Le serveur reverse-proxy : Eléments principaux

Le fonctionnement sécurisé des serveurs Web représente un problème et un challenge pour les administrateurs réseaux. En effet les services en ligne comme l’utilisation d’Internet ou les Emails doivent passer par le réseau public. Cependant une simple connexion directe à Internet peut rendre les systèmes vulnérables aux logiciels malveillants. C’est pourquoi on utilise généralement pour se prémunir de ce risque, un composant réseau : le reverse-proxy ou proxy inverse en français.

L‘interface de communication du réseau d’un reverse-proxy peut effectuer diverses fonctions qui permettent ainsi d’améliorer la sécurité du serveur d’arrière-plan et d’optimiser le trafic des données.

Les serveurs reverse-proxy sont en général protégés par un pare-feu dans un réseau interne ou une zone démilitarisée (DMZ). Le proxy inverse, similaire au proxy-forward, est la seule connexion entre Internet et le réseau privé. Toutes les requêtes du serveur d’arrière-plan au réseau local passent par la même interface de communication avant d’être transférées aux systèmes ciblés. Cette mise en commun permet ainsi de contrôler les données du trafic entrant et autorise divers serveurs sous le même URL pour distribuer les requêtes de manière uniforme sur différents serveurs et ainsi d’accélérer la récupération des données par l’utilisation de la mémoire cache ou caching. Ci-dessous les différentes applications d’un serveur reverse-proxy :

• Anonymisation : Etant le seul accès au réseau interne, le reverse-proxy intercepte ainsi toutes les requêtes vers le serveur d’arrière-plan et agit de telle sorte que les programmes clients pensent qu’ils sont directement en lien avec le système ciblé actuel. Pour cela, le proxy transfère les requêtes aux systèmes ciblés correspondants dans le réseau local, acceptant leurs réponses puis les transférant aux clients. Le serveur d’arrière-plan reste donc anonyme.

• Encodage et protection : En amont, un reverse-proxy offre la possibilité d’installer des systèmes de contrôle comme les scanners de virus ou les filtres de paquets, ce qui renforce la protection des serveurs qui sont en arrière-plan. Le serveur proxy représente ainsi un autre lien de la chaine sécuritaire entre Internet et le réseau local. Un serveur reverse-proxy peut aussi être utilisé pour l’encodage. L’externalisation des certificats SSL du proxy allège les serveurs Web en arrière-plan.

• Répartition de charge : Grâce à l’utilisation en amont d‘un proxy inverse, il est possible de lier une URL de différents serveurs sur le réseau privé. Ceci permet de distribuer les requêtes entrantes à de multiples serveurs. La répartition de charge, de l’anglais load-balancing empêche la surcharge d’un système et fonctionne en cas de défaillance d’un serveur. Si un serveur n’est pas accessible à cause d’une erreur de matériel ou d’un logiciel, le répartiteur de charge du proxy distribue alors les requêtes entrantes aux serveurs disponibles. Cela assure le bon fonctionnement en continu du service même lorsqu’un problème survient.

• Caching : Afin d’accélérer la vitesse du service, le reverse-proxy apporte une fonction de cache, qui autorise à cacher des réponses du serveur. Cette mise en cache permet ainsi au serveur proxy de répondre aux requêtes répétitives, de manière partielle ou complète. Du contenu statique comme des images ou des pages Web fréquemment consultées par les utilisateurs du réseau local sont gardés en mémoire (en « cache ») par le proxy. Cela permet ainsi d’une part de réduire l’utilisation de la bande passante vers le Web et de réduire le temps d’accès aux documents pour les utilisateurs. Toutefois comme les contenus changent rapidement il est nécessaire que le proxy compare régulièrement les données qu’il stocke en mémoire cache avec les données distantes pour s’assurer que les données ne sont pas périmées.

• Compression : équipé du logiciel approprié, un serveur reverse-proxy peut être aussi usité pour compresser des données entrantes et sortantes. Un programme renommé pour compresser les sites Web est Gzip, ce logiciel est souvent utilisé en combinaison avec Apache ou nginx.

Le serveur Apache http peut être utilisé pour installer un reverse-proxy. En effet, le serveur Web le plus mondialement connu comporte des modules d’extensions pour la fonction de proxy et peut simplement être configuré avec quelques lignes de code. Le guide suivant décrit étape par étape comment développer une installation d’Apache sur le système d’exploitation Ubuntu en ajoutant un module nécessaire et créant un fichier de configuration pour le transfert.

Le serveur open source Apache HTTP est disponible gratuitement sur le site de l’Apache Software Foundation. Une introduction à ce logiciel se trouve sous notre guide.

