Servidor Proxy

Conceitos de Servidores Proxy

O objetivo principal de um servidor proxy é possibilitar que máquinas de uma rede privada possam acessar uma rede pública, como a Internet, sem que para isto tenham uma ligação direta com esta. O servidor proxy costuma ser instalado em uma máquina que tenha acesso direto à Internet, sendo que as demais efetuam as solicitações através desta. Justamente por isto este tipo de servidor é chamado de proxy, pois é um procurador, ou seja, sistema que faz solicitações em nome dos outros.

Um servidor proxy para o protocolo http, por exemplo, pode ter outras funcionalidades implementadas. Visto que todas as solicitações de páginas efetuadas pelas máquinas da rede privada serão feitas através dele, é muito útil armazenar localmente as páginas que foram solicitadas, permitindo que os próximos acessos, efetuados por quaisquer máquinas da rede, possam ser otimizados. Este conceito é chamado de caching, e vários servidores proxy na verdade são servidores proxy cache. Pelo mesmo motivo, também é possível implementar uma funcionalidade que permita controlar o que os clientes podem acessar e em que momento. Um servidor proxy também pode implementar o NAT (Network Address Translation – Tradução de Endereços de Rede). O NAT é tecnicamente a função de um portal de nível de rede, mas alguns fornecedores também incluem este recurso em seus produtos e servidores proxy.

Proxy Caching

Os servidores de proxy cache são implementados na camada de aplicativo e processam protocolos Internet específicos, tais como http e FTP. São definidas regras no servidor proxy para determinar como um pedido de estação de trabalho deve ser processado.

Uma das principais tarefas de um servidor proxy é armazenar temporariamente páginas da Web e arquivos de FTP para clientes proxy. Esses tipos de servidores proxy são chamados de servidores de cache proxy. O cache aumenta o desempenho da rede ao reduzir a quantidade de dados que são transferidos de fora da rede local.

Para implementar o proxy caching, cada estação de trabalho da rede é configurada como um cliente proxy para um determinado serviço. Por exemplo, um cliente proxy Web iria configurar seu navegador (browser) para reconhecer o servidor proxy. Quando um cliente fizer um pedido no navegador  para baixar uma certa página, o navegador fará o pedido ao servidor proxy. O servidor proxy contém armazenadas as páginas visitadas recentemente. Este cache contém as páginas Web que as estações de trabalho em toda a rede baixaram recentemente.

O servidor proxy verifica  o seu cache para ver se a página da está disponível. Se a página estiver disponível no cache será enviada ao cliente a página armazenada. Se a página não estiver no cache, o servidor proxy baixará do site em questão, armazenará essa página no seu cache e a enviará à estação de trabalho.

Para garantir que as páginas no cache não estejam desatualizadas, os dados do cache proxy expiram após um tempo pré-determinado. No squid, esta configuração é chamada de tempo de renovação de objeto (som, vídeo, arquivos texto, etc... ).

Este processo aumenta o desempenho da rede porque a página é baixada imediatamente para o cliente a partir do servidor proxy, evitando ter de baixá-la da Internet.

Tradução de Endereços de Rede.

Muitos servidores proxy são distribuídos com a função de NAT. A NAT permite que o endereço de rede interno de uma empresa seja ocultado da Internet. A empresa é representada na Internet como um endereço de IP não relacionado com os endereços de IP internos.

Utilizando um servidor proxy, todo o tráfego de dentro da empresa destinado à Internet é enviado para o servidor proxy. O proxy dá cada pacote um outro endereço de IP antes transmiti-lo pela Internet. Quando o pacote de resposta chega, o servidor proxy o envia ao servidor apropriado da empresa que havia feito o pedido. Este procedimento protege os endereços verdadeiros da rede interna da Internet, dificultando o ataque de um hacker ao sistema, já que o endereço do sistema protegido não é conhecido e não fica diretamente acessível a partir da Internet.

Diferença Entre um Filtro de Pacotes e um Servidor Proxy

Esse é modelo de 7 camadas ISO/OSI. mas ISO corresponde á International Organization for Standardization, ou Organização Internacional para Padronização, e OSI corresponde á Open System Interconection, ou Sistema de Interconexão aberto. Podemos fazer uma analogia com os Processos, ou POP (ProcedimentoOperacional Padrão) como conheço, que a ISO exige das empresas no processo de obtenção do ISO 9001 por exemplo. A idéia é a mesma, “padronizar” para organizar e agilizar os processos.

 

Os 2 serviços são colocados no perímetro da rede. Ambos funcionam como um intermediário entre uma LAN e a Internet. Ambos possuem a capacidade de filtrar o tráfego transmitido para dentro e para fora da rede. Ambos utilizam regras para determinar se certos tipos de tráfego terão autorização para passar pelo servidor ou se serão descartados.

O que acontece é que o filtro de pacotes não penetra tão fundo no pacote como o servidor proxy. O filtro de pacotes analisa o tráfego nas camadas de rede (camada 3) e de transporte (camada 4) do modelo OSI. Por exemplo, um filtro de pacotes determinará se autoriza a passgem de um endereço ou de uma certa faixa de endereços IP. Se a sua rede é atacada a partir de uma faixa constante de endereços de IP, você pode criar uma regra para descartar todos os pacotes que se originarem dessa faixa. Você pode filtrar o tráfego por serviço ou número de porta (por exemplo), criando uma regra que descarte todo o tráfego direcionado a certas portas de escuta, tais como FTP, rlogin e tráfego Telnet, ou dentro de uma faixa de números de portas. Você pode filtrar pacotes ICMP por tipo ou código, o que permite descartar somente certos tipos de tráfego ICMP. Isto ajuda na sua proteção contra ataques comuns de denial-of-service distribuídos (DDOS). Como os filtros de pacotes trabalham nessas camadas, são muitas vezes implementados em roteadores no perímetro da rede.

O servidor proxy é capaz de analisar pacotes na camada de aplicativo (camada 7). Isto oferece uma flexibilidade muito maior, porque permite que o tráfego dentro de um serviço, como o tráfego da porta 80 (http) possa ser filtrado. Como mencionado anteriormente, isto permite que os servidores proxy analisem o tráfego http ou FTP, e determinem se deve ou não passar. Se houver uma regra que impeça a passagem de qualquer endereço WEB que contiver a palavra “sexo”, então qualquer pedido de URL http que contiver “sexo” será descartado.