En informatique , un serveur proxy est une application serveur intermédiaire entre un client demandant une ressource et le serveur fournissant ensuite cette ressource.
Au lieu de se connecter directement à un serveur capable de répondre à une demande de ressource, comme un fichier ou une page web , le client redirige la requête vers un serveur proxy, qui l'évalue et effectue les transactions réseau nécessaires. Ce mécanisme permet de contrôler la complexité de la requête ou d'offrir des avantages supplémentaires tels que l'équilibrage de charge , la confidentialité ou la sécurité. Les proxys ont été conçus pour structurer et encapsuler les systèmes distribués .
passerelle ou parfois proxy tunnel . Un proxy direct est un proxy exposé à Internet, utilisé pour récupérer des données provenant de diverses sources (dans la plupart des cas, partout sur Internet). Un proxy inverse est généralement un proxy interne utilisé comme interface pour contrôler et protéger l'accès à un serveur sur un réseau privé. Un proxy inverse effectue généralement aussi des tâches telles que l'équilibrage de charge , l'authentification , le déchiffrement et la mise en cache .Proxies ouverts

Un proxy ouvert est un serveur proxy de transfert accessible à tout utilisateur d'Internet. En 2008, l'expert en sécurité réseau Gordon Lyon estimait que « des centaines de milliers » de proxies ouverts étaient exploités sur Internet.
- Proxy anonyme : Ce serveur révèle son identité de serveur proxy, mais ne divulgue pas l’ adresse IP d’origine du client. Bien qu’il soit facilement identifiable comme serveur proxy, il peut s’avérer avantageux pour certains utilisateurs car il masque leur adresse IP d’origine.
- En-têtes de transfert : Certains proxys ajoutent des en-têtes HTTP pour divulguer des informations sur le client ou le proxy qui seraient autrement perdues lors du transfert d’une requête. Historiquement, cela se faisait souvent avec des champs non standardisés
X-Forwarded-For, tandis que le champ standardiséForwardedfournit une syntaxe définie pour des informations similaires. Ces en-têtes dépendent du déploiement et ne doivent pas être considérés comme intrinsèquement fiables, car ils peuvent être absents, modifiés ou contenir des valeurs ajoutées par plusieurs proxys.
Proxies inverses
Un proxy inverse (ou serveur proxy) est un serveur proxy qui apparaît aux clients comme un serveur ordinaire. Les proxies inverses envoient les requêtes à un ou plusieurs serveurs ordinaires qui les traitent. La réponse du serveur d'origine est renvoyée comme si elle provenait directement du serveur proxy, de sorte que le client ignore l'identité du serveur d'origine. Les proxies inverses sont installés à proximité d'un ou plusieurs serveurs web. Tout le trafic provenant d'Internet et destiné à l'un des serveurs web voisins transite par le serveur proxy. L'utilisation du terme « inverse » provient de son homologue, le proxy « direct ». Le proxy inverse est situé plus près du serveur web et ne dessert qu'un ensemble restreint de sites web. Il existe plusieurs raisons d'installer des serveurs proxy inverses :
- Terminaison TLS : Les proxys inverses terminent souvent les connexions TLS des clients et transmettent les requêtes aux serveurs d’arrière-plan. Cela permet de centraliser la gestion des certificats, le contrôle d’accès, la journalisation et le routage des requêtes, et de réduire la charge de travail liée à TLS effectuée par les serveurs d’arrière-plan. Les connexions d’arrière-plan peuvent utiliser HTTP ou HTTPS selon le déploiement et les exigences de sécurité. Les déploiements modernes effectuent généralement la terminaison TLS par logiciel, éventuellement avec l’aide de matériel, plutôt que de nécessiter un matériel d’accélération SSL dédié. La gestion des certificats pour plusieurs noms peut être assurée par des mécanismes tels que les certificats SAN (Subject Alternative Name) , les certificats génériques et l’indication du nom de serveur (SNI).
- Répartition de charge : le proxy inverse peut répartir la charge entre plusieurs serveurs web, chacun gérant sa propre zone d’application. Dans ce cas, le proxy inverse peut avoir besoin de réécrire les URL de chaque page web (traduction des URL externes vers les adresses internes).
- Diffusion/mise en cache de contenu statique : un proxy inverse peut décharger les serveurs web en mettant en cache le contenu statique comme les images et autres contenus graphiques statiques.
- Compression : Le serveur proxy peut optimiser et compresser le contenu afin d'accélérer le temps de chargement.
- L'alimentation progressive (ou « spoon feeding ») réduit la consommation de ressources due à la lenteur des clients sur les serveurs web en mettant en cache le contenu envoyé par le serveur et en le distribuant progressivement au client. Cette technique est particulièrement avantageuse pour les pages générées dynamiquement.
- Sécurité : Le serveur proxy constitue une couche de défense supplémentaire et peut protéger contre certaines attaques spécifiques au système d’exploitation et au serveur web. Cependant, il n’offre aucune protection contre les attaques visant l’application ou le service web lui-même, qui sont généralement considérées comme la menace la plus importante.
- Publication extranet : un serveur proxy inverse exposé à Internet peut être utilisé pour communiquer avec un serveur pare-feu interne à une organisation, offrant ainsi un accès extranet à certaines fonctionnalités tout en maintenant les serveurs protégés par les pare-feu. Dans ce cas, des mesures de sécurité doivent être mises en place pour protéger le reste de l’infrastructure si ce serveur est compromis, car son application web est alors exposée aux attaques depuis Internet.
Proxy direct vs proxy inverse
Un proxy direct est un serveur qui achemine le trafic entre les clients et un autre système, généralement externe au réseau. Il peut ainsi réguler le trafic selon des politiques prédéfinies, convertir et masquer les adresses IP des clients, appliquer des protocoles de sécurité et bloquer le trafic inconnu. Un proxy direct renforce la sécurité et l'application des politiques au sein d'un réseau interne. Un proxy inverse, quant à lui, protège les serveurs au lieu de protéger le client.
Un proxy inverse accepte une requête d'un client, la transmet à un autre serveur parmi plusieurs, puis renvoie au client les résultats du serveur qui a traité la requête. Concrètement, un proxy inverse fait office de passerelle entre les clients, les utilisateurs et les serveurs d'applications, gérant l'acheminement du trafic tout en protégeant l'identité du serveur qui traite physiquement la requête.
Utilisations
Surveillance et filtrage
Logiciel de contrôle de contenu
Les serveurs proxy de filtrage de contenu prennent généralement en charge l'authentification des utilisateurs afin de contrôler l'accès au Web. Ils génèrent aussi des journaux , soit pour fournir des informations détaillées sur les URL consultées par des utilisateurs spécifiques, soit pour surveiller les statistiques d'utilisation de la bande passante . Ils peuvent également communiquer avec des logiciels antivirus fonctionnant en mode démon ou basés sur ICAP afin d'assurer la protection contre les virus et autres logiciels malveillants en analysant le contenu entrant en temps réel avant son entrée sur le réseau.
De nombreux lieux de travail, écoles et universités restreignent l'accès aux sites web et aux services en ligne dans leurs locaux. Les gouvernements censurent également les contenus jugés indésirables. Cette censure s'effectue soit par le biais d'un proxy spécialisé, appelé filtre de contenu (il existe des solutions commerciales et gratuites), soit par l'utilisation d'un protocole d'extension de cache tel qu'ICAP, qui permet l'ajout d'extensions à une architecture de cache ouverte.
Les sites web couramment utilisés par les étudiants pour contourner les filtres et accéder à du contenu bloqué incluent souvent un proxy, permettant à l'utilisateur d'accéder aux sites bloqués. Les requêtes peuvent être filtrées de différentes manières : listes noires d'URL ou de DNS , filtrage par expressions régulières d'URL, filtrage MIME ou filtrage par mots-clés. Ces listes noires sont généralement fournies et mises à jour par des entreprises de filtrage web et sont souvent regroupées par catégories (pornographie, jeux d'argent, commerce en ligne, réseaux sociaux, etc.). Le proxy récupère ensuite le contenu, à condition que l'URL demandée soit acceptable. À ce stade, un filtre dynamique peut être appliqué au chemin de retour. Par exemple, les fichiers JPEG peuvent être bloqués en fonction de la couleur de peau, ou des filtres linguistiques peuvent détecter dynamiquement les langages indésirables. Si le contenu est rejeté, une erreur de requête HTTP peut être renvoyée à l'auteur du message. La plupart des entreprises de filtrage web utilisent un robot d'exploration du web qui évalue la probabilité qu'un contenu appartienne à un certain type. Une intervention manuelle est nécessaire pour corriger la base de données résultante en fonction des signalements ou des failles connues des algorithmes de correspondance de contenu. Certains proxys analysent le contenu sortant, par exemple pour prévenir les pertes de données, ou analysent le contenu à la recherche de logiciels malveillants.
Filtrage des données chiffrées
Les proxys de filtrage Web ne peuvent pas accéder aux transactions HTTP sécurisées, à condition que la chaîne de confiance SSL/TLS ( Transport Layer Security ) n'ait pas été altérée. Cette chaîne de confiance repose sur des autorités de certification racine de confiance .
Dans un environnement professionnel où le client est géré par l'organisation, les appareils peuvent être configurés pour faire confiance à un certificat racine dont la clé privée est connue du proxy. Dans ce cas, l'analyse par le proxy du contenu d'une transaction SSL/TLS devient possible. Le proxy réalise alors une attaque de type « homme du milieu » , rendue possible par la confiance que le client accorde à un certificat racine dont il est propriétaire.
Contourner les filtres et la censure
Si le serveur de destination filtre le contenu en fonction de l'origine de la requête, l'utilisation d'un proxy permet de contourner ce filtre. Par exemple, un serveur utilisant la géolocalisation par adresse IP pour limiter son service à un certain pays peut être accessible via un proxy situé dans ce pays.
Les serveurs proxy sont le moyen le plus courant de contourner la censure gouvernementale, bien que seulement 3 % des internautes utilisent des outils de contournement. Certains fournisseurs de services proxy permettent aux entreprises d'accéder à leur réseau proxy pour rediriger le trafic à des fins de veille stratégique.
Dans certains cas, les utilisateurs peuvent contourner les proxys qui filtrent à l'aide de listes noires en utilisant des services conçus pour relayer les informations provenant d'un emplacement non figurant sur une liste noire.

Enregistrement et écoute clandestine
Des serveurs proxy peuvent être installés pour intercepter les données échangées entre les ordinateurs clients et Internet. Tout le contenu envoyé ou consulté, y compris les mots de passe saisis et les cookies utilisés, peut être capturé et analysé par l'opérateur du proxy. C'est pourquoi les mots de passe des services en ligne (comme la messagerie web et les services bancaires) doivent toujours être échangés via une connexion sécurisée par chiffrement, telle que SSL.
En chaînant les proxys qui ne révèlent aucune donnée sur l'auteur de la requête initiale, il est possible de masquer les activités aux yeux du destinataire. Cependant, davantage de traces seront laissées sur les serveurs intermédiaires, traces qui pourraient être utilisées pour retracer l'activité de l'utilisateur. Si les politiques et les administrateurs de ces proxys sont inconnus, l'utilisateur risque de se sentir faussement en sécurité, simplement parce que ces informations sont cachées.
Il s'agit plus d'un inconvénient que d'un risque : les utilisateurs de proxy peuvent se voir bloqués sur certains sites web, car de nombreux forums et sites bloquent les adresses IP des proxys connus pour avoir spammé ou trollé le site. Le rebond de proxy peut être utilisé pour préserver la confidentialité.
Améliorer les performances
Un serveur proxy cache accélère les requêtes de service en récupérant le contenu enregistré lors d'une requête précédente effectuée par le même client, voire par d'autres clients. Les proxys cache conservent des copies locales des ressources fréquemment demandées, permettant ainsi aux grandes organisations de réduire considérablement leur consommation de bande passante et leurs coûts, tout en améliorant significativement les performances. La plupart des fournisseurs d'accès à Internet et des grandes entreprises utilisent un proxy cache. Les proxys cache ont été le premier type de serveur proxy. Les proxys web sont couramment utilisés pour mettre en cache les pages web d'un serveur web. Une implémentation incorrecte des proxys cache peut entraîner des problèmes, comme l'impossibilité d'utiliser l'authentification utilisateur.
Un proxy conçu pour atténuer des problèmes ou une dégradation spécifiques liés à la liaison est un proxy d'amélioration des performances (PEP). Ces proxys sont généralement utilisés pour améliorer les performances TCP en présence de temps d'aller-retour élevés ou de pertes de paquets importantes (comme sur les réseaux sans fil ou de téléphonie mobile), ou encore de liaisons fortement asymétriques présentant des débits de téléchargement et d'envoi très différents. Les PEP peuvent optimiser l'utilisation du réseau, par exemple en fusionnant les accusés de réception TCP (ACK) ou en compressant les données envoyées au niveau de la couche application .
Traduction
Un proxy de traduction est un serveur proxy utilisé pour adapter l'expérience utilisateur d'un site web à différents marchés. Le trafic provenant du public international est acheminé via le proxy de traduction vers le site source. Lorsque les visiteurs naviguent sur le site via le proxy, les requêtes sont renvoyées au site source où les pages sont affichées. Le contenu original de la réponse est remplacé par sa traduction lors de son passage par le proxy. Les traductions utilisées par un proxy de traduction peuvent être automatiques, humaines, ou une combinaison des deux. Les fonctionnalités varient selon les implémentations de proxys de traduction. Certaines permettent une personnalisation plus poussée du site source pour les publics locaux, par exemple en excluant le contenu source ou en le remplaçant par son équivalent local.
Accéder aux services de manière anonyme
Contrôle d'accès : Certains serveurs proxy imposent une authentification. Dans les grandes organisations, les utilisateurs autorisés doivent se connecter pour accéder au web . L'organisation peut ainsi suivre l'utilisation par chaque utilisateur. Certains serveurs proxy anonymisants peuvent transmettre des paquets de données avec des en-têtes tels que HTTP_VIA, HTTP_X_FORWARDED_FOR ou HTTP_FORWARDED, susceptibles de révéler l'adresse IP du client. D'autres serveurs proxy anonymisants, dits « proxies d'élite » ou « proxies à haut anonymat », font croire que le serveur proxy est le client. Un site web peut néanmoins soupçonner l'utilisation d'un proxy si le client envoie des paquets contenant un cookie d'une visite précédente n'ayant pas utilisé ce serveur proxy à haut anonymat. Supprimer les cookies et éventuellement le cache résoudrait ce problème.
Publicité géociblée QA
Les annonceurs utilisent des serveurs proxy pour valider, vérifier et garantir la qualité des publicités géociblées . Un serveur de publicité géociblée vérifie l'adresse IP source de la requête et utilise une base de données géolocalisée pour déterminer l'origine géographique des requêtes. L'utilisation d'un serveur proxy situé physiquement dans un pays ou une ville spécifique permet aux annonceurs de tester les publicités géociblées.
Sécurité
Un proxy peut préserver la confidentialité de la structure du réseau interne d'une entreprise grâce à la traduction d'adresses réseau (NAT) , ce qui contribue à la sécurité du réseau interne. Cela permet d'anonymiser les requêtes provenant des machines et des utilisateurs du réseau local. Les proxys peuvent également être utilisés conjointement avec des pare-feu . Un proxy mal configuré peut permettre d'accéder à un réseau normalement isolé d'Internet.
Ressources interdomaines
Les proxys permettent aux sites web d'effectuer des requêtes web vers des ressources hébergées en externe (images, fichiers musicaux, etc.) lorsque les restrictions interdomaines empêchent le site d'établir un lien direct vers ces domaines externes. Les proxys permettent également au navigateur d'effectuer des requêtes web vers du contenu hébergé en externe pour le compte d'un site web lorsque les restrictions interdomaines (mises en place pour protéger les sites web contre le vol de données, par exemple) empêchent le navigateur d'accéder directement à ces domaines externes.HTTP . La requête du client est identique à une requête HTTP classique, à ceci près que l'URL complète est transmise, au lieu du simple chemin.
Clients proxy Web
Divers systèmes d'exploitation (tels que Windows , Android , macOS , iOS , Xbox OS et PlayStation OS ) et divers navigateurs (tels que Edge , Chrome , Safari et Firefox ) peuvent prendre en charge le proxy Web.
Proxy SOCKS
SOCKS transmet également des données arbitraires après une phase de connexion, et est similaire à HTTP CONNECT dans les proxys web.
proxy transparent
Un proxy d'interception redirige ou filtre le trafic client sans que celui-ci ne le sélectionne explicitement. Il est donc souvent déployé sans nécessiter de configuration de proxy dans le navigateur ou l'application, et les clients peuvent ignorer que leur trafic transite par un proxy. En termes HTTP, un proxy d'interception diffère d'un proxy HTTP classique car il n'est pas choisi par l'agent utilisateur ; il est placé sur le chemin réseau et filtre ou redirige le trafic sortant, généralement celui du port TCP 80. Dans le contexte du déploiement, les proxies d'interception sont également souvent appelés proxies transparents , mais cet usage doit être distingué de l'ancienne terminologie HTTP, où un « proxy transparent » désignait un proxy qui ne modifiait pas les requêtes ou les réponses au-delà de ce qui était nécessaire à l'authentification et à l'identification du proxy.
L'interception TCP est une fonctionnalité de sécurité de filtrage du trafic qui protège les serveurs TCP contre les attaques par inondation SYN TCP , un type d'attaque par déni de service. L'interception TCP est disponible uniquement pour le trafic IP.
En 2009, Robert Auger a publié une faille de sécurité dans le fonctionnement des proxys transparents et l'équipe d'intervention d'urgence informatique a publié un avis répertoriant des dizaines de serveurs proxy transparents et intercepteurs affectés.
But
Les serveurs proxy d'interception sont couramment utilisés en entreprise pour appliquer des politiques d'utilisation acceptable et simplifier l'administration, puisqu'aucune configuration du navigateur client n'est requise. Toutefois, cette limitation est atténuée par des fonctionnalités telles que la stratégie de groupe Active Directory, le DHCP et la détection automatique des serveurs proxy. Dans certains pays, les fournisseurs d'accès à Internet utilisent également fréquemment les serveurs proxy d'interception pour économiser la bande passante montante et améliorer les temps de réponse des clients grâce à la mise en cache. Cette pratique est plus courante dans les pays où la bande passante est plus limitée (par exemple, les États insulaires) ou payante.
Problèmes
Le détournement ou l'interception d'une connexion TCP engendre plusieurs problèmes. Premièrement, l'adresse IP et le port de destination d'origine doivent être communiqués au proxy. Or, cela n'est pas toujours possible (par exemple, lorsque la passerelle et le proxy se trouvent sur des hôtes différents). Il existe une catégorie d' attaques intersites qui exploitent certains comportements des proxys intercepteurs ne vérifiant pas ou n'ayant pas accès aux informations relatives à la destination d'origine (interceptée). Ce problème peut être résolu grâce à un dispositif ou un logiciel intégré, fonctionnant au niveau des paquets et au niveau applicatif, capable de transmettre ces informations entre le gestionnaire de paquets et le proxy.
L'interception pose également problème pour l'authentification HTTP , notamment l'authentification orientée connexion comme NTLM , car le navigateur client croit communiquer avec un serveur et non avec un proxy. Cela peut engendrer des difficultés lorsqu'un proxy intercepteur exige une authentification, puis que l'utilisateur se connecte à un site qui requiert également une authentification. Enfin, l'interception des connexions peut perturber le cache HTTP, certaines requêtes et réponses devenant impossibles à mettre en cache par un cache partagé.
Méthodes de mise en œuvre
Dans les serveurs pare-feu/proxy intégrés où le routeur/pare-feu se trouve sur le même hôte que le proxy, la communication des informations de destination d'origine peut être effectuée par n'importe quelle méthode, par exemple Microsoft TMG ou WinGate .
L'interception peut également être réalisée à l'aide du protocole WCCP (Web Cache Control Protocol) de Cisco . Ce protocole propriétaire réside sur le routeur et est configuré à partir du cache, permettant ainsi à ce dernier de déterminer les ports et le trafic qui lui sont adressés via une redirection transparente depuis le routeur. Cette redirection peut s'effectuer de deux manières : par tunnel GRE (couche 3 du modèle OSI) ou par réécriture d'adresse MAC (couche 2 du modèle OSI).
Une fois le trafic parvenu au serveur proxy, l'interception est généralement réalisée via NAT (Network Address Translation). Ces configurations sont invisibles pour le navigateur client, mais le proxy reste visible pour le serveur web et les autres périphériques connectés à Internet. Les distributions Linux récentes et certaines distributions BSD proposent TPROXY (proxy transparent), qui effectue une interception transparente au niveau IP (couche 3 du modèle OSI) et un masquage du trafic sortant, dissimulant ainsi l'adresse IP du proxy aux autres périphériques réseau.
Détection
Plusieurs méthodes peuvent être utilisées pour détecter la présence d'un serveur proxy intercepteur :
- En comparant l'adresse IP externe du client à celle vue par un serveur web externe, ou parfois en examinant les en-têtes HTTP reçus par ce serveur, plusieurs sites web ont été créés pour résoudre ce problème en affichant l'adresse IP de l'utilisateur telle qu'elle est vue par le site. Google affiche également l'adresse IP telle qu'elle est vue par la page si l'utilisateur recherche « IP ».
- En comparant les résultats des vérificateurs d'adresse IP en ligne lors d'un accès via HTTPS et HTTP, on constate que la plupart des proxys d'interception ne prennent pas en charge le protocole SSL. En cas de suspicion d'interception SSL, il est possible d'examiner le certificat associé à tout site web sécurisé ; le certificat racine devrait indiquer s'il a été émis à des fins d'interception.
- En comparant la séquence de sauts réseau signalée par un outil tel que traceroute pour un protocole proxy tel que HTTP (port 80) avec celle d'un protocole non proxy tel que SMTP (port 25).
- En tentant d'établir une connexion à une adresse IP pour laquelle aucun serveur n'est connu, le proxy accepte la connexion et tente ensuite de la relayer. Si le proxy ne trouve aucun serveur pour accepter la connexion, il peut renvoyer un message d'erreur ou simplement fermer la connexion au client. Cette différence de comportement est facile à détecter. Par exemple, la plupart des navigateurs Web génèrent une page d'erreur interne lorsqu'ils ne parviennent pas à se connecter à un serveur HTTP, mais renvoient une erreur différente si la connexion est acceptée puis fermée.
- En proposant à l' utilisateur final des applications Adobe Flash SWF spécialement programmées ou des applets Sun Java qui renvoient des requêtes HTTP à leur serveur.
Proxy CGI
Un proxy web CGI accepte les URL cibles via un formulaire web dans la fenêtre du navigateur de l'utilisateur, traite la requête et renvoie les résultats à ce même navigateur. Par conséquent, il peut être utilisé sur un appareil ou un réseau ne permettant pas la modification des paramètres de proxy classiques. Le premier proxy CGI répertorié, initialement nommé « rover » puis renommé « CGIProxy » en 1998 a été développé par l'informaticien américain James Marshall début 1996 pour un article de Rich Morin paru dans « Unix Review »
La plupart des proxys CGI sont basés sur CGIProxy (écrit en Perl ), Glype (écrit en PHP ) ou PHProxy (écrit en PHP). En avril 2016, CGIProxy comptait environ deux millions de téléchargements, Glype plus d'un demi-million, des VPN et autres méthodes de protection de la vie privée, l'amélioration de l'accessibilité des sites web aux personnes handicapées, mais ont depuis été désactivés en raison d' un trafic excessif , généralement généré par un tiers faisant la promotion du service comme moyen de contourner le filtrage local. Comme nombre de ces utilisateurs ne se soucient pas des dommages collatéraux qu'ils causent, les organisations ont dû masquer leurs serveurs proxy, ne divulguant les URL qu'aux personnes qui prennent la peine de les contacter et de démontrer un besoin réel.
Suffixe proxy
Un proxy de suffixe permet d'accéder à du contenu web en ajoutant le nom du serveur proxy à l'URL du contenu demandé (par exemple, « en.wikipedia.org.SuffixProxy.com » ). Les serveurs proxy de suffixe sont plus simples d'utilisation que les serveurs proxy classiques, mais ils n'offrent pas un niveau d'anonymat élevé et servent principalement à contourner les filtres web. Cependant, cette pratique est rarement employée en raison de l'existence de filtres web plus performants.
logiciel proxy Tor Onion

Tor est un système conçu pour garantir l'anonymat en ligne . Le logiciel client Tor achemine le trafic Internet via un réseau mondial de serveurs gérés par des bénévoles afin de masquer la localisation et l'activité de l'ordinateur de l'utilisateur à toute personne effectuant une surveillance du réseau ou une analyse du trafic . L'utilisation de Tor rend le traçage de l'activité Internet plus difficile et vise à protéger la liberté individuelle et la vie privée des utilisateurs en ligne.
Le terme « routage en oignon » fait référence à la structure en couches du service de chiffrement : les données originales sont chiffrées et rechiffrées à plusieurs reprises, puis envoyées via des relais Tor successifs. Chaque relais déchiffre une couche de chiffrement avant de transmettre les données au relais suivant, puis à leur destination finale. Ce procédé réduit considérablement le risque que les données originales soient déchiffrées ou comprises pendant leur transmission.
proxy anonyme I2P
Le réseau anonyme I2P (« I2P ») est un réseau proxy visant à garantir l'anonymat en ligne . Il utilise le routage « garil » , une amélioration du routage « onion » de Tor. Entièrement distribué, I2P fonctionne en chiffrant toutes les communications à différents niveaux et en les relayant via un réseau de routeurs gérés par des bénévoles répartis dans le monde entier. En masquant la source des informations, I2P offre une protection contre la censure. Ses objectifs sont de préserver la liberté individuelle, la vie privée et la confidentialité des utilisateurs.
Chaque utilisateur d'I2P exécute un routeur I2P sur son ordinateur (nœud). Ce routeur se charge de trouver d'autres pairs et d'établir des tunnels anonymisés avec eux. I2P fournit des proxys pour tous les protocoles (HTTP, IRC , SOCKS, etc.).
Comparaison avec les traducteurs d'adresses réseau
Le concept de proxy fait référence à une application de couche 7 dans le modèle de référence OSI . La traduction d'adresses réseau (NAT) est similaire à un proxy, mais opère au niveau de la couche 3.
Dans la configuration client d'un NAT de couche 3, la configuration de la passerelle suffit. En revanche, pour la configuration client d'un proxy de couche 7, la destination des paquets générés par le client doit toujours être le serveur proxy (couche 7). Ce dernier lit ensuite chaque paquet et détermine sa destination réelle.
Comme le NAT fonctionne à la couche 3, il est moins gourmand en ressources qu'un proxy de couche 7, mais aussi moins flexible. En comparant ces deux technologies, on rencontre parfois le terme de « pare-feu transparent ». Un pare-feu transparent signifie que le proxy utilise les avantages d'un proxy de couche 7 à l'insu du client. Ce dernier suppose que la passerelle est un NAT de couche 3 et ignore tout du contenu des paquets. Grâce à cette méthode, les paquets de couche 3 sont envoyés au proxy de couche 7 pour analyse.DNS reçoit les requêtes DNS d'un réseau (généralement local) et les transmet à un serveur de noms de domaine Internet. Il peut également mettre en cache les enregistrements DNS.
Proxificateurs
Certains programmes clients "SOCKS-ify" les requêtes, ce qui permet d'adapter tout logiciel en réseau pour se connecter à des réseaux externes via certains types de serveurs proxy (principalement SOCKS).