|
[Évaluation de solutions de proxy-cache] Ce document propose une
évaluation de solutions standards de proxy-cache ainsi que les
différentes fonctionnalités associées à ce type d'outils.
Quelques
définitions préalables son essentielles pour permettre la compréhension
des différents concepts et critère abordés par la suite : - Proxy-cache : on dénomme proxy-cache (plus souvent nommé proxy par abus de langage) toute solution (logicielle ou matérielle) permettant d’assurer deux rôles essentiels :
- Proxy générique : un proxy générique permet de relayer des flux marginaux pour lesquels on ne dispose pas de relais standards. Le protocole Socks (version 5) traite de cette problématique et permet la définition et le relayage de flux atypiques. Cependant, il ne permet pas de réaliser de cache. - Reverse proxy (relais inverse) : un reverse proxy est un mode de fonctionnement particulier d'un proxy-cache. Il s'agit d'une utilisation "à l'envers". Un reverse proxy sert classiquement à protéger une batterie de serveurs Web. Le reverse-proxy se fait passer pour le serveur Web, intercepte les requêtes en provenance des clients, et les retransmet vers le serveur Web adéquat en ouvrant une nouvelle connexion. Le reverse-proxy joue aussi le rôle de cache, de sorte que lorsqu'il dispose déjà d'une page demandée par un client, il n'émet pas de requête vers le serveur Web et renvoie directement la page en cache. Un reverse proxy peut également assurer des fonctions de sécurité fondamentales : l'authentification et le chiffrement. On décharge ainsi les serveurs Web de ces fonctionnalités. Le reverse proxy peut également effectuer du partage de charge en répartissant, suivant des algorithmes particuliers (ex.: round trip, round robin...), les requêtes clientes vers différents serveurs Web. - Chaînage de proxies : il arrive, pour optimiser la bande passante et gérer la sécurité au plus près de l'utilisateur, de relier en série plusieurs proxies-cache. On nomme cela une chaîne de proxies. - ICP : Internet Cache Protocol (RFC 2186 et 2187 pour ICP v2). Le protocole ICP permet de réaliser du routage dynamique entre proxies et de l’interrogation de caches voisins. - CARP : Cache Array Routing Protocol. Le protocole CARP utilise un algorithme déterministe pour répartir les requêtes des clients sur différents proxies. [Cas d'usage d'un proxy-cache] De
nombreuses entreprises s’appuient sur la technologie proxy-cache afin de
fournir un moyen d'accès à l'Internet pour les utilisateurs de leur
système d'information. Ceci vise à subvenir à deux grands besoins : Cependant (et hélas), rares sont les entreprises qui mettent en oeuvre des proxy-cache pour assurer une fonction de relais inverse. [Présentation des produits du marché] Les principaux produits du marché sont divisés en deux catégories : -
Les produits type « boites noires » (hardware) pouvant supporter des charges importantes et destinés, en priorité, aux fournisseurs d’accès Internet (ISP). Parmi les plus importants, citons : - Les proxies logiciels standards. Les principaux produits sont : Remarque : la plupart des firewalls du marché fournissent des fonctions de proxy HTTP/FTP, mais n’assure pas le service de cache. Ils ne sont donc pas mentionnés ci-dessus. Les solutions détaillées dans le présent document sont les produits majoritaires sur le marché :
[Caractéristiques techniques] - Systèmes d’exploitation supportés : Unix, HP-UX, AIX, IRIX, Solaris, Windows NT 3.51/4.0. - Netscape Proxy Server est indépendant de tout serveur Web. - Protocoles
supportés : - Modes d’authentification : -
Critères de filtrage. Netscape Proxy Server dispose d'une grande
granularité de filtrage, il est ainsi possible : - Netscape Proxy Server ne fournit pas de service pour la traduction d’adresse (Network Address Translation). - Netscape Proxy Server supporte : [Administration] L’administration de Netscape Proxy Server s’effectue via une interface Web, par l’intermédiaire de n’importe quel navigateur standard (Netscape Navigator recommandé !). En outre, les communications entre les postes d’administration distante et le serveur sont chiffrées à l’aide du protocole SSL. L’interface d’administration permet la gestion centralisée et unitaire d’un ensemble de serveurs Netscape Proxy. En outre, la granularité des paramètres de configuration est très importante et permet un réglage excessivement fin. Netscape Proxy Server permet à un administrateur de personnaliser les fichiers de logs (et leur contenu) générés. Cependant, ces données ne sont pas exportables dans une base SQL ou via l’interface ODBC. Netscape Proxy Server peut être surveillé en utilisant le protocole SNMP. [Performances] Netscape Proxy Server supporte le protocole CARP. [Microsoft Proxy Server v.2.0] [Caractéristiques techniques] - Système d’exploitation supporté : Windows NT 4.0 (Service Pack 1). - Nécessité d’installer préalablement Internet Information Server v.2.0 (Proxy Server est un filtre ISAPI de IIS). -
