[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Porquoi un proxy se met dans la DMZ ?



C'est assez simple, on place un proxy dans une DMZ car c'est le proxy
réalise une rupture de flux en HTTP (ou autre protocol suivant le type
pryx). Cette rupture de flux permet d'avoir une control sur ce qui se
passe sur le protocole. Il est localisé dans une DMZ souvent pour la
raison, que si l'on compromet la machine ils sont uniquement dans la DMZ.

Il est à noter que les analyses de protocols dans HTTPS ne sont pas faites
car le proxy forward uniquement le CONNECT puisque qu'il ne sait pas
déchiffrer le flux.

Il est important aussi de savoir qu'un proxy n'est pas une solution
miracle et qu'il est aussi possible de faire un tunnel dans HTTP pour
n'importe quel protocol cf. httptunnel http://www.nocrew.org/

En gros, il faut mieux placer un proxy (ou reverse proxy) dans une DMZ,
pour avoir une séparation sur les plusieurs niveaux de sécurité. (en cas
d'attaque sur le proxy).

Etait-ce ta question ?

Alx

-- 
---
Alexandre Dulaunoy
  Work    : http://www.conostix.com/       adulau@conostix.com
  Private : http://www.thinkingsecure.com/ adulau@thinkingsecure.com

"Liberty is the great parent of science and of virtue; and a nation will
be great in both in proportion as it is free. " T. Jefferson



On 17 Sep 2001, Frederic Descamps wrote:

> salut la liste...
>
>
> je voudrais trouver une argumentation sur ce sujet...
>
> Quelqu'un pourrait m'éclairer ?
>
>
> Merci
>
>
> Fred.
>
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
> [ http://unixtech.be              Contact: listmaster@unixtech.be  ]
>


[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php     ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/  ]
[ http://unixtech.be              Contact: listmaster@unixtech.be  ]