Pourquoi l'utilisation d'un écran zebrix à travers un proxy est-elle déconseillée ?

“Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre deux hôtes pour faciliter ou surveiller leurs échanges.” - extrait wikipedia

Les serveurs proxys sont notamment utilisés pour assurer les fonctions suivantes :

  • accélération de la navigation : mémoire cache, compression de données, filtrage des publicités ou des contenus lourds (java, flash) ;
  • la journalisation des requêtes (logging) ;
  • la sécurité de l'internaute : antivirus ;
  • le filtrage des contenus et des sites (liste blanche, liste noire, interdiction par mots clés, par types de fichiers).

Le proxy est un dispositif de sécurité principalement destiné à sécuriser l'entreprise des comportements à risques (volontaires ou involontaires) que pourraient adopter les employés : surf sur des sites à risque, téléchargement de fichiers vérolés, visites de sites web interdits depuis le lieu de travail.

Les mécanismes de contrôle, de mise en cache, de compression du proxy altère la connexion http et ne font pas toujours bon ménage avec des équipements qui exploitent le protocole http comme un canal TCP générique.

zebrix repose sur le HTML5 et ses nouveaux standards, par exemple les websocket et connexions SSE, qui ont la particularité d’ouvrir des canaux HTTP avec des timeout infinis. Les proxy ou modules de sécurité pro intégrés à certain pare-feux ne sont malheureusement pas tolérants envers ces mécanismes récents (le proxy va avoir tendance à couper les connexions pour pouvoir faire son travail de caching, idem pour les modules antivirus de de content filtering, les modules de connexion tracking vont avoir tendance à redéfinir leur propre timeout…).

Quels sont les problèmes connus lors de l'utilisation d'un proxy avec zebrix ?

Les problèmes constatés diffèrent en fonction de la technologie de proxy utilisée et de son paramétrage. Toutefois, les problèmes récurrents suivants ont déjà été constatés :

  • Status de la connexion non fiable (l'écran apparaît déconnecté alors qu'il est connecté ou inversement)
  • La mise à jour d'un contenu prends plusieurs minutes alors qu'elle devrait être instantanée
  • Mise à jour des sources de données dynamiques (datasource) ne se fait pas ou se fait avec un délais important.
  • La lecture de vidéo ne fonctionne pas
  • Affiche de message de sécurité (émanant du proxy) par au dessus de l'application zebrix
  • Demande d'un nom d'utilisateur et mot de passe à la place de l'application zebrix
  • fonction screenshot non fonctionnelle
  • etc.

L'utilisation de zebrix à travers un proxy n'est pas recommandée voir même déconseillée

Ouvrir le port 80 ou 443 à destination de l'IP du serveur zebrix :

screen.zebrix.net - 46.105.174.70

Adresse IP SourcePort SourceAdresse IP destination Port destination
any any 46.105.174.70 (screen.zebrix.net)TCP 80 ou 443

Dans cette configuration, les écrans zebrix ne disposent pas d'un accès à tout l'internet, il s'agit d'une ouverture de port très ciblée à destination des serveurs zebrix. Pour un niveau de sécurité optimal, le cloisonnement des écrans au sein d'un VLAN (sans accès depuis ou à destination du LAN) est également une bonne pratique. Dans ce contexte, le fait de ne pas utiliser un proxy ne dégrade en rien le niveau de sécurité de votre entreprise.

Que faire s'il n'est pas possible de contourner le proxy

Si le proxy est incontournable sur le port par défaut http (80) ou https (443), il est possible de se connecter à zebrix à travers le port TCP 6001 ou 6002. Là encore, l'ouverture de port à effectuer dans votre pare-feu étant très restrictive, elle ne dégradera pas le niveau de sécurité de votre réseau

Adresse IP SourcePort SourceAdresse IP destination Port destination
any any 46.105.174.70 (screen.zebrix.net)TCP 6001-6002

Que faire si je souhaite afficher les contenus web (zone web) nécessitant de passer par un proxy ?

Il est possible de configurer un serveur proxy dans les players externes et d'ajouter une exception sur *.zebrix.net, la communication à zebrix se ferra sans proxy. Les reste des contenus web chargés seront régulés par le proxy.