Utilisation d'un proxy : raisons ?

Pause Café
#1

Je sais en gros ce qu’est un proxy mais je n’ai jamais utilisé.
J’aimerais connaitre les motivations de ceux qui utilisent ces logiciels.
Quelques exemples d’utilisation concrets combleraient ma curiosité.
Avantages/inconvénients ?
Merci.

#2

Cela m’intéresse aussi car on en a un au boulot et cela me permettrai de savoir à quoi s’en sert notre cher ingénieur informatique ? :mrgreen:

#3

En fait ça dépend beaucoup du type de proxy dont on parle. Il faut garder en mémoire que “proxy” veut dire “mandataire” : il agit auprès du serveur de destination en lieu et place du client originel, et peut modifier le contenu qui le traverse si besoin est.

Ça peut servir à plein de choses :

  • filtrage “profond” des connexions (par ex. blocage d’une URL si le contenu de la page web contient un mot interdit ; amélioration de la vie privée comme le fait Privoxy ; …) bref appliquer certaines règles de sécurité en bordure de LAN
  • mise en cache d’informations (si toute une société doit passer par un proxy pour aller sur internet, l’employé A visite une page, le proxy va la chercher sur internet, puis lorsque l’employé B visite cette même page il n’y a pas besoin de la demander à nouveau sur internet, elle est déjà disponible sur le proxy => gain de temps et de bande passante)
  • pour que le serveur de destination voie l’IP du proxy à la place de l’IP du demandeur (un peu comme un tunnel ou un VPN configuré pour NATer les connexions)
  • passer outre un firewall restrictif

Difficile de dire mieux, y’a tellement d’applications possibles !

#4

[quote=“syam”]En fait ça dépend beaucoup du type de proxy dont on parle. Il faut garder en mémoire que “proxy” veut dire “mandataire” : il agit auprès du serveur de destination en lieu et place du client originel, et peut modifier le contenu qui le traverse si besoin est.

Ça peut servir à plein de choses :

  • filtrage “profond” des connexions (par ex. blocage d’une URL si le contenu de la page web contient un mot interdit ; amélioration de la vie privée comme le fait Privoxy ; …) bref appliquer certaines règles de sécurité en bordure de LAN
  • mise en cache d’informations (si toute une société doit passer par un proxy pour aller sur internet, l’employé A visite une page, le proxy va la chercher sur internet, puis lorsque l’employé B visite cette même page il n’y a pas besoin de la demander à nouveau sur internet, elle est déjà disponible sur le proxy => gain de temps et de bande passante)
  • pour que le serveur de destination voie l’IP du proxy à la place de l’IP du demandeur (un peu comme un tunnel ou un VPN configuré pour NATer les connexions)
  • passer outre un firewall restrictif
    Difficile de dire mieux, y’a tellement d’applications possibles ! [/quote]
    Donc :
    -filtrage pages web = intéressant pour les parents qui veulent surveiller le surf des jeunes enfants
    -la mise en cache : ça ne peut pas servir de “mouchard” pour savoir quelles pages ont été visitées ? heure de la visite, poste à partir duquel la visite a été demandée ?
    -pour cacher son IP : faudra que j’essaie ça par curiosité. Quel proxy faut-il charger ?
    -passer outre un firewall : est-ce à dire qu’un malintentionné peut le faire et donc, où serait l’intérêt d’installer un parefeu ?
#5

je me sers de privoxy, la raison est que je peux bloquer ou autoriser ce que je veux, plus de pollutions intempestives par les pubs, plus aucune infos ne partant chez google et compagnie etc très efficace, bien plus qu’ Adblock +)

bref avec privoxy, la navigation sur internet est beaucoup plus confortable.

#6

Ou pour les entreprises qui veulent restreindre le surf des grands enfants pendant leur temps de travail… :wink:

Inutile d’aller se prendre la tête à analyser le contenu du cache, tous les proxys filtrants/cachants (je sais c’est pas beau “cachants” mais à cette heure j’ai pas mieux) ont aussi une fonction de log, log qui est beaucoup plus simple à analyser qu’un tas de fichiers dans le cache.

