Controle de acesso via Squid Proxy ou por fpBloclker?



  • Tenho percebido que o controle de uso da internet via proxy tem se tornado cada vez mais complexo devido as demandas de NFe, Bancos, serviços em https, Cloud da Google, da Live, redes sociais, IM, etc.

    Em redes pequenas, abrir mão do controle via proxy tem sido uma saída interessante, para obter um serviço de suporte de mais otimizado, principalmente com ferramentas como o pfBlocker.

    É claro que seja por proxy ou por aliases (pfblocker), ambos precisam de atenção da hora de implantar e manter. E sei também que cada caso é um caso, mas tenho tido um inclinação para implantar firewall sem o serviço de proxy. Será que estou falando um monte de bobagem ou estou no caminho certo?



  • Na minha humilde opinião o uso de Proxy oferece vantagens em qualquer porte de rede, tanto o normal quanto o reverso, desde que bem adequado as necesidades.

    Você falou em pequenas redes, nesse cenário a banda de internet costuma ser "curta", onde o uso de cache pode ser MUITO util, lembrando: se bem configurado…
    Bloquear conteudo e acessos também não é dificil, esses problemas com aplicações do governo e etc só ocorrem com quem usa Proxy Transparente. Eu estou migrando todos os meus clientes para usarem Proxy sem transparencia. É muito mais seguro e controlável. Bloqueio inclusive o uso da porta 80 e 443.

    Quando falo bem configurado parece um bicho de 7 cabeças que gospe fogo, mas não é. Quando comecei a ter contato com o PFSense e CISCO achava ambos muito complexos. Com o tempo fui aprendendo e padronizando certas configurações de acordo com as melhores práticas que aprendo, ou seja, adquiri experiência no uso das ferramentas e isso nem tomou anos de aprendizagem e dedicação. Foram meses pesquisando, lendo a respeito, indo sempre mais fundo na informação.

    Mas voltando, um Squid com SquidGuard ou DansGuardian, bem configurados, com uma Blacklist atualizada, sem transparência e firewall com regras certas, o Pfblocker torna-se apenas um auxiliar.



  • Valter, o pfblocker é muito útil para bloquear trafego que você tem certeza que não quer já na camada3, economizando cpu e memória com testes de camada7.

    Por exemplo:

    Se eu sei que meu site não interessa a china ou outros países, você já bloqueia na camada de firewall e pronto. Desta forma o trafego morre antes de ser analisado pelo snort, proxy reverso e/ou  antispam.
    Da mesma forma lista de ips infectados, e etc.

    Entendo que as ferramentas se completam, mas só abro mão do proxy se o cliente não quiser mesmo ter controle sobre o que pode ou não ser acessado.

    att,
    Marcello Coutinho



  • Completando, no caso que o Marcelloc disse sobre não usar proxy se não quiser filtros, nesse caso, pelo menos o uso do HAVP Proxy transparente pra varredura de downloads com vírus.

    Não montei nenhum Servidor de Internet até agora que não tenha nenhum tipo de proteção para a navegação dos usuários, claro, só os Servidores que alimentam a redundância de Links pra "mini" Datacenters, nesse caso o PFSense com as proteções de navegação fica atrás.



  • Marceloc e Cavalcanti, muito boa a explanação de vocês. Estou aprendendo muito. Mas posso coloca mais algumas considerações? Pois este assunto de proxy ainda parece um bicho de 7 cabeças pra mim, ou seja ainda não me tornei um cavalheiro de armadura dourada que sabe matar estes dragões… eheh

    Ok tecnicamente, sempre haverá prós e contra em usar ou não usar o proxy, mas eu me esbarro n
    o custo de manutenção de um proxy versos aquilo que o cliente realmente precisa, que na grande maioria dos meus casos se resumem em:

    • Bloqueio incondicional para rede: Ameaças (invasão, vírus, rede e host maliciosos, etc), Pornografia e Site de Proxy
    • Bloquear para todos: Redes sociais, Rádio, P2P, Vídeos, MSN, Sites de Downloads e
    • Liberar para "Diretoria": Redes sociais, Rádio, P2P, Vídeos, MSN e Sites de Downloads

    Eu sei que estou sendo simplório, mas em camada 3 as questões acima estão resolvidas certo?

    OBS.:Quanto o firewall é top-down no final o cliente pede para fazer como acima pois todos os dias aparecem pedidos de liberação de alguma coisa.

    Já usei squid até com autenticação no AD e no final as regras que o cliente queria era a descrita acima, não importava a forma que ele iria funcionar.

    Quanto ao cache de proxy não consigo ver um futuro promisso devido ao aumento da largura de banda e o uso da computação nas nuvens, mas entendo que hoje ainda é uma boa.

    Quero ressaltar que conheço pouco o PfSense (menos de 01 anos) e estou apenas compartilhando as minhas dúvidas.

    Abs, Jr



  • Com relação ao custo de manutenção de um Proxy, há duas estratégias:

    1 - Uso de Grupos com nivel de acesso e vinculação ao AD, assim se o usuário precisar ser mudado de nivel de acesso, basta trocar o grupo dele. Há vários tutoriais de como autenticar o Squid por grupos no AD.

    2 - A estratégia mais correta e trabalhosa, que parece ser adequada ao seu caso: Politica de Segurança da Informação.
    Você parece trabalhar em uma empresa onde não existe uma politica bem definida para a TI e para a segurança. Eu tive um problema parecido em um cliente com mais de 100 usuários. Muitos gerentes departamentais ficavam criando caso e reclamando no ouvido dos diretores. O que eu fiz? Chamei os dois diretores, de TI e o Presidente da empresa para conversar e expliquei a necessidade de uma politica padronizada de segurança, bem definida e que deveria ser seguida, também mostrei os possiveis prejuizos caso continuassem daquele jeito.
    Claro que como eu trabalho em uma empresa que presta serviços na área, tenho um acesso mais fácil a niveis mais altos de gestão. Se você não tem esse acesso, abra seu caminho, defenda o que é certo de maneira inteligente, bons argumentos sempre ganham de reclamações sem fundamento. As vezes é bom meter a cara a tapa quando se está certo, as vezes o que alguns diretores arrogantes precisam é de alguém que lhes jogue na cara o que é o certo, pois estão acostumados com o errado, claro, de maneira educada pra não perder o emprego. kkk


Log in to reply