Embed Size (px)
Citation preview
Cours d'administration Web - juin 2001 - Copyright© Pascal AUBRY - IFSIC - Université de Rennes 1
Mandataires, caches et filtres
Pascal AUBRY
IFSIC - Université de Rennes 1
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
2
Plan
• Mandataire (proxy)
• Cache
• Filtrage
• Serveur de proxy
Plan
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
3
Mandataire (proxy)
serveur
réseau local
routeur
internet
clients
Mandataire
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
4
Mandataire (proxy)
réseau local
routeur
internet
clients
mandataire
serveur
Mandataire
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
5
Mandataire (proxy)
• On peut (doit) forcer le passage par le mandataire…
réseau local
serveur routeur
internet
clients
mandataire
Mandataire
...ce qui le rend obligatoire
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
6
Mandataire (proxy)
Mais pourquoi faire ?
réseau local
serveur routeur
internet
clients
mandataire
Mandataire
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
7
Un mandataire,pourquoi faire ?
• Pour cacher les requêtes des clients– diminution du trafic
– accès à des serveurs indisponibles
• Pour surveiller le trafic– statistiques d’utilisation des ressources
• Pour filtrer les requêtes– sur différents critères
– partiel ou total
• Pour passer un firewall
Mandataire
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
9
• Le client– se connecte sur un port du mandataire
Fonctionnement d’un mandataire
– mémorise le résultat de la requête *
port
client serveurmandataire
HTTP
• Le mandataire– filtre la requête *
– redirige la requête *
– effectue la requête à la place du client
Mandataire
– renvoie le résultat de la requête au client
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
10
Le mandataire de référence : Squid
• Caractéristiques– Multi-plateformes (Unix, Windows, …)
– Libre (GPL)
– Paramétrable
– Performant (cache DNS, garbage collector)
– Évolutif
• Fonctionnalités– mandataire
– cachant
– filtrant (squidGuard)
• http://www.squid-cache.org
Squid
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
11
Un cache, c’est quoi ?
• Mémorisation des réponses des serveurs
• Gestion des dates de validité des requêtes
serveur routeur
clientmandataire
cache
mémorisation(base de données)
Cache
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
12
Hiérarchisation des caches
• Protocole ICP
• Parenté ou voisinage
client
mandataires frères
mandataires pères
Cache
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
13
Cache : avantages/inconvénients
• Avantages– clients servis plus rapidement
– réduction du trafic sortant
– accès à des serveurs indisponibles
– masquage des adresses IP
• Inconvénients– masquage des adresses IP
– de plus en plus inutile (pages dynamiques)
Cache
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
14
Pourquoi filtrer ?
• Pour améliorer la bande passante
• Pour rationaliser l’utilisation des ressources
• C’est une décision politique
Université de Rennes 1
Filtrage
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
15
Critères de filtrage
• L’origine de la requête– selon le client
• La destination de la requête– selon le serveur
• Le type de requête– selon le port, la méthode
• Le contenu– analyse de mots-clés
• Le temps– selon l’heure (créneaux différenciés)
Filtrage
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
16
8000
client JunkBuster
Filtrer avec Junkbuster
8000
client serveurJunkBusterHTTP
• Protocole HTTP seulement• Filtrage (réécriture) des URLs
– sur expressions régulières
• Filtrage des cookies– selon le destinataire
Filtrage
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
17
Filtrer avec Squid
3128
squidGuard
client serveurSquid
fluxstandards
ICP, HTTP, FTP, ...
• Utiliser un redirecteur
Filtrage
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
18
3128
squidGuard
client Squid
fluxstandards
Filtrer avec SquidFiltrage
• Réécriture des URLS
3128
squidGuard
client serveurSquid
fluxstandards
ICP, HTTP, FTP, ...
• Utiliser un redirecteur
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
19
Analyse du filtrage
• Filtres binaires– on passe / on ne passe pas
• Filtres basés sur des « listes noires »– impossibilité de les maintenir
– confiance limitée
• On souhaite un filtrage conditionnel– responsabilisation des utilisateurs
– dégagement de responsabilité
Filtrage
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
20
Serveur de proxy
• Configuration automatique des navigateurs
• Accès via HTTP (URL)– ex : http://www-proxy/
• Document « application/x-ns-proxy-config »
• Code JavaScript
• Fonction FindProxyForURL()
Serveur de proxy
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
21
Configuration simple (Apache)
AddType application/x-ns-proxy-autoconfig .proxy<VirtualHost 148.60.4.30>
ServerName www-proxy.ifsic.univ-rennes1.frServerAlias www-proxyErrorLog /dev/nullTransferLog /dev/nullDocumentRoot /www/proxyDirectoryIndex ifsic.proxy<Directory /www/proxy>
Options IndexesOrder allow,denyAllow from 148.60.
