisez un firewall matériel qui se comporte comme une simple diode. => Côté intérieur, les autres machines sont dotées de firewalls logiciels légers qui sont paramétrés pour une certaine méfiance à l'égard du PC proxy, qui n'est pas supposé leur parler de sa propre initiative, hors NetBIOS. => Le PC proxy est par principe léger et non-évolutif, donc il est plus facile de le surveiller, de le scanner très fréquemment, et au besoin de le reconstruire à neuf à partir d'une image disque. => Le PC proxy ne contient aucune donnée sensible. Il constitue donc en dernier recours une sorte de fusible interne pour le réseau.
Mon PC proxy est un petit DELL desktop à base de P2 400, de telles machines sont en donation. Ca vaut le coup.
Hope It Helps, Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
"smu" <pas@d.adresse> a écrit dans le message de news:
4232b663$0$21505$626a14ce@news.free.fr...
Bonjour,
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question
: qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Si cela apporte un point positif à la sécurité, quels sont les
inconvénients ?
J'ai un PC proxy sur mon réseau. Voilà pourquoi :
Côté inconvénients, ça veut dire que chaque machine devant accéder à
Internet doit être configurée pour ne pas le faire directement, mais à
travers les services du proxy.
=> De toute manière elle aurait dû être configurée, donc c'est un travail
équivalent (plus lourd seulement si on change la config d'un réseau
existant).
=> C'est parfois complexe avec des softs qui ne sont pas conçus pour ça, et
selon lesquels la machine doit être reliée directement à Internet avec tous
les ports grands ouverts :-@ Ces softs-là je les jette.
La plus grosse dificulté a été de trouver un logiciel de proxy qui
fonctionne vraiment, comme un service NT, et qui offre tous les services
voulus. J'en ai trouvé un, il s'appelle FreeProxy (celui de
HandCraftedSoftware).
Côté sécurité, le proxy n'apporte rien en lui-même, si ce n'est son rôle
centralisateur. Après, c'est à vous d'exploiter cet avantage.
=> Accessoirement, le proxy offre un service de Dial-on-Demand (même avec
ADSL), qui peut être paramétré pour contrôler les accès.
=> Les relais POP peuvent être cascadés pour introduire par exemple un relai
APOP pour Free.fr, et aussi un filtrage SpamPal.
=> Vous pouvez localiser sur le PC proxy les filtres de mails anti-virus,
les filtres HTML anti-saloperies, etc.
=> Mon PC proxy a deux cartes réseau, et côté extérieur il n'y a pas de
NetBIOS (bavard), ce qui est utile quend vous utilisez un firewall matériel
qui se comporte comme une simple diode.
=> Côté intérieur, les autres machines sont dotées de firewalls logiciels
légers qui sont paramétrés pour une certaine méfiance à l'égard du PC proxy,
qui n'est pas supposé leur parler de sa propre initiative, hors NetBIOS.
=> Le PC proxy est par principe léger et non-évolutif, donc il est plus
facile de le surveiller, de le scanner très fréquemment, et au besoin de le
reconstruire à neuf à partir d'une image disque.
=> Le PC proxy ne contient aucune donnée sensible. Il constitue donc en
dernier recours une sorte de fusible interne pour le réseau.
Mon PC proxy est un petit DELL desktop à base de P2 400, de telles machines
sont en donation. Ca vaut le coup.
Hope It Helps,
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
"smu" a écrit dans le message de news: 4232b663$0$21505$
Bonjour,
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question : qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Si cela apporte un point positif à la sécurité, quels sont les inconvénients ?
J'ai un PC proxy sur mon réseau. Voilà pourquoi :
Côté inconvénients, ça veut dire que chaque machine devant accéder à Internet doit être configurée pour ne pas le faire directement, mais à travers les services du proxy. => De toute manière elle aurait dû être configurée, donc c'est un travail équivalent (plus lourd seulement si on change la config d'un réseau existant). => C'est parfois complexe avec des softs qui ne sont pas conçus pour ça, et selon lesquels la machine doit être reliée directement à Internet avec tous les ports grands ouverts :-@ Ces softs-là je les jette.
La plus grosse dificulté a été de trouver un logiciel de proxy qui fonctionne vraiment, comme un service NT, et qui offre tous les services voulus. J'en ai trouvé un, il s'appelle FreeProxy (celui de HandCraftedSoftware).
