Blog

Qu'est-ce qu'un proxy transparent ? Comment détecter et contourner

Comme tous les proxys réseau, un proxy transparent intercepte et redirige les données en transit, généralement via Internet. En termes simples, les proxys transparents ne modifient pas les données qui les traversent. Mais ce qui distingue vraiment les proxys transparents, c'est que les clients (les appareils des utilisateurs finaux utilisés par vous et moi) n'ont pas besoin de configurer ni même de connaître le proxy pour qu'il fonctionne. Les proxys transparents sont parfois appelés proxys en ligne, d'interception, inversés, invisibles ou forcés.

Si vous êtes un utilisateur fréquent d'Internet,vous interagissez probablement tout le temps avec des proxys transparentssans le savoir. Il y a de fortes chances que votre fournisseur d’accès Internet utilise des proxys transparents chaque fois que vous souhaitez accéder à des sites Web, des vidéos et des articles d’actualité populaires. Au lieu d’envoyer et de recevoir une vidéo du serveur Netflix à travers le pays chaque fois que quelqu’un souhaite la regarder, votre FAI local « mettra en cache » une copie de la vidéo sur ses propres serveurs. Lorsque vous regardez la vidéo, le proxy transparent vous redirigera vers la version mise en cache de la vidéo, économisant ainsi la bande passante en amont. En tant qu'utilisateur final, vous obtenez une vidéo de meilleure qualité avec moins de mise en mémoire tampon, mais sinon, l'expérience est impossible à distinguer d'une connexion directe à Netflix.

Les proxys transparents font partie intégrante des réseaux de diffusion de contenu, ou CDN, qui effectuent une mise en cache à grande échelle. Mais ce n’est qu’une application parmi tant d’autres. Dans cet article, nous verrons plus en détail comment fonctionnent les proxys transparents, comment ils sont utilisés, leurs avantages et inconvénients, et comment les détecter et les contourner.

Comment fonctionnent les proxys transparents

Pour l’utilisateur final, un proxy transparent est essentiellement un malware. Il intercepte le trafic Internet et le redirige vers une autre destination sans le consentement de l’utilisateur final. Cela décrit essentiellement une attaque de l'homme du milieu (MITM). Toutefois, les proxys transparents ne sont pas toujours malveillants.

Les proxys transparents se situent généralement entre les utilisateurs et le Web. Lorsqu'un utilisateur envoie une demande de connexion, par exemple à un site Web, celle-ci est d'abord redirigée vers le serveur proxy. La redirection est généralement gérée par un pare-feu sur le même hôte que le serveur proxy, comme iptables sous Linux.

Le serveur proxy reçoit la requête puis demande au redirecteur – le pare-feu – la destination d'origine de la connexion. Il peut alors décider d'autoriser ou non la connexion à passer vers la destination d'origine, de bloquer la connexion ou de rediriger la connexion.

Squid est le logiciel le plus populaire utilisé pour configurer des proxys transparents.

Comment les proxys transparents sont utilisés

Les proxys transparents ne nécessitent aucune configuration côté client, les utilisateurs n'ont donc pas besoin de télécharger d'applications ni de modifier la configuration de leur côté pour les utiliser. Au lieu de cela, la configuration est laissée au fournisseur de services, qui exerce un plus grand contrôle sur la manière dont les utilisateurs interagissent avec leurs services. Cela rend les proxys transparents utiles dans les situations dans lesquelles la quantité et les types de clients sur le réseau sont inconnus.

Mise en cache

Nous avons brièvement décrit la mise en cache proxy dans l'introduction. Chaque fois qu'un utilisateur se connecte à un site Web pour, par exemple, regarder une vidéo, une copie de la vidéo est stockée dans un cache sur le serveur hôte du proxy. Le proxy redirige les futures demandes concernant cette vidéo vers la version mise en cache, et l'utilisateur ne connaît jamais la différence. Des méthodes similaires sont utilisées dans les réseaux de diffusion de contenu (CDN) à grande échelle.

La mise en cache proxy enregistre la bande passante amont du FAI qui aurait été utilisée pour diffuser la vidéo depuis la source à chaque demande, ainsi que la mise en mémoire tampon vidéo de l'utilisateur plus rapidement.