</Directory></VirtualHost>
Serveur de proxy
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
22
Configuration simple (ifsic.proxy)
function FindProxyForURL(host,url){
if ( IsPlainHostName(host) || DnsDomainIs(host,".ifsic.univ-rennes1.fr") ) return "DIRECT" ;else return "cache.ifsic.univ-rennes1.fr:3128" ;
}
Serveur de proxy
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
23
Équilibre de charge (Apache)
<VirtualHost 148.60.4.30>ServerName www-proxy.ifsic.univ-rennes1.frServerAlias www-proxyErrorLog /dev/nullTransferLog /dev/nullDocumentRoot /www/proxyDirectoryIndex index.php<Directory /www/proxy>
Options IndexesOrder allow,denyAllow from 148.60.
</Directory></VirtualHost>
Serveur de proxy
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
24
Équilibre de charge (index.php)
<?strtok($GLOBALS["REMOTE_ADDR"],".") ;strtok(".") ;strtok(".") ;$last_ip_byte = strtok(".") ;header("Content-Type: application/x-ns-proxy-autoconfig");echo "function FindProxyForURL(url,host) { return " ;echo ( ( $last_ip_byte % 2 )
? "\"www-cache1:3128\"" : "\"www-cache2:3128\"" ) ;echo "}" ;?>
Serveur de proxy
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
25
Accès à l’internet depuis l’IFSIC
• Une problématique complexe– on doit limiter l’accès à l’internet
– on ne peut pas tout filtrer
– on ne veut pas restreindre le personnel
– on doit préserver un accès complet
• La solution mise en oeuvre– un découpage en quatre zones
– une bonne lisibilité
– un bon compromis
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
26
Une problématique complexe
• On doit limiter l’accès pour :– diminuer le trafic réseau
– rendre les machines plus disponibles
• On ne peut pas tout filtrer– impossible de maintenir des listes noires
(récupération automatique sur des sites spécialisés)
• On ne veut pas restreindre le personnel– administrateurs réseau, enseigants, administratifs
• On doit préserver un accès complet– pour les étudiants
– dans des cas précis
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
27
La solution mise en oeuvre
• Un découpage en quatre zones– restreinte, contrôlée, libre, privilégiée
• Une bonne lisibilité– à chaque démarrage du navigateur, un message
prévient des possibilités d’accès
– un site présente la politique de filtrage
– toute URL filtrée est redirigée vers le site ci-dessus
• Une solution de compromis
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
28
Un découpage en 4 zones
• zone restreinte– accès à l’IFSIC et à l’Université seulement
• zone contrôlée– accès internet mais filtrage (publicité et sites)
– zone par défaut
• zone libre– accès internet (filtrage publicité seulement)
– limitée à quelques salles
• zone privilégiée– administrateurs, enseignants, salles de conférence
– accès sans aucune restriction
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
29
RouteurIFSIC
Les accès nécessaires
Serveurde proxy
Réseau IFSIC
Serveurinternet
Réseau Université
RouteurUniversité
ServeurUniversité
ServeurIFSIC
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
30
IFSIC IFSIC
Serveurde proxy
Réseau IFSIC
Réseau Université
ServeurIFSIC
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
31
IFSIC Université
Serveurde proxy
Réseau IFSIC
Réseau Université
ServeurUniversité
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
RouteurIFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
32
IFSIC Université
Serveurde proxy
Réseau IFSIC
Réseau Université
ServeurUniversité
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
RouteurIFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
33
RouteurIFSIC
IFSIC internet
Serveurde proxy
Réseau IFSIC
Serveurinternet
Réseau Université
RouteurUniversité
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
34
RouteurIFSIC
IFSIC internet
Serveurde proxy
Réseau IFSIC
Serveurinternet
Réseau Université
RouteurUniversité
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
35
IFSIC internet
Serveurde proxy
Réseau IFSIC
Serveurinternet
Réseau Université
RouteurUniversité
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
RouteurIFSIC
Co
urs
d'a
dmin
istr
atio
n W
eb
- ju
in 2
001
- C
opyr
igh
t© P
asca
l AU
BR
Y -
IF
SIC
- U
niv
ers
ité d
e R
enn
es 1
36
Schéma global
Serveurde proxy
Réseau IFSIC
Serveurinternet
Réseau Université
RouteurUniversité
ServeurUniversité
ServeurIFSIC
Zone privilégiée
Zone libre
Zone contrôlée
Zone restreinte
internet
L’IFSIC
RouteurIFSIC
