Seguridad perimetral 6min de Leitura - 13 de enero de 2016

Web proxy: Lo que usted necesita saber sobre los modos de uso

This post is also available in: Português English Español

Los proxies ofrecen una capa importante en una arquitectura de seguridad de la información. En líneas generales, estas soluciones ofrecen controles más especializados y finos sobre un determinado protocolo, por lo que son fundamentales en una estrategia de defensa en profundidad.

A diferencia de los filtros de paquetes, los proxies no son multipropósito. Los mismos están siempre limitados a un conjunto pequeño de aplicaciones, o en muchos casos, sólo a una aplicación o protocolo propiamente dicho.

Con el crecimiento acelerado de Internet y de las aplicaciones web, los proxies HTTP tomaron gran importancia en una arquitectura de seguridad. A través de un proxy web, una empresa puede controlar, sobre diversos aspectos, el uso de navegación de sus usuarios.

Hay varias formas de utilizar un proxy web en una topología de seguridad, y conocer las posibilidades puede convertirse en un gran paso para la implantación adecuada del servicio.

En este artículo abordaremos los principales modos de utilización de soluciones deproxy webpermitiendo que usted pueda evaluar con propiedad la más adecuada para la necesidad de su empresa.

Proxy web con autenticación transparente

Un proxy transparente actúa sin la necesidad de intervención en el dispositivo del usuario, ya sea un ordenador, laptop, smartphone o tablet. Cuando el usuario hace la petición para un sitio, su tráfico se redirige automáticamente al proxy web, que hace el debido tratamiento de la solicitud de acuerdo con las políticas de acceso vigentes.

Si se permite el tráfico, el sitio se muestra al usuario. Si se lo bloquea, el proxy puede interactuar con el usuario a través del propio navegador, con la orientación adecuada, como por ejemplo informar que esa dirección no está permitida por la política de la empresa, entre otras informaciones que sean relevantes.

La implementación del proxy transparente sólo es posible si la solución soporta tal funcionamiento, y esto no es una regla para todas las soluciones de mercado. Si se admite, la redirección automática del tráfico se realiza generalmente por una regla en el servidor de seguridad, o dispositivo similar, que hará que las conexiones que pasen al puerto 80/TCP, se redirigen internamente al puerto del servicio proxy.

Aunque el proxy transparente es una solución interesante sobre la facilidad y velocidad de implementación, la misma ofrece algunos puntos negativos que en muchos casos inviabilizan su utilización en entornos corporativos. El primero está relacionado con aplicaciones web que no funcionan con proxies, en estos casos el tráfico debe ser excluido en el firewall, ya que el usuario no tiene control sobre este funcionamiento. El diagnóstico hasta crear la regla, puede generar incomodidad para los equipos involucrados.

Otro aspecto negativo para el uso de proxy transparente es cuando la empresa desea trabajar con las políticas de acceso basadas en la autenticación. El funcionamiento de autenticación en este modo de uso trae una serie de problemas técnicos que inviabilizan su uso. Como cada vez más es necesario ofrecer controles basados ​​en grupos, usuarios o perfiles y niveles de acceso, el proxy transparente no es la mejor opción en estos escenarios.

Además, como se crea una regla para encaminar el tráfico, ésta debe necesariamente estar asociada a un puerto o conjunto de puertos. Generalmente sólo el puerto 80/TCP se asocia al proxy transparente, ya que no se puede asegurar que el tráfico HTTP pasará a otros puertos. Esto acaba generando trastornos, pues si el usuario accede a http://aplicación:81, el mismo no pasará por el proxy transparente.

Este escenario, dependiendo de la política de uso para otros puertos y servicios, puede ofrecer una falsa sensación de seguridad, ya que no todo el tráfico HTTP estará de hecho pasando por el proxy, sólo aquellos en los que se encaminen los puertos. Redirigir un conjunto mayor de puertos, especialmente no estándar, puede perjudicar el funcionamiento de aplicaciones que no soportan el protocolo HTTP.

Pero, a pesar de diversos aspectos negativos citados, el modelo de proxy transparente acaba siendo ampliamente utilizado en empresas que están iniciando su entendimiento sobre la importancia de la seguridad. Y en estos casos, añadir esta pequeña capa de seguridad es realmente importante.