Filtration

Les proxys de filtrage sont utilisés pour restreindre l'accès aux ressources du réseau. Si ce réseau est Internet, des proxys de filtrage peuvent être utilisés à des fins de censure. Le mandataire d’un immeuble de bureaux pourrait ignorer les demandes adressées à Facebook et YouTube afin de maintenir les employés occupés. Les écoles et les bibliothèques utilisent souvent des proxys de filtrage pour empêcher les utilisateurs d'accéder à du contenu inapproprié. Les États-nations peuvent utiliser des proxys de filtrage pour surveiller et censurer les contenus qu’ils jugent inappropriés ou offensants.

passerelle

Vous êtes-vous déjà connecté à un point d'accès Wi-Fi public qui vous obligeait à accepter les conditions de service du fournisseur, à vous connecter avec votre adresse e-mail ou à regarder une publicité avant de permettre l'accès à Internet ? Il y a de fortes chances que ce réseau utilisait un proxy de passerelle. Les proxys transparents peuvent modifier ou bloquer le trafic en fonction de certaines règles, restreignant de manière sélective l'accès à Internet. Dans cet exemple, le proxy redirige les utilisateurs vers une page de connexion.

Protection contre les attaques DDoS

La protection DDoS par proxy, ou protection DDoS « à distance », est une technique qui utilise un proxy transparent pour empêcher les attaques par déni de service distribué (DDoS) de paralyser les réseaux. Une attaque DDoS consiste à inonder un serveur de requêtes indésirables, souvent provenant d'un botnet comprenant plusieurs appareils. Lorsqu'un Attaque DDoS atteint le serveur proxy, cela empêche le flot de paquets d'atteindre le serveur principal. Les utilisateurs qui ne peuvent pas se connecter via le proxy en raison de la congestion due à l'attaque sont simplement redirigés vers un autre proxy transparent. Un serveur peut disposer d'autant de proxys transparents de sauvegarde que nécessaire pour repousser les demandes indésirables et maintenir le site opérationnel pour les utilisateurs légitimes.

Comment détecter si vous êtes derrière un proxy transparent

Un moyen simple de vérifier si vous êtes ou non derrière un proxy transparent est deessayez de vous connecter à un serveur dont vous savez que c'est le caspasexister. S'il n'y a pas de proxy, vous verrez un message d'erreur typique dans votre navigateur. Chrome indique : « Ce site n'est pas accessible » car l'adresse IP est introuvable.

Si vous êtes derrière un proxy, l'erreur peut être différente ou vous pourriez être redirigé vers une autre page, telle qu'une page de recherche.

Si cela ne vous donne pas un résultat simple, quelques sites Web disposent de services de détection de proxy avec une fiabilité variable, comme celui-ci .

Si vous visitez un site Web crypté HTTPS et cliquez sur l'icône de verrouillage, votre navigateur vous donnera des informations de base sur le site. Certificat SSL . Si le certificat est délivré à votre FAI et non au propriétaire du site Web, cela pourrait indiquer que vous êtes derrière un proxy transparent.

VPN et HTTPS vs proxys transparents

Dans une connexion standard non cryptée, le trafic Internet peut être surveillé et filtré par un proxy transparent. Les données contenues peuvent être mises en cache sur le serveur proxy pour une utilisation ultérieure.

HTTPS

Sites Web qui utilisent le trafic de navigateur sécurisé HTTPS entre le serveur et le client avec un cryptage SSL. Le cryptage brouille les données avant de quitter l’appareil, les rendant indéchiffrables pour quiconque les intercepte. Cependant,Le trafic DNS n'est généralement pas chiffréet indique au serveur proxy où va le trafic HTTPS crypté. Le contenu réel du trafic réseau peut ne pas être visible, les données ne peuvent donc pas être mises en cache, mais le proxy peut au moins voir où elles vont. (Remarque : c'est pourquoi les proxys transparents sont souvent incompatibles avec le DNS crypté ou DNSSEC.)

Logiciel proxy transparent commeCalmarpeut gérer le trafic HTTPS de différentes manières, mais en général, le proxy peut toujours surveiller la destination des données en transit par certains moyens. Dans certains cas, les administrateurs réseau configurentInterception HTTPSsur des procurations transparentes. Le serveur proxy agit comme un intermédiaire avec sa propre autorité de certification HTTPS. Dans ce scénario, le trafic HTTPS est intercepté et déchiffré sur le serveur proxy plutôt que sur le site Web de destination. Les données peuvent ensuite être mises en cache, filtrées ou inspectées avant d'être rechiffrées et envoyées vers la destination.

VPN

Si vous utilisez un proxy transparent et que vous souhaitez le contourner complètement, alorsutiliser un VPN. Un bon VPN crypte tout le trafic sortant de votre appareil, y compris le trafic DNS et HTTP/S. Sans connaître le contenu ou la destination de vos données, le proxy transparent ne peut pas agir et les transmettra simplement à la destination sans modification (à moins qu'il ne bloque explicitement le trafic vers le serveur VPN). Notez qu’un VPN rendra le cache proxy inaccessible, ce qui peut ralentir les choses pour l’utilisateur final.

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.