[MASOCH-L] Conceito de Proxy

Felipe Kellermann stdfk at terra.com.br
Thu Apr 19 17:23:24 -03 2007 

On Thu, 19 Apr 2007 11:27am  -0300, Francisco J. C. Figueiredo wrote:

> Historicamente o conceito de proxy muitas vezes aparece misturado com o 
> conceito de firewall, porém penso que numa definição mais moderna o 
> proxy pode ser pensado tanto como um componente de um firewall, e aí 
> estou adotando a definição de firewall de Chapman e Zwicky, quanto pode 
> ser pensado tendo uma existência isolada.

Olá Francisco,

Muito boa tua compilação de definições.  Eu concordo que o uso de gateways 
de aplicação "estendem" firewalls, como um componente adicional importante 
que pode ser usado, opcionalmente, de forma separada.

A utilização de forma separada se aplica em contextos específicos como o 
que é feito pelo Tor, por exemplo.  Já, em conjunto, podem ser usados, no 
meu ponto de vista, para estender -- acho que este seria um termo aplicado 
neste contexto -- as atribuições dos "firewalls".  Atribuições que, em 
geral, ficam em 1) Dividir redes, 2) Fazer segurança de acessos (usado em 
perímetro ou não) e 3) Segurança de informações.

Os "firewalls" como o ISA, por exemplo, são híbridos.  Trabalham tanto no 
contexto dos firewalls tradicionais (NAT, filtro de pacotes) como também 
através da análise refinada de acessos e informações, entrando em detalhes 
sobre os softwares utilizados para acessos, os usuários autenticados que 
estão fazendo acessos, entre outros -- protocolo RWSP deles (aka MSProxy).


Também, no Linux/BSDs/Solaris e similares hoje se tem feito muito a 
utilização de proxies transparentes, como é o caso do suporte oferecido 
pelo próprio Squid.  Observa-se nestes casos uma integração ainda maior 
entre "firewall" e os "gateways de aplicação".  Quem precisa prover os 
dados de acesso e ajuda ao serviço de gateway é o "firewall", que cuida 
dos níveis inferiores ao nível de aplicação.

Depois disto, os cuidados ficam restringidos às atividades deste gateway 
que está gerenciando o fluxo da aplicação.  (Sim, eu não vejo (N)IDS como 
um componente de um firewall, portanto).  Mas neste exemplo, já existe bem 
pouca diferença entre "firewall" e "proxy" -- são dois componentes que 
trabalham juntos, o proxy servindo como componente do firewall.

Atualmente tem se feito um trabalho grande em sistemas como o Linux para 
trazer as atividades de firewall (tracking, helpers, matches) para a área 
de "user space" mesmo (libnfnetlink e outros), fazendo com que softwares 
possam atuar no limite kernel-space e user-space para poder fazer algumas 
análises mais profundas nas informações de rede.


Nesta mesma linha, recentemente eu estive escrevendo para a empresa que 
trabalho um projeto de "gateway de aplicação" de propósito geral, que faz 
uso de diferentes tipos de transporte, é extensível (plugins, DSOs, podem 
ser adicionados/removidos/atualizados/etc), gerenciável (protocolo para 
administração, publish-subscribe de eventos, manutenção de blackboard, e 
outras coisas).

A idéia deste projeto é, justamente, estender firewalls (como Netfilter, 
ou IPF, ou PF, ou IPFilter, etc) para ter controle/gerenciamento bem mais 
refinado do que simplesmente analisar dados de rede/transporte.


-- 
Felipe Kellermann
felipek at wait4.org

More information about the masoch-l mailing list