Sin embargo, en escenarios corporativos que desean ofrecer accesos inalámbricos para visitantes, proveedores o cosas del género, el uso de este tipo de proxy es un recurso altamente interesante. Estos accesos se ofrecen de manera paralela, y generalmente aislados de las redes principales, el registro es importante, siempre que no coloque en cheque requisitos básicos de seguridad.

En una misma instancia de proxy web, dependiendo del fabricante, es posible actuar en modo híbrido, donde una parte de la red puede ser atendida de forma transparente, mientras que otra hace uso de otros modos. Todo va a depender de la complejidad y la necesidad del escenario.

Proxy web con autenticación manual

El proxy manual es una alternativa, y en muchos casos un complemento, a la estructura de proxy transparente. Como se sugiere por la propia nomenclatura, se trata de una configuración manual sobre la perspectiva de la aplicación (por ejemplo el navegador). No es necesariamente manual por parte del usuario, por qué dependiendo de la infraestructura, el deploy de la configuración puede ser hecho de manera automatizada por un comando centralizado.

La utilización de proxy web está más condicionada en navegadores, o aplicaciones que se basan en el protocolo HTTP. Todos estos ofrecen la función de configuración de proxy, donde se puede colocar una dirección y un puerto. Una vez configurado, todo lo que sea generado por esa aplicación, será encaminado al proxy.

El proxy pasa, por lo tanto, a ser un intermediario en toda conexión realizada por esa aplicación, y por ello tiene total control sobre las conexiones, deliberando lo que puede o no ser transitado. Toda conexión generada por la aplicación, independientemente de ser en el puerto 80, 81 o 9090, será encaminada al proxy.

Este modelo ofrece un control mucho más refinado, incluso de conexiones https por el método CONNECT, pues que todos los puertos accedidos dentro de esa aplicación (navegador) serán automáticamente transferidos al proxy, que podrá reglamentar el acceso de acuerdo con la política definida.

Por lo tanto, con el proxy manual hay un control mucho más apurado en la utilización de servicios HTTP. Además, para fines de autenticación, es el modelo adecuado para ser utilizado, que mantiene una completa compatibilidad con las soluciones de proxy web. Esas necesidades de excepcionar aplicaciones del proxy, pueden ser administradas directamente por el usuario. Es común que las aplicaciones tengan un área para registrar direcciones cuyo acceso no debe ser encaminado al proxy, sino directamente a Internet.

En estructuras con un controlador de dominio, es común que este tipo de configuración no esté disponible para los usuarios. Esta parte está debidamente bloqueada de cambios, y toda configuración se realiza de manera centralizada y distribuida en todos los ordenadores de la empresa.

Por eso, aunque el nombre sea proxy manual, muchas veces la configuración termina siendo automatizada, sin que usted tenga que generar algún tipo de intervención en la aplicación para configuración. Este modelo de uso es bastante utilizado y recomendado para uso en empresas de cualquier porte y madurez.

Proxy web con autenticación automática

Para completar los 3 tipos básicos de configuración ampliamente utilizados para proxies web, el formato de proxy automático busca en la red, o a través de una URL, el archivo de configuración donde están todos los parámetros necesarios para realizar la configuración del proxy web.

Esta característica se llama WPAD (proxy web de servidor de autocontrol) y es responsable de encontrar la dirección URL de configuración del proxy a través de DNS o DHCP. Una vez que se lo encuentra (wpad.dat), la descarga se realiza y se ejecuta para que la configuración se haga correctamente.

El formato del archivo wpad.dat es el PAC (Proxy Auto Config), estandarizado en 1996 por Netscape, que ofrece un lenguaje sencillo y flexible, lo que permite configuraciones múltiples basadas en, por ejemplo, información de la red solicitante. Además, a través de este archivo se establecen direcciones y URL que no deben pasar por el proxy, todo ello gestionado desde un solo archivo.

Gran parte de los navegadores ofrecen la característica de configurar automáticamente el proxy. Esta característica no es más que señalar a la aplicación que debe utilizar el WPAD para buscar la configuración y ejecutarla. Una vez configurado el proxy, el modelo de funcionamiento es exactamente el mismo del proxy manual.

Por lo tanto, este modelo de uso consiste básicamente en automatizar el proceso de configuración, desde el descubrimiento hasta la gestión de las configuraciones que se definir en la aplicación.

¿Ya conocía las posibilidades, ventajas y desventajas de cada uno de los modelos? Comparta tus experiencias con nosotros.

This post is also available in: Português English Español