[FUG-BR] Opinião sobre proxy transparente

Renato Frederick renato em frederick.eti.br
Domingo Janeiro 25 17:53:46 BRST 2015 


Patrick Tracanelli escreveu:
> Sobre a estrategia de "seguranca" defendida, convenhamos, é enrolar o 
> rabo e sentar em cima pra tentar esconder. Colocar um gateway falso 
> pra evitar proliferacao de vírus ehahuauha em primeiro lugar não 
> deveria haver vírus, em segundo lugar se tem, não deveria assumir uma 
> posicão que o virus vai ficar la tentando se propagar, ele sera 
> eliminado ASAP. Faz favor. Outro ponto nada a ve, e que nada impede a 
> adocao de um DNS a parte. Mas de novo, ter um "dns pros virus" e 
> deixar o proxy ser o unico a usar o DNS autentico me parece de novo o 
> caminho totalmente oposto da seguranca. 

Olá Patrick!

Muito boa, como sempre, sua explicação sobre os outros pontos. 
Interessante saber que as ameaças sabem mais como usar a pilha tcp/ip do 
Windows do que programas lícitos. Eu mesmo já tive problema com alguns 
programas Windows que usavam JAVA, porque não pegavam a conf. do 
navegador, tinha que sair máquina e máquina e colocar na mão :(

Sobre o ponto acima, foi exatamente o ponto que mais discordei :-)

Acho que é, como alguém falou nos comentários deste site que li, 
"inventar uma solução complicada para algo simples"!

Eu costumo trabalhar do jeito que você comentou, se há como interferir 
no equipamento final(Um AD, com GPO, empresa), faço uma GPO com ativação 
de proxy para tudo e um belo "deny from $rede_interna to any", liberando 
eventualmente alguma porta específica. Costumo fazer a regra de nat 
permitindo any to any, mas tem gente que faz 1 regra de nat para cada 
porta. Não gosto disto porque no firewall de borda(considerando que 
atrás dele tenha um proxy/nat) vai ficar no log ips internos que 
tentaram fazer o roteamento sem passar pelo NAT.

Porém, tem empresa que é mais permissiva, ou tem colaboradores que usam 
a internet eficientemente, estas normalmente fecho portas bem conhecidas 
como 135-139, etc, etc e o gestor fica monitorando, quem eventualmente 
comete abuso leva puxão de orelha.

Agora, quando é um hotspot, ou um ISP, é proxy transparente com squid ou 
interceptação de todo tráfego e jogando para um equipamento de cache. A 
ideia de sempre usar proxy transparente sempre aparece em meus 
diagramas, já tenho até o esboço salvo como padrão, 2 links internet -> 
cluster pfsense com carp -> servidor proxy transparente -> rede interna ;)

Obrigado pela sua atenção, mais conteúdo prá enriquecer a lista!

Mais detalhes sobre a lista de discussão freebsd