Sécurité du serveur proxy
La sécurité du serveur proxy de mise en cache est importante. Vous trouverez ici des informations détaillées sur la manière de contrôler qui a accès aux fichiers qui s'y trouvent.
Tout serveur accessible à partir du réseau Internet peut attirer l'attention de personnes non autorisées, désireuses de connaître le système d'exécution associé. Ces personnes peuvent tenter de découvrir des mots de passe, de mettre à jour des fichiers, d'exécuter des fichiers ou de lire des données confidentielles. La structure ouverte d'Internet constitue l'un des attraits du réseau World Wide Web. Toutefois, Internet peut donner lieu à des utilisations positives comme à des manipulations frauduleuses.
Les sections suivantes décrivent comment contrôler qui a accès aux fichiers sur votre serveur proxy de mise en cache.
Le proxy de mise en cache prend en charge les connexions SSL (Secure Sockets Layer), dans lesquelles des transmissions sécurisées impliquant un chiffrement et un déchiffrement sont établies entre le navigateur client et le serveur de destination (un serveur de contenu ou un serveur de substitution).
Lorsque Caching Proxy est configuré en tant que proxy de substitution, il peut établir des connexions sécurisées avec les clients, avec les serveurs de contenu, ou avec les deux. Pour activer les connexions SSL, dans les formulaires Configuration et Administration, sélectionnez Paramètres SSL de la configuration du proxy. Dans ce formulaire, cochez la case Activation de SSL et indiquez la base de données de clés et le fichier de mots de passe associé.
Lorsque Caching Proxy est configuré en tant que serveur proxy de transfert, il suit un protocole de transfert appelé « SSL Tunneling » afin de transmettre les requêtes cryptées entre le client et le serveur de contenu. Les informations chiffrées ne sont pas mises en mémoire cache car le serveur proxy ne déchiffre pas ce type de demande. Si vous installez un serveur proxy d'acheminement, la fonction d'établissement des tunnels SSL est activée par défaut. Pour le désactiver, dans les formulaires Configuration et Administration, sélectionnez Configuration du proxy Paramètres du proxy, puis désactivez la case à cocher Tunnel SSL dans ce formulaire.
- Installez le serveur destiné à un accès public dans un réseau séparé du réseau local ou interne.
- Désactivez les outils permettant aux utilisateurs distants d'accéder aux processus internes du serveur. Envisagez notamment de désactiver les clients telnet, TN3270, rlogin et finger sur le système exécutant le serveur.
- Utilisez la fonction de filtrage de paquets et les pare-feu.
Le filtrage des paquets permet de définir les points d'origine et de destination des données. Vous pouvez configurer le système pour que certaines combinaisons point d'origine/point de destination soient rejetées.
Un pare-feu sépare un réseau interne d'un réseau auquel des utilisateurs ont accès, comme Internet. Le pare-feu peut se composer d'un groupe d'ordinateurs ou d'un ordinateur unique chargé d'assurer une fonction de passerelle dans les deux sens, et de réguler et de vérifier le trafic. IBM® Firewall est un exemple de logiciel pare-feu.
- Contrôlez les scripts CGI. L'utilisation de scripts CGI sur un serveur web peut présenter certains risques ; en effet, ces scripts peuvent afficher des variables d'environnement comportant des données confidentielles, telles que les ID utilisateur et les mots de passe. Avant d'exécuter un programme CGI sur le serveur, vous devez savoir exactement comment il fonctionne et contrôler les utilisateurs autorisés à y accéder.
Proxy /* http://content server :443Proxy /* https://content server :443