[FUG-BR] Opinião sobre proxy transparente

Paulo Henrique - BSDs paulo.rddck em bsd.com.br
Domingo Janeiro 25 20:28:19 BRST 2015 

On 25/01/2015 17:53, Renato Frederick wrote:
>
>
> Patrick Tracanelli escreveu:
>> Sobre a estrategia de "seguranca" defendida, convenhamos, é enrolar o 
>> rabo e sentar em cima pra tentar esconder. Colocar um gateway falso 
>> pra evitar proliferacao de vírus ehahuauha em primeiro lugar não 
>> deveria haver vírus, em segundo lugar se tem, não deveria assumir uma 
>> posicão que o virus vai ficar la tentando se propagar, ele sera 
>> eliminado ASAP. Faz favor. Outro ponto nada a ve, e que nada impede a 
>> adocao de um DNS a parte. Mas de novo, ter um "dns pros virus" e 
>> deixar o proxy ser o unico a usar o DNS autentico me parece de novo o 
>> caminho totalmente oposto da seguranca. 
>
> Olá Patrick!
>
> Muito boa, como sempre, sua explicação sobre os outros pontos. 
> Interessante saber que as ameaças sabem mais como usar a pilha tcp/ip 
> do Windows do que programas lícitos. Eu mesmo já tive problema com 
> alguns programas Windows que usavam JAVA, porque não pegavam a conf. 
> do navegador, tinha que sair máquina e máquina e colocar na mão :(
>
> Sobre o ponto acima, foi exatamente o ponto que mais discordei :-)
>
> Acho que é, como alguém falou nos comentários deste site que li, 
> "inventar uma solução complicada para algo simples"!
>
> Eu costumo trabalhar do jeito que você comentou, se há como interferir 
> no equipamento final(Um AD, com GPO, empresa), faço uma GPO com 
> ativação de proxy para tudo e um belo "deny from $rede_interna to 
> any", liberando eventualmente alguma porta específica. Costumo fazer a 
> regra de nat permitindo any to any, mas tem gente que faz 1 regra de 
> nat para cada porta. Não gosto disto porque no firewall de 
> borda(considerando que atrás dele tenha um proxy/nat) vai ficar no log 
> ips internos que tentaram fazer o roteamento sem passar pelo NAT.
>
> Porém, tem empresa que é mais permissiva, ou tem colaboradores que 
> usam a internet eficientemente, estas normalmente fecho portas bem 
> conhecidas como 135-139, etc, etc e o gestor fica monitorando, quem 
> eventualmente comete abuso leva puxão de orelha.
>
> Agora, quando é um hotspot, ou um ISP, é proxy transparente com squid 
> ou interceptação de todo tráfego e jogando para um equipamento de 
> cache. A ideia de sempre usar proxy transparente sempre aparece em 
> meus diagramas, já tenho até o esboço salvo como padrão, 2 links 
> internet -> cluster pfsense com carp -> servidor proxy transparente -> 
> rede interna ;)
>
> Obrigado pela sua atenção, mais conteúdo prá enriquecer a lista!
>

Saudações a todos,

Como sempre excelentes abordagens.

Os argumentos apresentados pelo material com relação a segurança está 
mais para administrador de rede preguiçoso, sou adepto a proxy 
transparente, não pela facilidade de administrar a rede mais pela 
ineficiência de um usuário conseguir burlar os controles implantados na 
infraestrutura.
Em resumo mantenho todas as portas bloqueadas e libero acesso a 
porta/servidor especifico caso seja necessário com exceção de 
interceptar o stream daquela conexão ( tipo Conexão Segura da Caixa 
econômica ) e encaminha-lo para a proxy.
Dá um trabalho maior e não é difícil chegar a 600 ou 800 regras no 
firewall com exceções, contudo o trafego que entra ou sai da rede é 
totalmente confiável.
E estação de trabalho com virus/worms é irresponsabilidade do 
administrador por deixar que uma estação seja infectada, restringe os 
privilégios dos usuários, coloca recursos de gerenciamento centralizados 
onde o controle do antivírus não seja manipulado pelo usuário, proíbe a 
utilização de discos removíveis e acesso a sites apenas no que diz 
questão ao trabalho do colaborador, só com essas medidas cairá em 99% a 
possibilidade de se ter uma estação infectada.
E outra coisa que coloco na rede é segmentar a rede por departamentos e 
o trafego entre eles serem inspecionado pelo IDS, tive só alguns 
problemas com protocolos de impressão que parecem não funcionar muito 
bem quando se tem um IDS no meio.

Att.

-- 
Paulo Henrique.
Grupo de Usuários de Sistemas BSDs no Brasil.
Fone: +55 21 96713-5042

Não importa o que faça, sempre haverá alguém em algum lugar do mundo que será sempre melhor do que você.

Mais detalhes sobre a lista de discussão freebsd