N’importe quel proxy fera l’affaire pour ça : un proxy SOCKS quelconque, Squid, Privoxy, …

Un firewall très restrictif va typiquement n’autoriser que quelques ports, genre 80 (HTTP) et 443 (HTTPS). Si tu dois utiliser un autre port c’est mort, mais par contre si tu disposes d’un proxy extérieur à ton LAN (du côté “internet” de ton firewall) qui écoute sur un des ports autorisés par le firewall (disons le 443) alors ta connexion LAN -> proxy:443 est autorisée et ensuite le proxy peut accéder à ce qu’il veut (proxy -> serveur:port_interdit) puisqu’il n’est plus limité par le firewall. C’est une méthode très classique pour contourner les firewall et il n’y a pas grand chose à y faire.

Comme beaucoup de mesures de sécurité en informatique : le but c’est pas forcément d’empêcher complètement les gens de faire un truc donné (souvent c’est impossible) mais simplement de mettre des bâtons dans les roues de ceux qui ne savent pas contourner la mesure de sécurité… :mrgreen:

#7

Bonjour!
Pour ma part, j’utilise le duo privoxy et polipo, l’un après l’autre.

  • Privoxy me permet de filtrer, comme ça a déja été dit, le contenu des pages web. Sans avoir besoin d’adblock et compagnie, je peux cacher les liens facebook et autres “spams du web”. Je trouve aussi plus sécurisé la navigation (voir spywebs : artisan.karma-lab.net/premunir-spywebs-privoxy ).

  • Polipo est très léger. Sur une machine perso, il me sert de cache. Et comme il cache beaucoup, à la longue le chargement des pages web est grandement amélioré. Il me sert en fait pour tout le système, même pour apt qui met 2 secondes à vérifier la version des dépots, contre plusieurs dixaines sinon.

Il en existe d’autres, chacun ayant un but précis. Dans la plupart des cas, ils peuvent être chaînés les uns aux autres.

Penser à l’usage à l’extension foxyproxy, et à rajouter dans le .bashrc :

http_proxy=http://127.0.0.1:8123 HTTP_PROXY=$http_proxy export http_proxy HTTP_PROXY

#8

[quote=“ricardo”][quote=“syam”]En fait ça dépend beaucoup du type de proxy dont on parle. Il faut garder en mémoire que “proxy” veut dire “mandataire” : il agit auprès du serveur de destination en lieu et place du client originel, et peut modifier le contenu qui le traverse si besoin est.

Ça peut servir à plein de choses :

  • filtrage “profond” des connexions (par ex. blocage d’une URL si le contenu de la page web contient un mot interdit ; amélioration de la vie privée comme le fait Privoxy ; …) bref appliquer certaines règles de sécurité en bordure de LAN
  • mise en cache d’informations (si toute une société doit passer par un proxy pour aller sur internet, l’employé A visite une page, le proxy va la chercher sur internet, puis lorsque l’employé B visite cette même page il n’y a pas besoin de la demander à nouveau sur internet, elle est déjà disponible sur le proxy => gain de temps et de bande passante)
  • pour que le serveur de destination voie l’IP du proxy à la place de l’IP du demandeur (un peu comme un tunnel ou un VPN configuré pour NATer les connexions)
  • passer outre un firewall restrictif
    Difficile de dire mieux, y’a tellement d’applications possibles ! [/quote]
    Donc :
    -filtrage pages web = intéressant pour les parents qui veulent surveiller le surf des jeunes enfants
    -la mise en cache : ça ne peut pas servir de “mouchard” pour savoir quelles pages ont été visitées ? heure de la visite, poste à partir duquel la visite a été demandée ?
    -pour cacher son IP : faudra que j’essaie ça par curiosité. Quel proxy faut-il charger ?
    -passer outre un firewall : est-ce à dire qu’un malintentionné peut le faire et donc, où serait l’intérêt d’installer un parefeu ?[/quote]

J’utilise actuellement plusieurs proxy ( Polipo, Adsuck et le couple Squid et Squid-guard ), suite à mon déménagement toute mon installation est quelques peu en vrac et donc j’utilise un proxy Adsuck ( installé sur une VM à mon travail ) pour principalement viré les pub et autre conner… et Polipo pour la mise en cache.
Dès que j’aurais le temps je pense travailler sur la mise ne place chez moi de Adsuck et d’un proxy spécialisé dans le filtrage afin de me préparer à filtrer le net des enfants à coups d’ACL.

