Si nous etiames vendreday, j'irions plus loin...
Après la concentration de tous les protocoles au dessus de TCP (ce qui était deja une hérésie), puis de HTTP (n'en parlons pas)... Bienvenue vers la concentration vers deux fqdn : www.google.com et www.facebook.com Je remarque en effet, que 1/ De plus en plus de marketeux rafolent des www.facebook.com/xxxxx à la place d'un site. C'est pratique, car ça permet de profiler et FB est accessible via les pseudos acces web des téléphones mobile. 2/ Et de plus en plus de collègues utilisent les *...@gmail.com car c'est le webmail le moins filtré en entreprise... ----- Mail Original ----- De: "Rémy Sanchez" <remy.sanc...@hyperthese.net> À: frnog@frnog.org Envoyé: Mercredi 24 Novembre 2010 14h51:56 GMT +01:00 Amsterdam / Berlin / Berne / Rome / Stockholm / Vienne Objet: [FRnOG] Firewall HTTP Bonjour à tous, Les dernières tendances en terme de n'importe quoi consistent à faire passer à peu près tout ce qu'on peut par du HTTP, à tel point qu'on a pratiquement "remplacé" le TCP. Après tout, toutes les applications web passent par du HTTP, or c'est plutôt vaste : distribution de contenu, messagerie instantanée, flux vidéo, traitement de texte, ... Sans oublier toutes les applications qui utilisent le HTTP (par exemple MSN) pour faire passer leur protocole en environnement "restreint", ou carrément les tunnels. En bref, le port 80 est toujours ouvert, soit directement, soit à travers un proxy. Et c'est la porte ouverte à toutes les fenêtres... En fin de compte, serait-il cohérent d'imaginer une application analogue à un firewall, qui au lieu de s'en prendre au TCP s'attaque directement au HTTP ? Ça y est je vois déjà tous les canons pointés en ma direction pour me signaler qu'on a déjà des proxys, IDS et tout un tas de trucs dans le genre. C'est d'ailleurs pour ça que je demande si l'idée est cohérente ou si c'est du grand n'importe quoi. Cependant, je pense à des fonctionnalités qui m'ont l'air difficile à configurer dans les outils pré-cités, comme par exemple différencier les types de flux pour y assigner des priorités (long poll et dérivées, page standard, gros fichier, accélérateur de téléchargements, ...), reconnaître les sous protocoles (comme au dessus, MSN), reconnaître les tunnels, s'en prendre aussi au HTTPS, ... En bref, pouvoir traiter tout ce qui passe par du HTTP comme un flux TCP/IP avec un numéro de protocole et un tag pour la QoS. Les outils que j'ai rencontré jusque là ne permettent pas de faire ça simplement (Squid, pf, iptables pour ceux que j'ai vraiment utilisé), après étant relativement novice en réseau j'ai assez peu touché aux autres outils et aux appliances proprio, donc mon panorama est restreint. Donc qu'en pensez vous, lecteurs avisés de FRnOG ? Un tel outil serait-il utile ? Pour qui ? Qu'y verriez vous à l'intérieur ? Est-ce que j'ai complètement fumé la moquette ? NDLR : l'idée ici est de débattre des fonctionnalités d'un tel produit, non de la manière dont on pourrait les implémenter... Allez c'est parti pour une après midi à prendre des baffes :) -- Rémy Sanchez --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
