Servere proxy

Servere proxy

Pentru a elimina unele dintre dezavantajele filtrarii de pachete, firewall-urile trebuie sa foloseasca aplicatii software pentru intermedierea accesului la unele servicii cum ar fi Telnet si FTP. O astfel de aplicatie este cunoscuta sub numele de serviciu proxy (proxy service), iar sistemul gazda pe care ruleaza se numeste proxy server sau poarta la nivel de aplicatie (application level gateway). Gateway-urile sunt folosite in general pentru conectarea a doua retele. Gateway-urile la nivel de aplicatie si router-ele cu facilitati de filtrare a pachetelor pot fi combinate pentru a realiza un nivel mai inalt de securitate si flexibilitate decat in cazul folosirii separate a acestora.

În mod normal, o sesiune de comunicatie in Internet se desfasoara dupa modelul client/server: clientul emite o cerere catre server, iar acesta raspunde cererii. În cazul folosirii serviciilor proxy, comunicatia se desfasoara in urmatorii pasi:

1. Clientul emite cererea nu catre serverul real, ci catre serverul proxy, comunicandu-i acestuia destinatia dorita (serverul real care va raspunde cererii);
2. Serverul proxy analizeaza cererea si, daca aceasta respecta politica de securitate a organizatiei, este trimisa serverului real (destinatie), ca si cum ar proveni de pe masina sa;
3. Serverul real raspunde cererii - raspunsul se intoarce la serverul proxy;
4. Serverul proxy analizeaza raspunsul si, daca acesta respecta politica de securitate a organizatiei, este trimis clientului;
5. Serverul proxy inregistreaza conexiunea intr-un fisier jurnal. Ca urmare, nu mai este creata o singura conexiune client/server, ci doua: client/server proxy si server proxy/server real. Server-ul nu este constient de existenta clientului; el comunica doar cu serverul proxy. De asemenea, clientul nu comunica direct cu serverul real, ci doar cu serverul proxy.

Pentru ca aceasta schema sa functioneze, trebuie ca intre clienti si server sa nu existe conectivitate directa (la nivel IP). În caz contrar, clientul poate trimite cererea direct catre serverul real, eludand astfel serverul proxy. Din aceasta cauza, pe gateway optiunea de rutare (transfer automat al pachetelor dintr-o retea in cealalta) va trebui dezactivata.

Fig. 4.5. Firewall tip calculator gazda protejat

Avantajele serverelor proxy

Avantajul serverelor proxy este ca ele inteleg protocolul pentru care au fost proiectate facand astfel posibil controlul la nivel de aplicatie, constand din:

autentificare - aceasta permite selectarea utilizatorilor (interni sau externi) care au dreptul sa acceseze un anumit serviciu prin intermediul unor mecanisme de autentificare puternice cum ar fi parolele de unica folosinta;

filtrarea individuala a operatiilor protocolului - de exemplu, cu ajutorul unui server proxy pentru FTP poate fi implementata o politica de securitate care permite aducerea, ar interzice exportarea de fisiere;

monitorizarea - inregistrarea in fisiere de log a sesiunilor de retea.

În final, configurarea si testarea unui server proxy este mult mai simpla decat a unui router de filtrare a pachetelor.

Limitarile serverelor proxy

Principalele dezavantaje ale serverelor proxy sunt:
. existenta a doua conexiuni in loc de una modifica procedura de utilizare a serviciilor Internet. Acest lucru impune modificarea fie a programelor client, fie a modului de apel al acestora de catre utilizatori. Rezulta astfel doua abordari posibile:

1. Utilizarea de clienti normali si modificarea comportamentului

utilizatorilor: acestia nu se mai pot conecta direct la serverele dorite, ci trebuie sa se conecteze intai la firewall (serverul proxy) si sa-i 'spuna' acestuia destinatia dorita, intr-un limbaj specific fiecarui server proxy.

Aceasta metoda impune un mod de lucru mai greoi utilizatorilor, diferit de cel cu care erau probabil obisnuiti. In particular, utilizatorii trebuie sa foloseasca proceduri diferite pentru accesarea serverelor din reteaua interna a organizatiei (pentru acestea nu trebuie sa treaca prin firewall), fata de cele externe (din Internet);

2. Utilizarea de clienti modificati sau configurati corespunzator pentru conlucrarea cu serverul proxy. În acest caz, utilizatorul nu va sesiza prezenta serverului proxy (exceptand cazul cand este necesara autentificarea la firewall); clientul va efectua automat toate procedurile privind conectarea prin firewall. Astfel de clienti exista in prezent pentru o serie de protocoale, ca Telnet, FTP sau HTTP. De exemplu, WS FTP, Netscape Navigator sau Internet Explorer pot fi configurate sa se conecteze prin intermediul unui server proxy;

desi exista software proxy pentru serviciile 'consacrate', acesta s-ar putea sa fie greu de gasit pentru serviciile mai noi sau mai putin utilizate;

exista servicii care nu se preteaza la proxy. Eficienta serviciului proxy depinde de posibilitatea de a determina care dintre operatiile unui anumit protocol sunt sigure si care nu, chiar daca s-au determinat operatii nesigure, interzicerea lor s-ar putea sa afecteze functionarea intregului protocol (cum este cazul la X Windows, de
exemplu).