This post is also available in: Português English Español
Os proxies oferecem uma camada importante em uma arquitetura de segurança da informação. Em linhas gerais, estas soluções oferecem controles mais especializados e finos sobre um determinado protocolo, e por isso, são fundamentais em uma estratégia de defesa em profundidade.
Diferentemente de filtros de pacotes, os proxies não são multipropósito. Os mesmos estão sempre limitados é um conjunto pequeno de aplicações, ou em muitos casos, somente uma aplicação ou protocolo propriamente dito.
Com o crescimento acelerado da internet e das aplicações web, os proxies HTTP tomaram grande importância em uma arquitetura de segurança. Através de um web proxy, uma empresa pode controlar, sobre diversos aspectos, a utilização de navegação de seus usuários.
Existem variadas formas de utilização de um web proxy em uma topologia de segurança, e conhecer as possibilidades pode se tornar um grande passo para a implantação adequada do serviço.
Neste artigo abordaremos os principais modos de utilização de soluções de web proxy permitindo que você possa avaliar com propriedade aquela que é mais adequada para a necessidade de sua empresa.
Web proxy com autenticação transparente
Um proxy transparente atua sem a necessidade de intervenção no dispositivo do usuário, seja um computador, notebook, smartphone ou tablet. Quando o usuário faz a requisição para um site, seu tráfego é automaticamente redirecionado para o proxy, que faz o devido tratamento da solicitação de acordo com as políticas de acesso vigentes.
Se o tráfego for permitido, o site é apresentado ao usuário. Caso seja bloqueado, o proxy pode interagir com o usuário através do próprio navegador, com a orientação adequada, como por exemplo informar que aquele endereço não é permitido pela política da empresa, entre outras informações que forem relevantes.
A implantação do proxy transparente somente é possível se a solução suportar tal funcionamento, e isso não é uma regra para todas as soluções de mercado. Se suportado, o redirecionamento automático do tráfego é realizado, geralmente, por uma regra no firewall, ou dispositivo similar, que fará com que conexões que forem para a porta 80/TCP, sejam redirecionadas internamente para a porta do serviço do web proxy.
Embora o proxy transparente seja uma solução interessante sobre a facilidade e velocidade de implantação, a mesma oferece alguns pontos negativos que em muitos casos inviabilizam a sua utilização em ambientes corporativos. O primeiro está relacionado com aplicações web que não funcionam com proxies, nestes casos o tráfego deve ser excetuado no firewall, uma vez que o usuário não possui controle sobre este funcionamento. O diagnóstico até criar a regra, pode gerar desconforto para as equipes envolvidas.
Outro aspecto negativo para o uso de proxy transparente é quando a empresa deseja trabalhar com políticas de acesso baseadas em autenticação. O funcionamento de autenticação nesse modo de uso traz uma série de problemas técnicos que inviabilizam seu uso. Como cada vez mais é necessário oferecer controles baseados por grupos, usuários ou perfis e níveis de acesso, o proxy transparente acaba não sendo a melhor opção nestes cenários.
Além disso, como é criado uma regra de redirecionamento de tráfego, esta precisa necessariamente estar associada é uma porta ou conjunto de portas. Geralmente somente a porta 80/TCP é associada ao proxy transparente, pois não é possível assegurar que o tráfego HTTP passará em outras portas. Isso acaba gerando transtornos, pois se o usuário for acessar http://aplicacao:81, o mesmo não passará pelo proxy transparente.
Este cenário, dependendo da política de utilização para outras portas e serviços, pode oferecer uma falsa sensação de segurança, pois nem todo tráfego HTTP estará de fato passando pelo proxy, somente aqueles em que as portas forem redirecionadas. E, redirecionar um conjunto maior de portas, especialmente não padrões, pode prejudicar o funcionamento de aplicações que não suportam o protocolo HTTP.
Mas, apesar de diversos aspectos negativos citados, o modelo de proxy transparente acaba sendo amplamente utilizado em empresas que estão iniciando seu entendimento sobre a importância da segurança. E nestes casos, adicionar esta pequena camada de segurança é realmente importante.
Ainda assim, em cenários corporativos que desejam oferecer acessos wireless para visitantes, fornecedores ou coisas do gênero, a utilização deste tipo de proxy é um recurso altamente interessante. Estes acessos são oferecidos de maneira paralela, e geralmente isolados das redes principais, o registro é importante, desde que não coloque em cheque requisitos básicos de segurança.
