2008/5/30 Cristiano Ricardo Peixoto Pena <[EMAIL PROTECTED]>: > Ajudando o pessoal da lista e entrando no papo, envio 2 figuras que > identificam um proxy transparente e um não transparente. > > Aqui, a PRODEMGE, http://www.prodemge.gov.br , > empresa que dá suporte a Fundação na qual trabalho, me convenceu > a usar o sistema de proxy não transparente, pois assim o meu gateway, que é > o firewall fica somente com o serviço de fiwerall sendo mais seguro. > > att. > > > ______________________________ > Cristiano Ricardo Peixoto Pena > Analista de Suporte/DBA > NIT - Núcleo de Informação e Tecnologia > Fundação João Pinheiro > Tel : 55 31 3448-9525
Na verdade não é bem assim... O conceito de segurança por ter menos serviços rodando é relativo na minha opinião, tu só precisa de um mal configurado p/ ter problemas. :) Sim, concordo que aumentando o número de serviços tu aumenta as chances de ter algo com problemas que possam abrir brechas de segurança mas, falando de squid, se tu colocar ele para escutar só na interface de rede interna as chances de ter problema com isso diminuem e muito. Existem também implementações de proxy transparente que são feitas numa combinação de firewall na camada 2 do modelo OSI (como o ebtables + iptables + l7-filter, por exemplo) e um segundo servidor que recebe estes redirecionamentos e aceita requisições como proxy. Existem também tecnologias para configuração automática dos navegadores, como a WPAD (Web Proxy Auto Discovery - http://pt.wikipedia.org/wiki/WPAD), o que torna os proxies "não transparentes" tão práticos quanto os "transparentes" em relação à questão da configuração dos clients. Esse é o principal motivo pela escolha (muitas vezes errada) pelo proxy transparente em muitas redes, administradores preguiçosos que não pesquisam o suficiente, não se mantém atualizados (embora seja uma tecnologia bem antiga...) ou simplesmente viram "aquele" tutorial do squid ninja para squid 2.1_STABLE1 e o salvaram em suas pen-drives, utilizando-o até hoje, quando estamos indo p/ o squid 3.0... :) O proxy transparente também tem uma série de problemas (https, ftp, não tem autenticação), como o Henrique ja falou antes, muitos provedores usam p/ cache apenas, o que é válido p/ economizar banda, mas não porque "é mais fácil de implementar". Eu recomendo que o proxy seja transparente única e somente neste cenário (apenas cache, sem logs inclusive, logs são destruidores de perfomance), no mais, uma combinação de boas regras de firewall, um proxy http não transparente e um proxy socks p/ aplicações mais chatas (alguem falou Conectividade Social?) e pro pessoal da empresa continuar conectando naquele servidor de CS ou WoW ao meio-dia (ninguém é de ferro :P)
