🔄 Proxy – Forward, Reverse, Caching & Sécurité

Le Médiateur (Intermédiaire)

Un Proxy (Serveur mandataire) est un serveur (un appareil ou une application) qui agit comme intermédiaire pour les requêtes des clients (ex: votre navigateur) cherchant des ressources auprès d'autres serveurs (ex: un site web).

Il opère principalement à la Couche 7 (Application) du modèle OSI. Il "comprend" le protocole (ex: HTTP) et peut analyser, modifier, et mettre en cache le trafic.

La Double Connexion

Un proxy brise la connexion directe. Il établit deux connexions distinctes :

1. Connexion 1 : Le Client se connecte au Proxy.
2. Connexion 2 : Le Proxy se connecte au Serveur (au nom du client).

[CLIENT] <---- (Connexion 1) ----> [PROXY] <---- (Connexion 2) ----> [SERVEUR WEB]

Ces trois technologies masquent l'IP, mais sont fondamentalement différentes.

C'est le concept le plus important. La technologie est la même, mais le "propriétaire" et l'objectif changent.

[CLIENT 1] ──► [FORWARD PROXY] ──► [Internet]
[CLIENT 2] ──►                   (IP: 80.1.2.3)
(Réseau Interne)

[Internet] ──► [REVERSE PROXY] ──► [Serveur Web 1]
               (IP: 80.1.2.3)  ──► [Serveur Web 2]
                               (Réseau Interne)

Le Forward Proxy est l'intermédiaire côté client. Il est explicitement configuré dans le navigateur du client ou au niveau de l'OS.

Il intercepte toutes les requêtes HTTP/HTTPS/FTP du client et décide s'il faut les autoriser, les bloquer, ou les servir depuis son cache.

Usages principaux

• Entreprise/École : C'est le cas d'usage le plus courant. Le proxy est la seule porte de sortie vers Internet. Il permet à l'administrateur de filtrer (bloquer les réseaux sociaux, la pornographie) et de surveiller (logger) le trafic web des employés/étudiants.
• Anonymat (Public) : (Voir 3.1) Un utilisateur se connecte à un proxy public pour masquer son IP d'origine.
• Contournement : Utilisé pour contourner les géo-restrictions (ex: se connecter à un proxy US pour voir un site US).

Historiquement, c'était l'un des rôles majeurs des Forward Proxies (ex: FAI, universités) : économiser la bande passante (lente et chère).

Logiciel type : Squid.

Exemple de Flux (Cache)

1. [User 1] demande "google.com/logo.png"
2. [Proxy Squid] ne l'a pas en cache.
3. [Proxy Squid] -> [Google] : "Donne-moi logo.png"
4. [Google] -> [Proxy Squid] : (Envoie logo.png)
5. [Proxy Squid] stocke "logo.png" dans son cache disque.
6. [Proxy Squid] -> [User 1] : (Envoie logo.png)

--- (Plus tard) ---

7. [User 2] demande "google.com/logo.png"
8. [Proxy Squid] l'a en cache.
9. [Proxy Squid] -> [User 2] : (Envoie logo.png depuis son cache)
   (Aucune connexion vers Internet n'est établie)

Note : C'est beaucoup moins efficace aujourd'hui à cause du HTTPS. Le trafic étant chiffré, le proxy ne peut pas "voir" ce qui est demandé (google.com/logo.png) ni le mettre en cache. (Sauf s'il effectue une interception SSL/MITM, ce qui est courant en entreprise).

C'est le cas d'usage n°1 en entreprise. Le Forward Proxy (associé à un logiciel comme SquidGuard) agit comme un filtre de contenu.

Types de Filtrage

• Filtrage URL : (Le plus simple) Bloquer l'accès à une liste de domaines (ex: facebook.com, youtube.com).
• Filtrage par Catégorie : Utilisation de listes noires (Blacklists) (ex: bloquer les catégories "Adulte", "Jeux d'argent", "Réseaux Sociaux").
• Filtrage par Mots-clés : Analyser le contenu des pages (HTTP) à la recherche de mots-clés interdits.
• Filtrage d'Authentification : Exiger une authentification (ex: Active Directory) pour accéder au web.

Un des usages grand public du Forward Proxy est de masquer l'adresse IP d'origine du client.

Le serveur web de destination (ex: Google) ne voit que l'adresse IP du Proxy dans ses logs. Il ne voit pas l'adresse IP réelle du client.

Cependant, le "niveau" d'anonymat dépend de la configuration du proxy et des en-têtes HTTP qu'il ajoute (ou supprime).

Proxy Transparent

Un proxy "transparent" n'est pas anonyme. Il est souvent utilisé par les FAI ou les entreprises pour le caching ou le filtrage sans que le client n'ait à configurer quoi que ce soit (le trafic est "intercepté").

Il s'identifie lui-même (ex: Via: 1.1 proxy.fai.com) et, surtout, il ajoute l'en-tête X-Forwarded-For (XFF) qui contient l'adresse IP réelle du client.

Requête reçue par le serveur (de la part du Proxy) :

GET / HTTP/1.1
Host: www.example.com
X-Forwarded-For: 1.2.3.4  (IP réelle du Client)
Via: 1.1 proxy.fai.com

Le Reverse Proxy (Proxy Inverse) est l'inverse du Forward Proxy. Il est placé côté serveur et agit "au nom du serveur".

Les clients (Internet) ne se connectent jamais directement aux serveurs d'application (Back-end). Ils se connectent tous au Reverse Proxy, qui est la seule façade (Gateway) publique.

