Delegate : Translation de protocole & proxy

Posté par thoms (site web personnel) le 22 novembre 2002 à 10:09. Modéré par Fabien Penso.

Étiquettes :

nov.

2002

Delegate est un proxy multi-usage qui permet de faire communiquer entre des protocoles parmi lesquels HTTP, FTP, NNTP, POP, Telnet.

Je l'ai trouvé bien pratique car il permet de faire de la "translation" de protocole. Ca permet par exemple de faire du HTTPS vers du HTTP. Delegate est un proxy multi-usage permettant de faire pleins d'autres choses. Il permet de faire communiquer entre des protocoles parmis lesquels HTTP, FTP, NNTP, POP, Telnet. Il peut servir de cache, de convertisseur, de control d'accès ou encore de routeur. Il peut également être utilisé pour "traduire" des protocoles entre des clients et des serveurs, fusionner virtuellement des serveur. Il peut même faire office de serveur web, c'est dire la versatilité du soft.

Je l'ai trouvé bien pratique car il permet de faire de la "translation" de protocle. Ca permet par exemple de faire du HTTPS vers du HTTP. A quoi ça peut bien servir? Eh bien tout simplement à crypter les connexions entrantes sur un réseau (l'intranet d'une société par exemple) pour accèder ensuite à des serveur HTTP de ce réseau.

|Maison| ---- HTTPS ----> | Delegate | --- HTTP ---> |serveur interne|
Internet FW Intranet société

Aller plus loin

Delegate (49 clics)
Delegate & SSL (39 clics)
La doc de Delegate (44 clics)
Quelques exemples d'usage (59 clics)

# Re: Delegate : Translation de protocole & proxy

Posté par patton le 22 novembre 2002 à 11:13. Évalué à 1.

Il me semble que pout l'HTTP apache sait parfaitement faire ca, mais bon c'est vrai que en plus il peut faire IMAP POP LDAP etc...
- [^] # Re: Delegate : Translation de protocole & proxy
  
  Posté par Matthieu le 22 novembre 2002 à 11:26. Évalué à 5.
  
  Apache sait faire l'HTTPS et l'HTTP c'est vrai, mais cette méthode te permet d'accèder un serveur INTERNE en utilisant une connexion sécurisé sur l'EXTERNE.
  
  La même chose est possible avec stunnel.
  
  Delegate ou stunnel te permet de faire du proxy SSL.
  
  Question : est-ce que Delegate sait gérer les certificats x509 (vérification du client) ?
  - [^] # Re: Delegate : Translation de protocole & proxy
    
    Posté par patton le 22 novembre 2002 à 12:15. Évalué à 2.
    
    >Apache sait faire l'HTTPS et l'HTTP c'est vrai, mais cette méthode te permet d'accèder un serveur INTERNE en utilisant une connexion sécurisé sur
    >l'EXTERNE.
    
    Oui comme apache (avec le mod proxy)
    client----->HTTPS-->Apache---->HTTP---->serveur final
    - [^] # Commentaire supprimé
      
      Posté par Anonyme le 22 novembre 2002 à 12:52. Évalué à 2.
      
      Ce commentaire a été supprimé par l’équipe de modération.
    - [^] # Re: Delegate : Translation de protocole & proxy
      
      Posté par DPhil (site web personnel) le 22 novembre 2002 à 13:41. Évalué à 2.
      
      Il me semble que mod_eaccess (relais inverse pour Apache) sait aussi le faire (plus d'infos sur http://www.hsc.fr(...))
      - [^] # Re: Delegate : Translation de protocole & proxy
        
        Posté par Cédric Blancher le 22 novembre 2002 à 14:04. Évalué à 4.
        
        Il me semble que mod_eaccess (relais inverse pour Apache) sait aussi le faire (plus d'infos sur http://www.hsc.fr(...))
        
        Le mod_eacces est un module de verification d'URL a base d'expressions regulieres. Il est utilise pour faire des relais inverse a base de Apache+mod_proxy qui verifent la syntaxe des URLs de maniere a ne pas laisser passer les saloperies du genre Nimda ou CodeRed, ou encore faire en sorte que n'importe qui ne balance pas n'importe quoi aux scripts. On pourra aussi realiser ceci en utilisant le mod_rewrite.
        
