Aprendizado e descoberta 4min de Leitura - 07 de junho de 2016

Proxy transparente, conheça os benefícios e limitações

Laptop aberto sobre uma mesa

This post is also available in: Português English Español

O recurso de proxy é uma ferramenta imprescindível de segurança que tem por finalidade gerenciar os acessos que dispositivos, da rede interna, realizam para outras redes e para a internet.

O serviço de proxy web pode ser configurado em formatos diferenciados, sendo um deles chamado de proxy transparente. A premissa básica para a implantação do proxy transparente é que o usuário, ou dispositivo, não necessite executar nenhuma configuração para navegação, sendo estas atribuídas a arquitetura de segurança.

Embora o modelo possa ser bastante atraente e de fácil implantação, existem diversos pontos que precisam ser entendidos para garantir o sucesso em sua utilização. Nesse post, abordaremos alguns dos principais pontos positivos e negativos associados ao uso de proxy transparente.

Proxy transparente, pontos positivos

A facilidade de implantação, sem sombra de dúvidas, é o principal ponto considerado no momento de definição da topologia, no entanto, é importante entender a aplicação e o ambiente para garantir que este modelo é o mais adequado.

Isso por que o funcionamento da estrutura de proxy transparente ocorre através do redirecionamento do tráfego na porta 80 para o serviço interno do proxy, e existem muitas outras portas que podem usar o protocolo HTTP, ou o método CONNECT, que não irão passar por essa regra.

Redirecionar o tráfego de todas as portas para o proxy, por outro lado, não é uma opção pois o mesmo não conhece o funcionamento de outros protocolos, o que fará com que outras aplicações não HTTP parem de funcionar.

Além disso, boa parte das aplicações web atualmente utilizam conexões HTTPS (porta 443), então é necessário também que o proxy possua o recurso de interação com esse tipo de tráfego, o que pode não ser uma atividade trivial.

Outro aspecto interessante na implantação de proxy transparente é o recurso de caching que muitos possuem de maneira integrada. Esta facilidade permite economia de banda uma vez que os objetos da internet são armazenados em memória ou armazenamento secundário e descarregados localmente (sem o uso da internet) para usuários que requisitarem.

Com o recurso de cache é possível configurar o espaço usado para armazenamento, o tamanho mínimo e máximo de itens que irão para o cache, bem como a política que será utilizada para substituição de objetos, mantendo em geral somente aqueles que são frequentemente acessados.

Na prática, em uma rede sem proxy e caching uma requisição na internet que demanda uma atualização de 5Mb realizada por 10 equipamentos, irá gerar um consumo de internet de 50Mb, pois todos eles precisarão ir até a internet para copiar as atualizações.

Com o recurso de cache, o primeiro equipamento que realizar a atualização irá consultar na internet e o arquivo será armazenado no cache local. Os demais computadores ou dispositivos que requisitarem o mesmo item, vão descarregar localmente, gerando neste caso economia considerável de banda (45Mb).

As tecnologias de proxy costumam trabalhar com listas de acesso ou recursos similares que permitem que regras de acesso possam ser criadas de acordo com a necessidade da empresa, como limitar determinados sites, com base em horários, criar listas brancas e pretas globais, entre diversas outras facilidades.

Isso é importante, mesmo que aplicado somente na porta 80, pois oferece uma redução de acessos em sites inapropriados para o ambiente de trabalho, seja através de um acesso intencional ou acidental (gerado por um malware, por exemplo). Existem ainda possibilidades de realizar o bypass do proxy, contudo se a política estiver bem ajustada, os riscos minimizam potencialmente.

Todos os acessos que são realizados através do proxy transparente são passíveis de registro, e isso é uma ferramenta de gestão interessante para identificar abusos ou outros acessos, permitindo personalizar a políticas de acesso de acordo com a necessidade da empresa.

Proxy transparente, limitações

Embora o proxy transparente apresente um conjunto de benefícios interessantes, em ambientes corporativos de maior complexidade, com estruturas de autenticação, diversidade grande de uso de aplicações e dispositivos móveis, esse modelo pode gerar algumas frustrações.

A utilização de HTTPS dentro de uma estrutura de proxy, em linhas gerais, depende que o serviço intercepte a conexão e entregue um certificado próprio, que deve ser aceito pelo cliente para dar continuidade na comunicação. Esse processo, exceto se o equipamento tenha o certificado importado, irá gerar um alerta para o usuário de conexão insegura.

Para ambientes com controlador de domínio onde é possível fazer o deploy de certificados em massa, isso não representa um problema, mas em estruturas menores, fazer essa operação de maneira manual pode gerar demanda considerável de trabalho.

Um outro alerta importante quanto ao uso de proxy transparente é a capacidade de redirecionar portas para os serviços, tendo em vista que nem toda aplicação é baseada no protocolo HTTP. Isso significa que milhares de outras portas podem passar por fora do proxy, facilitando inclusive a estrutura de bypass.

Neste caso é importante que a solução trabalhe em conjunto com políticas de filtragem de tráfego para regulamentar a utilização destas outras portas, do contrário, ratificando, a possibilidade de bypass para uso de proxies fora da empresa, é muito grande.

Desta forma, como somente uma parte do tráfego acaba passando pelo proxy, o recurso de auditoria dos acessos pode ser prejudicado, ou em outros casos, segmentado em logs do próprio serviço de proxy, como registros de não conformidades nas políticas de acesso do proxy.

E agora?

Existem outros pontos positivos e negativos associados ao uso de proxy transparente, e cada ambiente pode ter uma leitura de acordo com seu propósito, por conta disso é importante entender claramente qual a necessidade a ser resolvida, assim identifica-se qual arquitetura está mais adequada.

Ainda continua com dúvidas? Converse com um de nossos especialistas!

This post is also available in: Português English Español