Un reverse-proxy, pour quoi faire ?
Pascal Cabaud
UFR EILA, Université Paris Diderot
Mots clefs
Firewall applicatif Web, routage applicatif Web, répartition de charge, sécurité des applications Web, reverse proxy
Résumé
Les systèmes d'information de nos établissements comportent de plus en plus d'applications Web. L'ensemble doit être rendu cohérent pour l'internaute. Ces applications peuvent être lourdes et nécessiter plusieurs machines, donc éventuellement une répartition de charge. En insérant un système intermédiaire entre l'internaute et les serveurs Web, il est possible d'agréger des ressources diverses en un site Web unique et de répartir la charge entre plusieurs serveurs.
Les firewalls installés il y a quelques années ne protègent plus guère ces serveurs Web : les filtres au niveau IP s'assurent bien que le port de destination est 80 ou 443, au mieux ils vérifient les options TCP ou préviennent des dénis de service mais en aucun cas ils n'inspectent le contenu des requêtes. Or, les applications Web sont vulnérables aux contenus malicieux (injections diverses de code ou de données) qui transitent via HTTP(S). Un filtrage au niveau applicatif s'avère donc aujourd'hui indispensable.
Nous disposons pour cela de nombreux logiciels open source, à commencer par Apache et ses nombreux modules, tant pour router et répartir la charge entre des serveurs Web que pour authentifier les utilisateurs ou filtrer les requêtes malicieuses.
Un reverse-proxy, pour quoi faire ?
Pascal Cabaud
UFR EILA, Université Paris Diderot
Mots clefs
Firewall applicatif Web, routage applicatif Web, répartition de charge, sécurité des applications Web, reverse proxy
Résumé
Les systèmes d'information de nos établissements comportent de plus en plus d'applications Web. L'ensemble doit être rendu cohérent pour l'internaute. Ces applications peuvent être lourdes et nécessiter plusieurs machines, donc éventuellement une répartition de charge. En insérant un système intermédiaire entre l'internaute et les serveurs Web, il est possible d'agréger des ressources diverses en un site Web unique et de répartir la charge entre plusieurs serveurs.
Les firewalls installés il y a quelques années ne protègent plus guère ces serveurs Web : les filtres au niveau IP s'assurent bien que le port de destination est 80 ou 443, au mieux ils vérifient les options TCP ou préviennent des dénis de service mais en aucun cas ils n'inspectent le contenu des requêtes. Or, les applications Web sont vulnérables aux contenus malicieux (injections diverses de code ou de données) qui transitent via HTTP(S). Un filtrage au niveau applicatif s'avère donc aujourd'hui indispensable.
Nous disposons pour cela de nombreux logiciels open source, à commencer par Apache et ses nombreux modules, tant pour router et répartir la charge entre des serveurs Web que pour authentifier les utilisateurs ou filtrer les requêtes malicieuses.