        Pour en revenir au thread de base, Apache sait faire sans probleme :
        
        HTTPS ---> Apache ---> HTTP
        
        On utilise le mod_proxy et le mod_ssl. Combine avec stunnel, il pourra aussi faire :
        
        HTTPS ---> Apache ---> HTTPS
        
        Ce qui malgre l'apparence debile de la chose peut servir a d'une part faire de la verification d'URL et de contenu au niveau du proxy, et economiser des authentifications SSL (donc du RSA) en backend, tout en gardant une bonne confidentialite vis-a-vis du reseau.
    - [^] # Re: Delegate : Translation de protocole & proxy
      
      Posté par florencefc le 25 juin 2003 à 10:50. Évalué à 1.
      
      Bonjour,
      
      Je vois que vous vous y connaissez en apache pouvez vous m'aidez à configurer mon serveur pour faire
      
      WAN-->https-->proxy-->http-->LAN
      
      Avec en plus authentification juste avant le proxy.
      
      merci,
      Florence
  - [^] # Re: Delegate : Translation de protocole & proxy
    
    Posté par Laurent Go le 23 novembre 2002 à 06:20. Évalué à 1.
    
    Je ne suis pas sur de comprendre... Delegate me semble-t-il n'est qu'un proxy... Donc si on veut l'utiliser en tant que passerelle https pour acceder a des serveurs internes, il faut le mettre en tant que proxy dans son navigateur, ce qui pour moi a deux desavantages : - Ca oblige l'utilisateur a aller farfouiller dans ses reglages (soit), et eventuellement a jongler entre plusieurs proxy - Ca genere du trafic supplementaire et inutile sur le serveur (parce que tout le traffic web passe par le serveur) Stunnel a l'air pas mal, mais le client pour windows a l'air un peu complique à installer pour un utilisateur novice, et quid des macs... Donc pour l'instant les solutions que je propose a mes utilisateurs pour acceder a l'intranet sont : - port forwarding avec ssh - cgiproxy -> un script cgi qui convertit les liens des pages web a la volée pour que le trafic intranet passe par le serveur passerelle D'autres suggestions ?
    - [^] # Re: Delegate : Translation de protocole & proxy
      
      Posté par Thomas Mangin (site web personnel) le 23 novembre 2002 à 19:39. Évalué à 2.
      
      Tu peux au niveau des routeurs (ou serveurs linux utilise comme passerelles), rediriger tout traffic a destination d'un port particulier sur un serveur/port de ton choix (transproxy) et donc forcer tout traffic a travers un proxy pour un protocole sans autre choix pour l'utilisateur final.
      
      C'est tres utilise par les FAI gratuit. Pour savoir si c'est ton cas:
      telnet 1.1.1.1 80
      GET /
      [enter]
      
      Tu ne passes pas par un trans-proxy, si tu vois :
      
      Connecting To 1.1.1.1...
      Connecting To 1.1.1.1...Could not open connection to the host, on port 80: Connect failed
      
      Tu passes par un trans-proxy, si tu vois quoi que ce soit d'autre (principalement du HTML ;-)
      
      1.1.1.1 est une addresse reserve pour la defense americaine et ne peux pas etre trouve sur Internet ...
# Sécurité de Delegate

Posté par gabuzo le 22 novembre 2002 à 22:07. Évalué à 3.

Delegate est un programme très intéressant mais en voulant l'installer sur une machine FreeBSD à partir de ports on trouve un message décourageant son installation et suggérant de se reporter à un rapport de sécurité pour plus de détails. En regardant plus précisément le rapport en question (dispo sur ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-00%3A04.delegate.asc) on apprend que « [delegate] est écrit dans un style très peu sûr et qu'il contient potentiellement des douzaines de buffer overflows (dont certains ont été mis en évidence) permettant à un attaquant d'executer du code sur le serveur de delegate ». En outre au chapitre solution on trouve : « Il n'existe malheureusement aucun correctif simple --- les problèmes de delegate sont trop endémiques pour pouvoir être résolus avec un simple patch. Le rapport date de 2000 il y a peut être eu des évolutions depuis mais cela n'incite par à utiliser ce programme.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.