On Wed, 24 Nov 2010 15:47:48 +0100 (CET), guillaume.monne...@free.fr
wrote:
Si nous etiames vendreday, j'irions plus loin...
Après la concentration de tous les protocoles au dessus de TCP (ce
qui était deja une hérésie), puis de HTTP (n'en parlons pas)...
Bienvenue vers la concentration vers deux fqdn : www.google.com et
www.facebook.com
Je remarque en effet, que
1/ De plus en plus de marketeux rafolent des www.facebook.com/xxxxx à
la place d'un site. C'est pratique, car ça permet de profiler et FB
est accessible via les pseudos acces web des téléphones mobile.
2/ Et de plus en plus de collègues utilisent les *...@gmail.com car
c'est le webmail le moins filtré en entreprise...
Fort heureusement, mon webmail perso n'est jamais filtré. Quoique, à un
moment, le mot webmail avait été banni des URL accessibles chez un
ancien employeur... (oui oui, meme pour aller faire des recherches, ou
lire des articles sur le sujet...)
----- Mail Original -----
De: "Rémy Sanchez" <remy.sanc...@hyperthese.net>
À: frnog@frnog.org
Envoyé: Mercredi 24 Novembre 2010 14h51:56 GMT +01:00 Amsterdam /
Berlin / Berne / Rome / Stockholm / Vienne
Objet: [FRnOG] Firewall HTTP
Bonjour à tous,
Les dernières tendances en terme de n'importe quoi consistent à
faire
passer à peu près tout ce qu'on peut par du HTTP, à tel point qu'on
a
pratiquement "remplacé" le TCP. Après tout, toutes les applications
web
passent par du HTTP, or c'est plutôt vaste : distribution de
contenu,
messagerie instantanée, flux vidéo, traitement de texte, ... Sans
oublier toutes les applications qui utilisent le HTTP (par exemple
MSN)
pour faire passer leur protocole en environnement "restreint", ou
carrément les tunnels.
En bref, le port 80 est toujours ouvert, soit directement, soit à
travers un proxy. Et c'est la porte ouverte à toutes les fenêtres...
En
fin de compte, serait-il cohérent d'imaginer une application
analogue à
un firewall, qui au lieu de s'en prendre au TCP s'attaque
directement au
HTTP ?
Ça y est je vois déjà tous les canons pointés en ma direction pour
me
signaler qu'on a déjà des proxys, IDS et tout un tas de trucs dans
le
genre. C'est d'ailleurs pour ça que je demande si l'idée est
cohérente
ou si c'est du grand n'importe quoi. Cependant, je pense à des
fonctionnalités qui m'ont l'air difficile à configurer dans les
outils
pré-cités, comme par exemple différencier les types de flux pour y
assigner des priorités (long poll et dérivées, page standard, gros
fichier, accélérateur de téléchargements, ...), reconnaître les sous
protocoles (comme au dessus, MSN), reconnaître les tunnels, s'en
prendre
aussi au HTTPS, ... En bref, pouvoir traiter tout ce qui passe par
du
HTTP comme un flux TCP/IP avec un numéro de protocole et un tag pour
la
QoS.
Les outils que j'ai rencontré jusque là ne permettent pas de faire
ça
simplement (Squid, pf, iptables pour ceux que j'ai vraiment
utilisé),
après étant relativement novice en réseau j'ai assez peu touché aux
autres outils et aux appliances proprio, donc mon panorama est
restreint. Donc qu'en pensez vous, lecteurs avisés de FRnOG ? Un tel
outil serait-il utile ? Pour qui ? Qu'y verriez vous à l'intérieur ?
Est-ce que j'ai complètement fumé la moquette ?
NDLR : l'idée ici est de débattre des fonctionnalités d'un tel
produit,
non de la manière dont on pourrait les implémenter...
Allez c'est parti pour une après midi à prendre des baffes :)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
