====== Hébergement de serveurs Web sécurisés ======


L'hébergement d'un site Web chez un fournisseur d'accès présente des
qualités indéniables en terme de bande passante et de disponibilité
d'accès. Néanmoins, l'hébergement mutualisé présente des limites dès que
l'on souhaite implémenter des solutions avancées : qu'il s'agisse de
besoins applicatifs spécifiques, de configuration du serveur Web, il est
souvent nécessaire de disposer d'un serveur dédié. Il en va de même si
l'on souhaite héberger du contenu dans des conditions de sécurité
particulières.

Dès lors, autant intégrer le serveur au sein de l'architecture réseau de
l'entreprise. On pourra ainsi lui ajouter l'ensemble des extensions
nécessaires au fonctionnement du site, tout en maintenant, grâce à son
positionnement dans une DMZ, un bon niveau de sécurité du réseau interne.

Le logiciel [[http://httpd.apache.org | Apache]], et tous les éléments du quattuor LAMP, peuvent être
mis en place aisément, ainsi que différents outils d'administration Web,
compatibles avec [[http://httpd.apache.org | Apache]].

Dès lors que votre serveur est hébergé sur votre réseau, il est possible
d'en contrôler efficacement l'accès, et d'envisager l'hébergement de
données plus sensibles qu'un simple site public : grâce au protocole
HTTPS, des utilisateurs préalement autorisés et identifiés pourront
accéder à certains contenus comme un système CRM, ou simplement des
données présentes sur un site Intranet sans souci d'interception du
contenu par des tiers.

Si l'on retient cette solution, il est impératif de sécuriser un maximum
l'accès afin d'éviter toute intrusion : l'installation de système de
vérification des requêtes permet de diminuer les risques d'attaque.

<box round blue 335px | Chaîne de filtrage HTTP>
{{.:web.png?310| Chaîne de filtrage HTTP}}
</box | Les requêtes HTTP/S entrantes sont validées par Pound puis réécrites en HTTP vers Dansguardian qui va comparer la requête à une base d'attaque. Une fois la requête validée celle-ci est envoyée aux serveurs Apache par l'intermédiaire de Squid qui se charge de l'équilibrage de charge et/ou de la redondance.>



Parmi les solutions disponibles, [[http://www.apsis.ch/pound/ | Pound]] permet de récrire les requêtes en
filtrant toutes les connexions invalides, et toutes les requêtes
malformées, afin de n'exposer le serveur proprement dit qu'à des requêtes
HTTP correctes, moins susceptibles de provoquer des défaillances.

La chaîne de sécurité peut être complétée par un dispositif de détection
comme le mandataire [[http://dansguardian.org | Dansguardian]], couplé à une base d'attaque : il va
identifier les requêtes correspodant à des attaques classiques, et refuser
de les transmettre aux serveurs.

Enfin, pour améliorer les performances, des mandataires d'accélération,
tels que [[http://www.squid-cache.org | Squid]] ou [[http://httpd.apache.org | Apache]], peuvent compléter le dispositif. Tous les
contenus statiques des sites pourront être ainsi servi sans charger les
serveurs Web proprement parler, dont les ressources seront disponibles
pour le calcul des pages dynamiques. Les mandataires se chargent
également de répartir la charge entre plusieurs serveurs Web de
traitement des requêtes : la montée en charge du site pourra se faire en
ajoutant simplement des serveurs supplémentaires.