Côté sécurité, le proxy n'apporte rien en lui-même, si ce n'est son rôle centralisateur. Après, c'est à vous d'exploiter cet avantage. => Accessoirement, le proxy offre un service de Dial-on-Demand (même avec ADSL), qui peut être paramétré pour contrôler les accès. => Les relais POP peuvent être cascadés pour introduire par exemple un relai APOP pour Free.fr, et aussi un filtrage SpamPal. => Vous pouvez localiser sur le PC proxy les filtres de mails anti-virus, les filtres HTML anti-saloperies, etc. => Mon PC proxy a deux cartes réseau, et côté extérieur il n'y a pas de NetBIOS (bavard), ce qui est utile quend vous utilisez un firewall matériel qui se comporte comme une simple diode. => Côté intérieur, les autres machines sont dotées de firewalls logiciels légers qui sont paramétrés pour une certaine méfiance à l'égard du PC proxy, qui n'est pas supposé leur parler de sa propre initiative, hors NetBIOS. => Le PC proxy est par principe léger et non-évolutif, donc il est plus facile de le surveiller, de le scanner très fréquemment, et au besoin de le reconstruire à neuf à partir d'une image disque. => Le PC proxy ne contient aucune donnée sensible. Il constitue donc en dernier recours une sorte de fusible interne pour le réseau.
Mon PC proxy est un petit DELL desktop à base de P2 400, de telles machines sont en donation. Ca vaut le coup.
Hope It Helps, Cordialement,
--
/*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Stephane Catteau
smu nous disait récement dans fr.comp.securite <news:4232b663$0$21505$ :
Si cela apporte un point positif à la sécurité, quels sont les inconvénients ?
En plus des autres réponses, je rajouterais un inconvénient indirect qui est une évidence mais qu'il faut quand même citer amha. Si quelqu'un réussi à mettre la main sur ton proxy, et donc à en changer un brin la configuration, il peut alors s'en servir comme relais pour d'autres attaques. Il est donc impératif de choisir un proxy dont l'on peut facilement vérifier la configuration, ou tout du moins la liste des adresses IP autorisées ou bien, cas le plus fréquent, s'il interdit bien toutes connexions étrangères au LAN. Et, bien entendu, vérifier cette configuration au moins une fois par jour.
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
smu nous disait récement dans fr.comp.securite
<news:4232b663$0$21505$626a14ce@news.free.fr> :
Si cela apporte un point positif à la sécurité, quels sont les
inconvénients ?
En plus des autres réponses, je rajouterais un inconvénient indirect
qui est une évidence mais qu'il faut quand même citer amha. Si
quelqu'un réussi à mettre la main sur ton proxy, et donc à en changer
un brin la configuration, il peut alors s'en servir comme relais pour
d'autres attaques. Il est donc impératif de choisir un proxy dont l'on
peut facilement vérifier la configuration, ou tout du moins la liste
des adresses IP autorisées ou bien, cas le plus fréquent, s'il interdit
bien toutes connexions étrangères au LAN. Et, bien entendu, vérifier
cette configuration au moins une fois par jour.
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos
smu nous disait récement dans fr.comp.securite <news:4232b663$0$21505$ :
Si cela apporte un point positif à la sécurité, quels sont les inconvénients ?
En plus des autres réponses, je rajouterais un inconvénient indirect qui est une évidence mais qu'il faut quand même citer amha. Si quelqu'un réussi à mettre la main sur ton proxy, et donc à en changer un brin la configuration, il peut alors s'en servir comme relais pour d'autres attaques. Il est donc impératif de choisir un proxy dont l'on peut facilement vérifier la configuration, ou tout du moins la liste des adresses IP autorisées ou bien, cas le plus fréquent, s'il interdit bien toutes connexions étrangères au LAN. Et, bien entendu, vérifier cette configuration au moins une fois par jour.
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Eric Lalitte
"smu" wrote in message news:4232b663$0$21505$
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question : qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Pour répondre assez simplement, le proxy est un mandataire applicatif, il te permettra donc de sécuriser ta couche applicative, ce qu'aucun autre outil te permettra. Par exemple, pour du flux http, c'est le seul outil te permettant de filtrer selon les URLs.
Après, il y a une foultitude de possibilités selon les outils et les protocoles, mais c'est en gros le principe.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"smu" <pas@d.adresse> wrote in message
news:4232b663$0$21505$626a14ce@news.free.fr
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question
: qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Pour répondre assez simplement, le proxy est un mandataire applicatif,
il te permettra donc de sécuriser ta couche applicative, ce qu'aucun
autre
outil te permettra.
Par exemple, pour du flux http, c'est le seul outil te permettant de
filtrer selon les URLs.
Après, il y a une foultitude de possibilités selon les outils et les
protocoles, mais c'est en gros le principe.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Je m'informe sur la sécurité des réseaux. Et là, je me pose une question : qu'apporte un proxy au niveau de la sécurité d'un réseau ?
Pour répondre assez simplement, le proxy est un mandataire applicatif, il te permettra donc de sécuriser ta couche applicative, ce qu'aucun autre outil te permettra. Par exemple, pour du flux http, c'est le seul outil te permettant de filtrer selon les URLs.
Après, il y a une foultitude de possibilités selon les outils et les protocoles, mais c'est en gros le principe.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG