This post is also available in: Português English Español
La funcionalidad de proxy es una herramienta imprescindible de seguridad que tiene por finalidad administrar los accesos de dispositivos, de la red interna, a otras redes y a Internet.
El servicio de proxy web puede ser configurado en formatos diferenciados, uno de ellos llamado proxy transparente. La premisa básica para la implementación del proxy transparente es que el usuario, o dispositivo, no necesite ejecutar ninguna configuración para navegación, siendo estas asignadas a la arquitectura de seguridad.
Aunque el modelo puede ser bastante atractivo y de fácil implantación, hay varios puntos que necesitan ser entendidos para garantizar el éxito en su utilización. En este post, abordaremos algunos de los principales puntos positivos y negativos asociados al uso de proxy transparente.
Proxy transparente, puntos positivos
La facilidad de implantación, sin lugar a dudas, es el principal punto considerado en el momento de definir la topología, sin embargo, es importante entender la aplicación y el ambiente para garantizar que este modelo es el más adecuado.
Esto se debe a que el funcionamiento de la estructura de proxy transparente se produce a través de la redirección de tráfico en el puerto 80 para el servicio interno del proxy, y hay muchos otros puertos que pueden utilizar el protocolo HTTP o el método CONNECT que no van a pasar por esta regla.
Encaminar el tráfico de todos los puertos al proxy, por otro lado, no es una opción porque no conoce el funcionamiento de otros protocolos, lo que hará que otras aplicaciones no HTTP dejen de funcionar.
Además, buena parte de las aplicaciones web actualmente utilizan conexiones HTTPS (puerto 443), entonces es necesario también que el proxy posea la característica de interacción con ese tipo de tráfico, lo que puede no ser una actividad trivial.
Otro aspecto interesante en la implementación de proxy transparente es el recurso de caching que muchos poseen de manera integrada. Esta facilidad permite el ahorro de banda ya que los objetos de Internet se almacenan en memoria o almacenamiento secundario y se descargan localmente (sin el uso de Internet) para los usuarios que soliciten.
Con la característica de caché se puede configurar el espacio utilizado para el almacenamiento, el tamaño mínimo y el máximo de elementos que van al caché, así como la política que se utilizará para reemplazar objetos, manteniendo en general sólo aquellos a los que se accede con frecuencia.
En la práctica, en una red sin proxy y caching una petición en Internet que demanda una actualización de 5Mb realizada por 10 equipos, generará un consumo de Internet de 50Mb, pues todos ellos necesitarán ir a internet para copiar las actualizaciones.
Con la función de caché, el primer equipo que realiza la actualización consultará Internet y el archivo se almacenará en el caché local. Los demás ordenadores o dispositivos que solicitan el mismo elemento lo van a descargar localmente, generando en este caso considerable ahorro de banda (45Mb).
Las tecnologías de proxy suelen trabajar con listas de acceso o recursos similares que permiten que las reglas de acceso puedan crearse de acuerdo con la necesidad de la empresa, cómo limitar determinados sitios, sobre la base de horarios, crear listas blancas y negras globales, entre varias otras facilidades.
Esto es importante, aunque sólo se aplica en el puerto 80, ya que ofrece una reducción de accesos en sitios inapropiados para el entorno de trabajo, ya sea a través de un acceso intencional o accidental (generado por un malware, por ejemplo). Hay todavía posibilidades de realizar el bypass del proxy, sin embargo si la política está bien ajustada, los riesgos se minimizan potencialmente.
Todos los accesos que se realizan a través del proxy transparente son pasibles de registro, y eso es una herramienta de gestión interesante para identificar abusos u otros accesos, permitiendo personalizar las políticas de acceso de acuerdo a la necesidad de la empresa.
Proxy transparente, limitaciones
Aunque el proxy transparente presenta un conjunto de beneficios interesantes, en entornos empresariales de mayor complejidad, con estructuras de autenticación, mayor diversidad de uso de aplicaciones y dispositivos móviles, este modelo puede generar algunas frustraciones.
El uso de HTTPS dentro de una estructura de proxy, en líneas generales, depende que el servicio intercepte la conexión y entregue un certificado propio, que debe ser aceptado por el cliente para dar continuidad a la comunicación. Este proceso, a menos que el equipo tenga el certificado importado, generará una alerta para el usuario de conexión insegura.
Para entornos con controlador de dominio donde es posible realizar el deploy de certificados masivos, esto no representa un problema, pero en estructuras menores, hacer esta operación de manera manual puede generar demanda considerable de trabajo.
Otro alerta importante en cuanto al uso de proxy transparente es la capacidad de redirigir los puertos a los servicios, ya que no toda aplicación se basa en el protocolo HTTP. Esto significa que miles de otros puertos pueden pasar por fuera del proxy, facilitando incluso la estructura de bypass.
En este caso es importante que la solución trabaje en conjunto con políticas de filtrado de tráfico para regular el uso de los otros puertos, de lo contrario, ratificando, la posibilidad de derivación para uso de proxies fuera de la empresa, es muy grande.
De esta forma, como sólo una parte del tráfico acaba pasando por el proxy, la característica de auditoría de los accesos puede ser perjudicada, o en otros casos, segmentada en registros del propio servicio de proxy, como registros de no conformidades en las políticas de acceso del proxy.
¿Y ahora qué?
Hay otros puntos positivos y negativos asociados al uso de proxy transparente, y cada ambiente puede tener una lectura de acuerdo con su propósito, por ello es importante entender claramente cuál es la necesidad a ser resuelta, así se identifica qué arquitectura es más adecuada.
¿Todavía tiene dudas? ¡Hable con uno de nuestros expertos!
This post is also available in: Português English Español