Votre Réseau A-t-Il Besoin D’un Serveur Proxy ?

Par Gerry Blackwell

Pour les administrateurs réseau de grands réseaux, le besoin de serveurs proxy – intermédiaires qui se tiennent en sentinelle entre un réseau interne et l’Internet ouvert – est si basique qu’il va presque de soi. Mais dans les petites organisations qui manquent de ressources informatiques dédiées, le besoin peut ne pas être aussi évident.

Fonctionnement

Les mandataires interceptent les demandes de pages Internet des utilisateurs du réseau d’une entreprise et effectuent un certain nombre de tâches liées à la protection du réseau, à l’amélioration des performances et à l’application des politiques d’utilisation du Web de l’entreprise. Ceci est parfois appelé un serveur proxy direct. C’est le genre dont pratiquement toutes les organisations ont besoin.

Si votre entreprise héberge également ses propres serveurs Web dans ses locaux, vous avez également besoin d’un proxy inverse pour effectuer un ensemble complémentaire, mais quelque peu différent, de tâches liées à la sécurité et aux performances autour des requêtes provenant d’Internet dans vos serveurs.

Nous allons nous concentrer dans cet article sur le premier type de proxy – et une variante basée sur les services qui intéresse les consommateurs et les utilisateurs professionnels mobiles.

Proxy qui transmet

Lorsqu’un utilisateur interne demande une page Web, la requête passe par le serveur proxy de sorte qu’il semble à Internet provenir du serveur – de son adresse IP (ou de l’une d’elles) – et non de l’appareil de l’utilisateur. Cet anonymat fournit une mesure importante de sécurité en réduisant la quantité d’informations sur un réseau et ses utilisateurs facilement accessibles aux pirates informatiques sur Internet.

Le serveur proxy peut, en outre, effectuer une mise en cache.

Si vos utilisateurs ont fréquemment besoin d’accéder à certaines pages sur Internet, le serveur peut télécharger et stocker des copies sur son disque dur, en cache et également surveiller en permanence la page pour les modifications et les télécharger lorsqu’elles apparaissent, de sorte que la page mise en cache est toujours à jour.

Consultant James Quin, analyste principal au cabinet de recherche et de conseil Info-Tech Research Inc., dit que la mise en cache accélère les choses pour tout le monde:

« Alors maintenant, lorsque quelqu’un demande cette page ou cette ressource, le serveur proxy dit: « Attendez, je l’ai ici » et la remet à l’utilisateur final sans avoir à aller sur Internet », explique Quin.

Cela accélère l’affichage des pages mises en cache pour les utilisateurs et réduit le trafic sortant sur la passerelle Internet de l’entreprise, réduisant ainsi potentiellement les besoins en bande passante et la congestion qui peuvent dégrader les performances globales.

Contrôle de la navigation sur le Web

Un troisième ensemble important de tâches de serveur proxy concerne l’application des politiques et restrictions de l’entreprise concernant l’utilisation du Web.

Dans les organisations qui autorisent les employés à accéder sans restriction à Internet mais publient des politiques limitant leur utilisation personnelle – pas de sites de jeux d’argent, de pornographie ou de littérature haineuse, par exemple, ou uniquement pendant le déjeuner et les pauses – les administrateurs réseau peuvent surveiller les journaux du serveur proxy pour repérer les utilisateurs qui enfreignent habituellement les politiques.

Mais la surveillance des journaux de proxy peut être une entreprise délicate, prévient le consultant Steve Armstrong, directeur de la sécurité technique chez LogicallySecure, une société de conseil basée au Royaume-Uni.

Certaines entreprises font l’erreur d’installer un proxy et de ne plus le regarder, gaspillant ainsi une grande partie de son utilité potentielle, dit Armstrong. Mais d’autres passent trop de temps à fouiller les bûches. « Cela peut être presque comme du harcèlement ou du harcèlement des utilisateurs par procuration. »

Si les employés sont autorisés à utiliser le Web pour surfer personnellement, une surveillance trop étroite pourrait entraîner des violations de la vie privée et du droit du travail de la part de l’entreprise – si un employé recherche un problème médical sur son heure de déjeuner, par exemple.

De plus, si les administrateurs surveillent de près l’activité d’un employé sans raison valable – en particulier en l’absence de politiques clairement énoncées – et tentent par la suite de prendre des mesures disciplinaires pour les violations, les syndicats ou les avocats peuvent prétendre que l’entreprise a victimisé l’employé.

Automatisation du contrôle

Mais si les restrictions de politique et les pratiques de surveillance sont clairement énoncées et approuvées par les employés, ce genre de problèmes ne devrait pas se poser, dit Armstrong.

L’alternative consiste à utiliser les capacités de filtrage de base du logiciel de serveur proxy pour bloquer les utilisateurs se rendant sur certains sites. Il fonctionne de manière similaire au filtrage parental sur les réseaux domestiques.

Au niveau le plus simple, si un site restreint est ajouté à une liste dans le logiciel serveur, lorsqu’un utilisateur tente de surfer sur ce site, le serveur refuse la demande et renvoie un message d’erreur.

L’ajout de fonctionnalités améliorées avec un logiciel de filtrage intégré, ou l’utilisation de produits avancés tels que le serveur ISA (Internet Security and Acceleration) de Microsoft permettent de restreindre les sites ou la navigation en général par heure de la journée, voire par fonction ou département.

Implémentation

Si vous avez lu jusqu’ici et constatez la nécessité d’un serveur proxy, vous aurez probablement besoin des services d’un consultant pour vous aider à sélectionner les produits et à les implémenter. Vous pourriez acheter un logiciel à installer sur un serveur standard. Beaucoup de ces produits sont open source, certains d’entre eux gratuits.

Il peut s’agir d’une appliance de serveur proxy, d’un matériel spécialement conçu avec un logiciel préinstallé. Il peut également s’agir d’une appliance de serveur proxy virtuel, un serveur logiquement séparé mais qui partage de l’espace sur un serveur physique avec d’autres serveurs d’un environnement VMware ou d’un autre serveur virtualisé.

Certains serveurs proxy sont autonomes, d’autres intègrent d’autres fonctionnalités. L’une des fonctions les plus couramment combinées au proxy de base est le filtrage avancé, note Quin. Il soutient que les serveurs proxy autonomes – comme toute solution à usage unique ou « ponctuelle » – entraînent nécessairement plus de frais de gestion, ce qui est sans doute moins logique pour la plupart des organisations.

Choix d’un proxy

Le type et la qualité du produit de serveur proxy que vous choisissez dépendent d’un certain nombre de facteurs, notamment le risque perçu pour les ressources derrière le proxy, le niveau de tolérance au risque et le budget.

Info-Tech elle–même utilise un logiciel de serveur proxy open source car elle a une tolérance au risque raisonnablement élevée – étant bien dotée en compétences informatiques et en sécurité – et des exigences de mise en cache et de filtrage relativement légères, explique Quin.

Les grandes organisations comptant des centaines ou des milliers d’utilisateurs, moins de tolérance au risque et ayant besoin d’un filtrage plus granulaire ou d’une mise en cache plus lourde, peuvent nécessiter une solution plus robuste et peuvent également être mieux loties avec une solution qui s’intègre étroitement à un environnement réseau Cisco, Microsoft ou autre existant, suggère Quin.

Une chose à garder à l’esprit, dit-il, est que le serveur proxy est exposé à Internet.  » C’est une cible très facile à attaquer et c’est une partie fiable de votre infrastructure réseau interne. Vous devez donc être très rigoureux en matière de sécurité, vous devez tenir les correctifs à jour et les maintenir religieusement. »

Proxy pour les consommateurs

Vous pouvez également obtenir le proxy en tant que service, souvent gratuitement. Les demandes de pages vont de l’appareil client sur Internet à un serveur, puis de là au site demandé. Cela intéresse principalement les consommateurs, mais peut également avoir des applications pour les utilisateurs mobiles.

Pourquoi les consommateurs voudraient-ils utiliser des services proxy ?

La confidentialité et la sécurité étaient les principales raisons à l’origine. Les services de proxy en ligne offrent le même type d’anonymat que les mandataires internes d’entreprise, ce qui améliore la sécurité, mais attire également les internautes qui s’opposent au fait que les annonceurs et d’autres personnes puissent suivre où ils vont sur le Net.