Pour utiliser un serveur Apache HTTP comme reverse-proxy, vous avez besoin du module mod_proxy. Ceci améliore les fonctionnalités de base et cela peut encore être accentué par divers modules supplémentaires : 

• mod_proxy_http contient toutes les fonctions proxy pour les requêtes HTTP et HTTPS. Ce module add-on supporte les versions de protocole HTTP/0.9, HTTP/1.0 et HTTP/1.1

• mod_proxy_ftp est nécessaire pour avoir les fonctionnalités de proxy pour les requêtes FTP

• mod_proxy_connect apporte les fonctionnalités proxy pour le tunneling SSL

• mod_proxy_ajp implémente l’Apache-JServ-Protocol (AJP). Ceci est utilisé dans le cadre de la répartition de charge afin de transférer les requêtes vers les serveurs d’applications en arrière-plan

• mod_cache, mod_disk_cache et mod_mem_cache implémentent la fonction de cache, ce qui permettra à certains contenus d’être stockés sur la mémoire cache du serveur Apache

• mod_proxy_html active la réécriture de liens HTML

• mod_headers permet la modification des données des en-têtes HTTP

• mod_deflate met en place une fonction de compression

Afin d’installer le module mod_proxy avec tous les modules complémentaires, la ligne de commande suivante est requise :

Ce tutorial est spécialisé sur les fonctions de base du module Apache mod_proxy. Vous pouvez trouver une description détaillée des modules add-on avec toutes les commandes nécessaires sur le site officiel comportant les documents du projet Apache.

Afin d’activer les modules individuels de la fonction proxy Apache, la commande a2enmod est utilisée. Les modules qui sont déjà activés peuvent être désactivés par la commande a2dismod. Pour créer un simple reverse-proxy pour un serveur Web en amont, il suffit simplement de charger les modules mod_proxy et mod_proxy_http.

Après l’activation des modules, le serveur Apache HTTP doit être redémarré :

Pour que le reverse-proxy accepte les requêtes d’Internet et les transmettent aux serveurs appropriés sur le réseau local, vous avez besoin de désactiver le fichier de configuration 000-default.conf dans le répertoire /etc/apache2/sites-enabled et de la remplacer par un fichier hôte virtuel comme example.conf. Il est conseillé de créer un fichier hôte virtuel séparé pour chaque serveur cible avec sa propre adresse IP :

Les instructions pour la fonction proxy sont définies dans la commande <VirtualHost>. La balise Start contient également l’adresse IP et le numéro de port ou Apache, configuré comme un serveur reverse-proxy doit recevoir les requêtes. Si toutes les adresses IP sont incluses, le métacaractère * est utilisé comme le montre l’exemple. Les informations de la balise VirtualHost sont donc affichées sous la forme de commande. Contrairement À la balise VirtualHost, ces arguments définissent comment traiter les requêtes entrantes et les paquets de réponse. Les commandes ServerName, ProxyPass et ReversePass sont particulièrement importantes.

• ServerName : la commande ServerName définit le nom premier d’un serveur sur internet. Il doit être réglable soit via DNS ou via /etc/hosts. Dans cet exemple, le serveur Apache est programmé pour accepter toutes les requêtes de domain.tld.

• ProxyPass : la commande ProxyPass définit l’adresse cible pour une redirection. Toutes les requêtes qui sont destinées à une adresse publique sont transférer par le reverse-proxy à l’adresse interne spécifiée dans le ProxyPass. Dans l’exemple, cela serait l’adresse IP fictive 123.456.7.89.

• ProxyPassReverse : un serveur proxy ne reçoit pas seulement des requêtes, il peut aussi transférer des paquets de réponse des serveurs d’arrière-plan aux clients. Pour éviter que ces réponses (à savoir ceux du serveur en arrière-plan) contiennent un en-tête d’information incorrect, la commande ProxyPassReverse réécrit l’en-tête des réponses du serveur pour qu’elles puissent être en accord avec le serveur proxy. Le serveur d’arrière-plan reste donc anonyme.

De plus, il existe aussi deux commandes supplémentaires : ServerAlias et ProxyRequests. Ces commandes ne représentent pas des fonctions de base pour le serveur proxy et sont donc plutôt facultatives.

• ServerAlias : la commande ServerAlias autorise à définir un nom différent pour le serveur cible en complément du nom premier du serveur.

• ProxyRequest : la commande ProxyRequests avec l’argument Off empêche le serveur Apache HTTTP d’être utilisé comme un proxy-forward afin d’éviter d’éventuels abus.

Si les règles de la fonction proxy sont bien définies, la configuration doit donc être active via le terminal :

Le serveur Apache HTTP accepte désormais toutes les requêtes de domain.tld ou de www.domain.tld et les transmettent au serveur d’arrière-plan avec l’IP 123.456.7.89