Mise en place de WPAD

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Mise en place de WPAD

Message par jdh » 03 Mars 2012 12:29

Dès qu'on parle de proxy, on s'intéresse à la config des postes et à l'automatisation de la config.
On commence par entendre "proxy transparent", et on se dit "c'est bien, c'est super".
Puis, on finit par chercher quelque chose de mieux ...


* Qu'est ce que WPAD ?
WPAD = Web Proxy Auto Discovery
WPAD est un protocole automatique permettant à un navigateur de trouver le proxy à utiliser pour un réseau donné.
Attention, les navigateurs (IE, Firefox, ...) sont généralement configurés pour accéder à Internet en direct (=sans proxy).
Il est aisé de cocher la case "Proxy Automatique" en lieu et place (mais le réglage doit se faire session par session ...)

* Intérêt de WPAD ?
Un proxy permet de
- économiser de la bande passante (fonction cache),
- filtrer l'accès à Internet (blacklist de site, contrôle de l'utilisateur, anti-virus, ...),
- loguer les accès à Internet (cf loi de 2006 obligatoire),
- limiter l'accès à Internet (en fonction du temps, du volume, ...),
- savoir ce qu'il se passe.
WPAD, au prix d'un très légère config du poste, permet de trouver ce proxy.
Mais il existe bien aussi le proxy "transparent" (i.e. sans config) ?
Oui, on peut utiliser un proxy transparent mais cela ne fonctionne uniquement pour http alors que WPAD peut fonctionner pour http, https, et ftp (dans le navigateur). Et le proxy transparent se réalise à partir du firewall ... souvent sans toutes les possibilités d'un vrai proxy dédié.
Le proxy transparent reste donc un peu limité (enfin AMPSHA).

* Fonctionnement de WPAD :
WPAD nécessite
- une option DHCP (252),
- un nom DNS (wpad.domaine.com),
- un serveur web (p.e. l'intranet),
- un petit fichier de configuration (en javascript) à la racine sur serveur web (proxy.pac et/ou wpad.dat),
- et ... la petite config de chaque poste (1' par poste).
Et 1 à 2h de mise au point, bien sûr !
(NB : il faut faire ET l'option dhcp ET le nom dns pour être sûr que cela fonctionne pour IE et Firefox !)

* WPAD fonctionne-t-il bien ?
Oui, avec une toute petite latence au premier lien.
Malheureusement les navigateurs ne fonctionnent pas tous de la même façon y compris par rapport à WPAD.
Cependant des instructions simples sont comprises par tous les navigateurs.

* Avantages de WPAD ?
Vous allez pouvoir avoir un proxy dédié avec toutes les fonctions utiles (à votre choix).
Et, il y a juste 1 cache à cocher sur chaque session pour en bénéficier.

* Défauts de WPAD ?
Outre le fichier de configuration un peu délicat, il faut bien sûr configurer TOUTES les sessions de tout le parc micros et serveurs.
Mais le réglage ne gêne absolument pas les nomades qui branchent leur portable chez eux !
La RFC définissant WPAD est hélas obsolète et expiré, donc le standard n'en est pas un véritable, et les navigateurs n'en font qu'à leur tête).

Plus grave, en se connectant sur un réseau inconnu, un petit malin POURRAIT fournir un wpad prévu pour collecter votre navigation voire vos mots de passe ! (Célèbre attaque du Man-In-The-Middle à laquelle vous acceptez volontairement puisque vous être en proxy auto). Semble malgré tout assez improbable puisque parfaitement identifiable et localisé !

* Liens utiles :
- http://irp.nain-t.net/doku.php/220squid:050_wpad (Christian CALECA, comme d'hab.)
- http://en.wikipedia.org/wiki/Web_Proxy_ ... y_Protocol ( Wikipedia en anglais)
- http://fr.wikipedia.org/wiki/Fichier_.PAC (Wikipedia sur fichiers .pac en français)
- http://technet.microsoft.com/en-us/libr ... 13344.aspx (Pour les fans d'ISA de Microsoft, à noter que les DNS windows nécessitent un réglage particulier)

* Alternatives ?
Dans le monde Windows et ActiveDir, il est possible avec des GPO de définir automatiquement le proxy à utiliser pour le PC.
Ne s'applique pas à Firefox, Opera sauf s'ils sont configurés pour récupérer les réglages de la station (=ceux d'IE).
(Perso, je ne suis jamais allé au bout de cette méthode !)


A suivre pour l'implantation pratique ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Mise en place de WPAD

Message par jibe » 07 Mars 2012 23:11

Salut,

Image Image
Merci jdh ! Image

Toujours pas compris pourquoi tu ne voulais pas mettre tes tutos dans le wiki, mais bon : l'important est que grâce à toi, nous avons d'excellents tutos, présentés sous une forme très pédagogique :)
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron