Como funciona o “servidor proxy” como mecanismo de segurança no nível de transação?
Além da filtragem de pacotes e do NAT, outra função tipicamente encontrada num firewall é o “serviço de proxy de aplicação” (ou application gateway). Enquanto a filtragem de pacotes é capaz de inspecionar dados no cabeçalho de controle do protocolo IP, um proxy de aplicação é capaz de inspecionar o pacote inteiro, campos de controle e dados. Proporciona maior controle sobre o tráfego entre duas redes, onde o conteúdo de um determinado serviço pode ser monitorado e filtrado de acordo com a política de segurança da rede. Para isso, para qualquer aplicativo desejado, um código de proxy correspondente deve ser instalado no gateway, a fim de gerenciar esse serviço específico.
Como funciona? Por exemplo, um computador da rede interna manda um pedido particular para a Internet via firewall. O Proxy de aplicação no Firewall intercepta esse pedido, inspeciona o pacote inteiro com regras configuradas pelo administrador do firewall, e então gera novamente um pedido para internet para o servidor de destino. Quando a resposta chegar, o firewall novamente intercepta o pacote, inspecionar e, caso passe nas regras pré-estabelecidas, ele vai construir um pacote de resposta e enviar para o computador da rede interna.
Logo, o servidor proxy é um servidor intermediário. Atua como um servidor para o cliente e como um cliente para o servidor de destino. Uma ligação virtual é estabelecida entre o cliente e o servidor de destino. Notar que, para o cliente acessar o servidor proxy, o software cliente deve ser especificamente modificado. Em outras palavras, o software cliente e servidor devem suportar a conexão proxy.
A maioria das implementações de servidor proxy usa métodos de autenticação sofisticados, tais como cartões de identificação de segurança. Este mecanismo gera uma chave única que não é reutilizável por outra conexão. Outra característica é que ele usa autenticação forte de usuário. Por exemplo, ao usar os serviços FTP e TELNET da rede não segura os usuários têm de se autenticar para o proxy.
A vantagem básica de usar o proxy é o anonimato. O Proxy pode substituir a “user agente string” ou retirar as referência, aceitar todos os cookies, mas não passá-los, ou pode bloqueá-los completamente. Pode ser configurado para trabalhar em todo o sistema, para que os programas não sejam capazes de contorná-lo. Há também alguns recursos extras como: compactar tráfego para economizar largura de banda; armazenar em cache arquivos para reduzir tempos de carregamento de página; retirar os anúncios de sites antes que eles atinjam a rede computador. Bloquear sites maliciosos.
