Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
fr:proxy [2016/08/11 11:00] admin [La bonne méthode à adopter] |
fr:proxy [2023/10/18 21:53] (Version actuelle) admin [Que faire s'il n'est pas possible de contourner le proxy] |
||
|---|---|---|---|
| Ligne 5: | Ligne 5: | ||
| "Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre deux hôtes pour faciliter ou surveiller leurs échanges." - extrait wikipedia | "Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre deux hôtes pour faciliter ou surveiller leurs échanges." - extrait wikipedia | ||
| - | {{:proxy_concept_fr.png?420|}} | + | {{public_media:proxy_concept_fr.png?420|}} |
| Les serveurs proxys sont notamment utilisés pour assurer les fonctions suivantes : | Les serveurs proxys sont notamment utilisés pour assurer les fonctions suivantes : | ||
| Ligne 18: | Ligne 18: | ||
| Le proxy est un dispositif de sécurité principalement destiné à sécuriser l'entreprise des comportements à risques (volontaires ou involontaires) que pourraient adopter les employés : surf sur des sites à risque, téléchargement de fichiers vérolés, visites de sites web interdits depuis le lieu de travail. | Le proxy est un dispositif de sécurité principalement destiné à sécuriser l'entreprise des comportements à risques (volontaires ou involontaires) que pourraient adopter les employés : surf sur des sites à risque, téléchargement de fichiers vérolés, visites de sites web interdits depuis le lieu de travail. | ||
| - | Les mécanismes de contrôle, de mise en cache, de compression du proxy altère la connexion connexion http et ne font pas toujours bon ménage avec des équipements qui exploitent le protocole http comme un canal TCP générique. | + | Les mécanismes de contrôle, de mise en cache, de compression du proxy altère la connexion http et ne font pas toujours bon ménage avec des équipements qui exploitent le protocole http comme un canal TCP générique. |
| - | zebrix repose sur le HTML5 et ses nouveaux standards, par exemple les websocket et connexions SSE, qui ont la particularité d’ouvrir des canaux HTTP avec des timeout infinis. Les proxy ou modules de sécurité pro intégré à certain pare-feux ne sont malheureusement pas tolérant envers ces mécanismes (le proxy va avoir tendance à couper les connexions pour pouvoir faire son travail de caching, idem pour les modules antivirus de de content filtering, les modules de connexion tracking vont avoir tendance à redéfinir leur propre timeout…). | + | zebrix repose sur le HTML5 et ses nouveaux standards, par exemple les websocket et connexions SSE, qui ont la particularité d’ouvrir des canaux HTTP avec des timeout infinis. Les proxy ou modules de sécurité pro intégrés à certain pare-feux ne sont malheureusement pas tolérants envers ces mécanismes récents (le proxy va avoir tendance à couper les connexions pour pouvoir faire son travail de caching, idem pour les modules antivirus de de content filtering, les modules de connexion tracking vont avoir tendance à redéfinir leur propre timeout…). |
| ==== Quels sont les problèmes connus lors de l'utilisation d'un proxy avec zebrix ? ==== | ==== Quels sont les problèmes connus lors de l'utilisation d'un proxy avec zebrix ? ==== | ||
| Ligne 29: | Ligne 29: | ||
| * Status de la connexion non fiable (l'écran apparaît déconnecté alors qu'il est connecté ou inversement) | * Status de la connexion non fiable (l'écran apparaît déconnecté alors qu'il est connecté ou inversement) | ||
| * La mise à jour d'un contenu prends plusieurs minutes alors qu'elle devrait être instantanée | * La mise à jour d'un contenu prends plusieurs minutes alors qu'elle devrait être instantanée | ||
| + | * Mise à jour des sources de données dynamiques (datasource) ne se fait pas ou se fait avec un délais important. | ||
| * La lecture de vidéo ne fonctionne pas | * La lecture de vidéo ne fonctionne pas | ||
| * Affiche de message de sécurité (émanant du proxy) par au dessus de l'application zebrix | * Affiche de message de sécurité (émanant du proxy) par au dessus de l'application zebrix | ||
| Ligne 45: | Ligne 46: | ||
| Ouvrir le port 80 ou 443 à destination de l'IP du serveur zebrix : | Ouvrir le port 80 ou 443 à destination de l'IP du serveur zebrix : | ||
| - | **screenv2.zebrix.net - 46.105.174.70** | + | **screen.zebrix.net - 46.105.174.70** |
| ^Adresse IP Source^Port Source^Adresse IP destination ^Port destination ^ | ^Adresse IP Source^Port Source^Adresse IP destination ^Port destination ^ | ||
| - | |**any** |**any** |**46.105.174.70 (screenv2.zebrix.net)**|**TCP 80 ou 443**| | + | |**any** |**any** |**46.105.174.70 (screen.zebrix.net)**|**TCP 80 ou 443**| |
| + | |||
| + | Dans cette configuration, les écrans zebrix ne disposent pas d'un accès à tout l'internet, il s'agit d'une ouverture de port très ciblée à destination des serveurs zebrix. Pour un niveau de sécurité optimal, le cloisonnement des écrans au sein d'un VLAN (sans accès depuis ou à destination du LAN) est également une bonne pratique. Dans ce contexte, le fait de ne pas utiliser un proxy ne dégrade en rien le niveau de sécurité de votre entreprise. | ||
| ==== Que faire s'il n'est pas possible de contourner le proxy ==== | ==== Que faire s'il n'est pas possible de contourner le proxy ==== | ||
| - | Si le proxy est incontournable sur le port par défaut http (80) ou https (443), il est possible de se connecter à zebrix à travers le port TCP 6001. L'ouverture a effectuer dans votre pare-feu étant très restrictives elle ne dégradera pas le niveau de sécurité de votre réseau ou de votre proxy | + | Si le proxy est incontournable sur le port par défaut http (80) ou https (443), il est possible de se connecter à zebrix à travers le port TCP 6001 ou 6002. Là encore, l'ouverture de port à effectuer dans votre pare-feu étant très restrictive, elle ne dégradera pas le niveau de sécurité de votre réseau |
| ^Adresse IP Source^Port Source^Adresse IP destination ^Port destination ^ | ^Adresse IP Source^Port Source^Adresse IP destination ^Port destination ^ | ||
| - | |**any** |**any** |**46.105.174.70 (screenv2.zebrix.net)**|**TCP 6001**| | + | |**any** |**any** |**46.105.174.70 (screen.zebrix.net)**|**TCP 6001-6002**| |
| + | ==== Que faire si je souhaite afficher les contenus web (zone web) nécessitant de passer par un proxy ? ==== | ||
| + | Il est possible de configurer un serveur proxy dans les players externes et d'ajouter une exception sur *.zebrix.net, la communication à zebrix se ferra sans proxy. Les reste des contenus web chargés seront régulés par le proxy. | ||