Les services proxy font également théoriquement un meilleur travail de filtrage des logiciels malveillants sur le Web. Que tout le monde fasse est une autre affaire. Et certains fournissent un cryptage de type VPN entre le client et son serveur pour se protéger contre l’interception de données lors de l’utilisation de points d’accès Wi-Fi publics. Quelques-uns peuvent fournir une mise en cache, mais il est peu probable qu’elle soit aussi efficace que dans un environnement de réseau d’entreprise.

Télévision en ligne

Une raison de plus en plus populaire d’utiliser un service de proxy aujourd’hui est de contourner les restrictions régionales d’accès aux médias en ligne.

Pour des raisons de licence, les sites vidéo tels que Netflix, Hulu et autres ne peuvent diffuser du contenu qu’aux utilisateurs du pays d’origine. Ils bloquent les demandes provenant d’adresses IP connues pour être en dehors du pays.

En utilisant un service proxy avec des serveurs dans le pays, un utilisateur à l’extérieur peut contourner ces restrictions. Votre correspondant, par exemple, vit et travaille actuellement en Espagne et utilise des services de proxy pour diffuser des émissions de télévision à partir de sites britanniques et américains.

Comment ils fonctionnent

Les services proxy fonctionnent de l’une des trois manières suivantes. Avec de nombreux services gratuits, il vous suffit de surfer sur le site Web du fournisseur de services et de taper l’URL du site que vous souhaitez dans un champ d’adresse sur la page. D’autres exigent que les utilisateurs téléchargent une petite application. D’autres encore demandent aux abonnés de configurer une connexion VPN dans Windows et de saisir un identifiant utilisateur et un mot de passe.

Choix d’un service proxy

De nombreux services proxy sont gratuits. Certains sont proposés par des entreprises pour promouvoir d’autres services Internet payants. La plupart sont supportés par la publicité d’une manière ou d’une autre. Il existe également de nombreux agrégateurs, tels que Proxy 4 Free, fournissant des listes constamment mises à jour de serveurs proxy gratuits. Certains facturent même des frais d’abonnement pour faciliter l’accès aux services énumérés. Cependant, peu de services gratuits sont aussi fiables, rapides ou sécurisés que les services payants. Et de nombreux services gratuits que nous avons essayés ne prenaient pas en charge Flash lors de nos tests.

Votre correspondant utilise deux services gratuits financés par la publicité d’Anchorfree, une société de la Silicon Valley. Ils nécessitent un téléchargement d’application. ExpatShield et Hotspot Shield présentent des publicités vidéo et des redirections de pages particulièrement gênantes, ainsi que des bannières publicitaires insérées en haut des pages du navigateur. Mais les annonces peuvent être arrêtées, les services Anchorfree fonctionnent raisonnablement bien et ils sont gratuits.

Avec de nombreux services gratuits, le débit réduit en raison des sauts supplémentaires du routeur impliqués dans l’accès au serveur et à partir du serveur, signifie que la qualité du streaming est médiocre au point de rendre la vidéo inaccessible.

Les services Anchorfree diffusent cependant des vidéos des sites de la BBC et d’ITV au Royaume–Uni (ExpatShield) et de Hulu aux États-Unis (Hotspot Shield) vers l’Espagne plus ou moins parfaitement – au moins via une connexion Internet rapide (12 Mbps).

Applications professionnelles

Pour les guerriers de la route qui doivent se connecter au Net dans les cafés et autres points d’accès publics, les services proxy avec fonctionnalité VPN intégrée peuvent être un moyen rapide et sale d’ajouter une protection contre l’espionnage sans fil. Cela dit, un tunnel VPN à travers et contrôlé par les serveurs de l’entreprise serait plus sécurisé de manière fiable.

À la baisse, les administrateurs réseau peuvent vouloir être à l’affût des employés utilisant des services proxy publics au bureau. C’est une indication probable d’une navigation non officielle, au mieux, et éventuellement d’une utilisation du Web qui contrevient aux politiques de l’entreprise.

Leave a Reply

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.