Protocoles implémentés : - Modes d’authentification : -
Critères de filtrage. Microsoft Proxy Server filtre au niveau du service (HTTP, HTTPS, FTP ou Gopher) et de l’adresse source (IP, nom de domaine, nom Wins) de la machine cliente. - Microsoft Proxy Server fournit un service de traduction d’adresse et d’anti-spoofing reposant sur la technologie Microsoft Local Address Translation. - Microsoft Proxy Server supporte la fonction de reverse proxy. - Microsoft Proxy Server ne supporte pas le protocole ICP. - Enfin, Microsoft Proxy Server peut assurer la fonction de passerelle IP/IPX. [Administration] L’administration de Microsoft Proxy Server s’effectue à l’aide de la console d’administration Microsoft (MMC) disposant d’un snap-in dédié à IIS et Proxy Server. Une solution d’administration en mode Web (via un navigateur) est également disponible. Il est cependant conseillé d’utiliser la console de management pour réaliser les tâches d’administration et d’exploitation. L’administration centralisée des droits de plusieurs proxies est réalisable par le biais des tableaux (arrays). Cependant, il est nécessaire d’administrer le serveur IIS en plus du serveur proxy. Microsoft Proxy Server fournit des journaux d’événements moyennement complets et non personnalisables, mais permet l’exportation des éléments de suivi vers des bases de données SQL et au format ODBC. Enfin, Microsoft Proxy Server peut être surveillé en utilisant le protocole SNMP. [Performances] Microsoft Proxy Server dispose de fonctions de tableaux permettant d’administrer un pool de serveurs proxies de manière unitaire, comme s’il s’agissait d’une seule machine logique. On dispose ainsi de fonctions de partage de charge, tolérance aux pannes et déploiement progressif. [Caractéristiques techniques] - Système d’exploitation supporté : Windows 2000. - Pas de nécessité d’installer préalablement Internet Information Server. -
Protocoles implémentés : -
Modes d’authentification : -
Critères de filtrage. ISA Server 2000 se veut être plus un firewall
qu'un proxy-cache. De sorte qu'il dispose de nombreuses fonctionnalités
évoluées de filtrage : - ISA Server fournit un service de traduction d’adresse et d’anti-spoofing reposant sur la technologie SecureNAT. - ISA Server supporte la fonction de reverse proxy. - ISA Server ne supporte pas le protocole ICP. [Administration] ISA
Server s'administre par un snap-in de la console de management Microsoft
(MMC). Un groupe de proxies ISA Server peuvent ainsi être administrés de
manière centralisée. [Performances] ISA
Server supporte le protocole CARP. [Caractéristiques techniques] - Systèmes d’exploitation
supportés : AIX, Digital Unix, FreeBSD, HP-UX, Irix, Linux, NetBSD, Nextstep, SCO, Solaris, Windows NT. - Squid est indépendant de tout serveur Web. - Protocoles implémentés : -
Modes d’authentification : -
Critères de filtrage. Squid permet d’effectuer tout type de filtres sur la source et la destination de chacune des requêtes. Il est ainsi possible d’implémenter des listes de contrôle d’accès (Access Control Lists) pour effectuer : - Squid ne fournit pas de service de traduction d’adresse. - Squid supporte les protocoles : [Administration] Squid s’administre
: L’administration de Squid nécessite de réelles compétences Unix, mais permet un niveau de granularité maximum dans la configuration du filtrage et du contrôle des requêtes soumises au serveur. Squid peut être surveillé en utilisant le protocole SNMP. [Performances] Squid est le proxy-cache le plus utilisé au monde du fait de sa compatibilité avec de nombreux standards et son implémentation de protocoles de gestion de caches hiérarchiques et de partage de charge (ICP, HTCP, CARP). Il est en particulier largement déployé chez les fournisseurs de services Internet (ISP) dont le besoin en terme de cache est énorme. Squid constitue l’une des meilleures solutions du marché, performante, évolutive et extensible.
|
securIT@free.fr -
Plein accès