Usages Principaux (La pile "moderne")

• Load Balancing (Répartition de charge) : Distribuer le trafic sur plusieurs serveurs back-end.
• SSL Offloading (Terminaison SSL) : Gérer le HTTPS à la place des serveurs back-end.
• Sécurité (WAF) : Filtrer les attaques (SQLi, XSS) avant qu'elles n'atteignent l'application.
• Caching Statique : Servir les images/CSS/JS (Varnish, Nginx).
• Routing : (/api -> Serveur Node.js, /blog -> Serveur WordPress).

Outils : Nginx, HAProxy, Caddy, Varnish.

C'est l'un des rôles majeurs du Reverse Proxy (Nginx, HAProxy). Il permet la Haute Disponibilité (HA) et la Scalabilité Horizontale.

Il gère un "pool" de serveurs back-end et distribue les requêtes entrantes parmi eux.

Algorithmes de Répartition

• Round Robin (Tourniquet) : (Défaut) 1er clic -> Srv A, 2e clic -> Srv B, 3e clic -> Srv A... (Simple).
• Least Connections (Moins de Connexions) : Envoie la requête au serveur ayant actuellement le moins de connexions actives (plus équitable).
• IP Hash : Assigne un client (basé sur son IP) au même serveur (utile pour les sessions "sticky").

Health Checks

Le Load Balancer "ping" (teste) en permanence ses serveurs back-end. S'il détecte qu'un serveur (ex: Srv B) ne répond plus, il le retire automatiquement du pool et n'envoie du trafic qu'aux serveurs sains.

SSL Offloading (ou Terminaison TLS) est une fonction du Reverse Proxy où il gère 100% des opérations de chiffrement/déchiffrement.

Le Flux

Le trafic est chiffré (HTTPS) sur Internet, mais en clair (HTTP) sur le LAN interne.

[CLIENT] <--- (Connexion 1 : HTTPS - Cryptée) ---> [REVERSE PROXY (Nginx)]
                                                        │ (Port 443)
                                                        │ (Déchiffre)
                                                        │
         <--- (Connexion 2 : HTTP - Non cryptée) ---> [Serveur App 1]
                                                        │ (Port 80)
                                                        │
         <--- (Connexion 2 : HTTP - Non cryptée) ---> [Serveur App 2]
                                                          (Port 80)

Avantages

• Performance : Le chiffrement est lourd (CPU). Les serveurs d'application (PHP, Node) sont "déchargés" (offloaded) de cette tâche.
• Centralisation : Un seul endroit où gérer (installer, renouveler) les certificats SSL, au lieu de 10 serveurs.
• Simplicité : Les serveurs back-end n'ont même pas besoin de savoir que le HTTPS existe.

Un WAF est un type spécifique de Reverse Proxy (Couche 7) axé sur la sécurité applicative.

Il se place devant le serveur web et inspecte le contenu des requêtes HTTP (URLs, Headers, Body) à la recherche de signatures d'attaques (ex: OWASP Top 10).

Exemple de règle WAF

Client envoie :
GET /login.php?user=' OR '1'='1'

1. [WAF] (ex: ModSecurity) reçoit la requête.
2. Il analyse le paramètre "user".
3. Il détecte la signature d'une Injection SQL.
4. Il bloque (Drop) la requête.
5. Il logge l'attaque et bannit l'IP.

(Le trafic n'atteint jamais le serveur applicatif vulnérable).

Il protège contre : Injection SQL, XSS, SSRF, LFI/RFI...

Similaire au Caching "Forward", mais côté serveur. Le Reverse Proxy met en cache le contenu (statique ou dynamique) de ses serveurs back-end pour réduire la charge.

Exemple (Nginx / Varnish)

1. [User 1] demande "/blog/article-1"
2. [Proxy Cache] ne l'a pas.
3. [Proxy Cache] -> [Serveur App (PHP)] : "Génère-moi /blog/article-1"
4. [Serveur App] (génère la page) -> [Proxy Cache]
5. [Proxy Cache] stocke le HTML de la page (ex: pour 60 sec).
6. [Proxy Cache] -> [User 1] (Envoie la page)

--- (10 sec plus tard) ---

7. [User 2] demande "/blog/article-1"
8. [Proxy Cache] l'a en cache.
9. [Proxy Cache] -> [User 2] (Envoie la page depuis son cache)
   (Le serveur PHP n'est jamais contacté).

Outils : Varnish (spécialisé), Nginx (très bon).

Nginx (prononcé "Engine-X") est le logiciel open-source leader du marché pour le Reverse Proxy. (Il est aussi un excellent serveur web statique).

Il est réputé pour sa haute performance (architecture "event-driven", non bloquante) et sa faible consommation mémoire.

Configuration (Exemple de Reverse Proxy)

# /etc/nginx/sites-available/default

# Définir le pool de serveurs back-end
upstream my_app {
    server 10.0.0.1:8080;  # App 1
    server 10.0.0.2:8080;  # App 2
}

server {
    listen 80;
    server_name www.ideolab.com;

    # Caching statique
    location ~* \.(jpg|css|js)$ {
        root /var/www/static;
        expires 30d;
    }

    # Reverse Proxy
    location / {
        proxy_pass http://my_app; # Envoie le trafic au pool
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

La plupart des "Forward Proxies" utilisent l'un de ces two protocoles.

Squid est le logiciel open-source historique et le plus connu pour le Forward Proxy (HTTP/HTTPS).

Il est extrêmement robuste et configurable (via son fichier squid.conf).

Fonctions Principales

• Proxy Caching : (Son rôle historique) Mettre en cache le contenu web pour les FAI/Entreprises.
• Filtrage : Agit comme proxy de sortie.
  • SquidGuard / DansGuardian : Des plugins populaires pour Squid qui gèrent le filtrage d'URL (listes noires) et de contenu.
• Authentification : Peut s'intégrer à LDAP/Active Directory pour authentifier les utilisateurs avant de leur donner accès au web.