Pour ce qui est du flicage les proxys cache si ils logs complètement effectivement permette de savoir de très nombreuses choses, certains autres par contre ne garde aucune information de connexion et sont donc très pratique pour la navigation anonyme ( j’en ai pas sous la main pour l’instant ).

Pour ta dernière interrogation, l’utilisation du net peu parfois être limité et l’utilisation d’un VPN ou de proxy peu permettre d’utiliser certaines applications malgré l’interdiction d’utiliser les ports standards de l’application.

Afin d’expliquer ça avec un cas pratique :

J’utilise un proxy installé sur une VM à mon travail pour filtrer les pubs et autres joyeusetés qui pollue ma navigation.
Il me faut donc utilisé ce proxy pour bénéficier de ces capacités de filtrage.
Je rajoute à ça sur mon portable un proxy Polipo installé en dur qui va me mettre en cache ma navigation et me permettra d’économisé un peu de Ko et de vitesse de chargement.

#9

[quote=“nykoos”]je me sers de privoxy, la raison est que je peux bloquer ou autoriser ce que je veux, plus de pollutions intempestives par les pubs, plus aucune infos ne partant chez google et compagnie etc très efficace, bien plus qu’ Adblock +)

bref avec privoxy, la navigation sur internet est beaucoup plus confortable.[/quote]
Pas de problèmes pour visiter les sites protégés (banques, etc.) httpS ?

#10

[quote=“syam”]… (je sais c’est pas beau “cachants” mais à cette heure j’ai pas mieux) …[/quote]Sur les hauteurs, il y a des coins pas vilains quand même :laughing: :laughing: :laughing:

#11

[quote=“syam”]…Un firewall très restrictif va typiquement n’autoriser que quelques ports, genre 80 (HTTP) et 443 (HTTPS). Si tu dois utiliser un autre port c’est mort, mais par contre si tu disposes d’un proxy extérieur à ton LAN (du côté “internet” de ton firewall) qui écoute sur un des ports autorisés par le firewall (disons le 443) alors ta connexion LAN -> proxy:443 est autorisée et ensuite le proxy peut accéder à ce qu’il veut (proxy -> serveur:port_interdit) puisqu’il n’est plus limité par le firewall. C’est une méthode très classique pour contourner les firewall et il n’y a pas grand chose à y faire.[/quote]Ma question n’était donc pas dénuée de logique, malheureusement.
Si je comprends bien ta réponse, un proxy qui permet de cacher son IP (donc ouvert vers internet) est une porte d’entrée pour un malveillant ?

#12

Une porte de sortie plutôt… :wink: On parle de quelqu’un situé sur le LAN et qui veut accéder à un service donné hors du LAN que pourtant le firewall n’autorise pas.

Et comme un dessin vaut mieux qu’un long discours… Si on prend un firewall qui n’autorise que le port 80 en sortie, le Client pourra se connecter au port 80 du Serveur mais pas au port 1234 :

Par contre avec un proxy le Client va se connecter au port 80 du Proxy (le firewall l’autorise) et c’est le Proxy qui se connectera au port 1234 du Serveur sans avoir à subir les restrictions du firewall :

Notons aussi que dans ce deuxième cas le serveur verra l’IP du proxy et non pas celle du client (ce schéma fait d’une pierre deux coups, à la fois contournement du firewall et masquage de l’IP).

#13

[quote=“ricardo”][quote=“nykoos”]je me sers de privoxy, la raison est que je peux bloquer ou autoriser ce que je veux, plus de pollutions intempestives par les pubs, plus aucune infos ne partant chez google et compagnie etc très efficace, bien plus qu’ Adblock +)

bref avec privoxy, la navigation sur internet est beaucoup plus confortable.[/quote]
Pas de problèmes pour visiter les sites protégés (banques, etc.) httpS ?[/quote]

non aucun pb, j’ accède aux sites https avec privoxy, je peux aussi désactiver les logs dans /var/log/privoxy mais je les laisse car c’ est pratique pour détecter une connection chez un intru et le rajouter immédiatement dans la liste noire. Quand je dis très efficace, c’ est parceque j’ avais vérifié avec wireshark: privoxy est très fiable pour le filtrage, bien plus qu’ Adblock plus qui ne signale pas tout.