Em uma mesma instância de web proxy, dependendo do fabricante, é possível atuar em modo híbrido, onde uma parte da rede pode ser atendida de forma transparente, enquanto outra faz uso de outros modos. Tudo vai depender da complexidade e necessidade do cenário.
Web proxy com autenticação manual
O proxy manual é uma alternativa, e em muitos casos um complemento, a estrutura de proxy transparente. Como sugerido pela própria nomenclatura, trata-se de uma configuração manual sobre a perspectiva da aplicação (por exemplo o browser). Não é necessariamente manual por parte do usuário, por que dependendo da infraestrutura, o deploy da configuração pode ser feito de maneira automatizada por um comando centralizado.
A utilização de web proxy está mais condicionada em navegadores, ou aplicações que são baseadas no protocolo HTTP. Todos estes oferecem o recurso de configuração de proxy, onde você pode colocar um endereço e uma porta. Uma vez configurado, tudo que for gerado por aquela aplicação, será encaminhado para o proxy.
O proxy passa, portanto, a ser um intermediário em toda conexão realizada por aquela aplicação, e por conta disso, tem total controle sobre as conexões, deliberando o que pode ou não ser trafegado. Toda conexão gerada pela aplicação, independente de ser na porta 80, ou 81, ou 9090, será encaminhada para o proxy.
Este modelo oferece um controle muito mais apurado, inclusive de conexões https pelo método CONNECT, pois todas as portas acessadas dentro daquela aplicação (navegador) vão ser automaticamente repassadas ao proxy, que poderá regulamentar o acesso de acordo com a política definida.
Portanto, com o web proxy manual há um controle muito mais apurado na utilização de serviços HTTP. Além disso, para fins de autenticação, é o modelo adequado a ser utilizado, que mantém completa compatibilidade com as soluções de proxy. Aquelas necessidades de excetuar aplicações do proxy, podem ser gerenciadas diretamente pelo usuário. É comum as aplicações terem uma área para cadastrar endereços cujo acessos não devem ser encaminhados para o proxy, e sim diretamente para a internet.
Em estruturas com um controlador de domínio, é comum que esse tipo de configuração não fique disponível para usuários. Essa parte fica devidamente bloqueada de alterações, e toda configuração é realizada de maneira centralizada e distribuída em todos os computadores da empresa.
Por isso, mesmo que o nome seja proxy manual, muitas vezes a configuração acaba sendo automatizada, sem que você tenha que gerar algum tipo de intervenção na aplicação para configuração. Este modelo de utilização é bastante utilizado e recomendado para uso em qualquer porte e maturidade de empresa.
Web proxy com autenticação automática
Para completar os 3 tipos básicos de configuração amplamente utilizados para proxies web, o formato de proxy automático busca na rede, ou através de uma URL, o arquivo de configuração onde estão todos os parâmetros necessários para realizar a configuração do proxy.
Este recurso chama-se WPAD (Web Proxy Auto-Discovery Protocol), e é responsável por encontrar a URL de configuração do proxy através de DNS ou DHCP. Uma vez que é encontrado (wpad.dat), o download é realizado e executado para que as configurações sejam devidamente feitas.
O formato do arquivo wpad.dat é o PAC (Proxy Auto Config), padronizado em 1996 pela Netscape, oferece uma linguagem simples e flexível que permite configurações múltiplas baseadas em, por exemplo, informações da rede solicitante. Além disso, é através deste arquivo que são estabelecidos endereços e URLs que não deverão passar pelo proxy, tudo isso gerenciado a partir de um único arquivo.
Grande parte dos navegadores oferece o recurso de configurar automaticamente o proxy. Esse recurso nada mais é do que sinalizar para a aplicação que deve usar o WPAD para buscar as configurações e executar. Uma vez configurado o proxy, o modelo de funcionamento é exatamente o mesmo do proxy manual.
Portanto, este modelo de utilização consiste basicamente em automatizar o processo de configuração, desde a descoberta até o gerenciamento das configurações que serão definidas na aplicação.
E você? Já conhecia as possibilidades, vantagens e desvantagens de cada um dos modelos? Compartilhe conosco suas experiências.
This post is also available in: Português English Español