#14

Pour avoir testé récemment le combo Squid + Privoxy sur mon LAN perso, j’ai dû désactiver Privoxy car il ralentissait très fortement (délai d’une bonne vingtaine de secondes pour afficher une page) la navigation avec certains sites (dont debian-fr!). Ca peut venir de mon serveur qui est un peu light (P3 933MHz, 512M de RAM!).

A voir selon les config…

Et j’ai trouvé que Privoxy demande plus de paramétrage pour obtenir un filtrage aussi efficace que Adblock + Ghostery (je ne me base que sur le filtrage des bannières de pub).

#15

[quote=“syam”]Une porte de sortie plutôt… :wink: On parle de quelqu’un situé sur le LAN et qui veut accéder à un service donné hors du LAN que pourtant le firewall n’autorise pas.

Et comme un dessin vaut mieux qu’un long discours… Si on prend un firewall qui n’autorise que le port 80 en sortie, le Client pourra se connecter au port 80 du Serveur mais pas au port 1234 :

Par contre avec un proxy le Client va se connecter au port 80 du Proxy (le firewall l’autorise) et c’est le Proxy qui se connectera au port 1234 du Serveur sans avoir à subir les restrictions du firewall :

Notons aussi que dans ce deuxième cas le serveur verra l’IP du proxy et non pas celle du client (ce schéma fait d’une pierre deux coups, à la fois contournement du firewall et masquage de l’IP).[/quote]
Là tu me rassures, j’avais compris l’inverse.
En fait, j’y vois une sécurité supplémentaire, alors, dis-moi si je me trompe :
Ce système permet d’avoir un parefeu encore plus restrictif, en n’autorisant qu’un minimum vital de port (combien, lesquels ?). Si besoin d’accéder à un port particulier, on passe par le proxy, est-ce possible de choisir ?
Ça commence à m’intéresser ce fil, moi qui m’ennuyais avec une Sid sans bugs depuis au moins 2 mois, j’vais pouvoir foutre un peu la merde :smiley:

#16

N’importe quel proxy fera l’affaire pour ça : un proxy SOCKS quelconque, Squid, Privoxy, …[/quote]
A condition de l’installer sur une autre machine que celle qui sert à surfer, évidemment, et dont l’adresse ne pourra être cachée.

#17

[quote=“ricardo”]En fait, j’y vois une sécurité supplémentaire, alors, dis-moi si je me trompe :
Ce système permet d’avoir un parefeu encore plus restrictif, en n’autorisant qu’un minimum vital de port (combien, lesquels ?). Si besoin d’accéder à un port particulier, on passe par le proxy, est-ce possible de choisir ?[/quote]
J’ai du mal à voir l’intérêt de cette configuration. Quand on met en place un firewall restrictif en sortie c’est pour qu’il empêche les machines du LAN de se connecter à n’importe quel service sur internet, pas pour mettre en place soi-même un moyen de le contourner. :wink:
Ça ne t’apporterait strictement aucune sécurité face à un attaquant (ils connaissent tous la technique du proxy pour contourner un firewall, c’est du savoir “de base”) mais par contre ça augmenterait sévèrement la latence de tes connexions.

#18

Ce type de configuration est pourtant largement répandu. L’intérêt et notamment de s’assurer que les ports autorisés sont effectivement utilisés pour les service correspondants et pas pour autre chose.

#19

Ce type de configuration est pourtant largement répandu. L’intérêt et notamment de s’assurer que les ports autorisés sont effectivement utilisés pour les service correspondants et pas pour autre chose.[/quote]
Dans ce cas on utilisera plutôt un proxy (transparent ou non) en bordure* de LAN non ? Jusqu’à présent je parlais d’un proxy extérieur au LAN, qui n’apporte aucune sécurité particulière en soi (sauf bien sûr si le firewall n’autorise que les connexions au proxy et à rien d’autre, auquel cas même si le proxy est situé physiquement à l’extérieur, fonctionnellement il est quand même en bordure).

(*) Pour ceux qui voient pas de quoi je parle, imaginez dans mon deuxième schéma que la boîte Proxy “bouche le trou” du firewall => impossible de sortir sans passer par le proxy.

#20

Oui, bien sûr. C’est ainsi que j’avais compris ton schéma.