Despliegue de Proxy SG

¿Sabe usted lo que es un Proxy? La mayoría de las personas a quienes hago esta pregunta suelen responder que es un filtro de Internet, y esto no es exactamente la respuesta correcta, ni está del todo mal. ¿Han visto series de investigación criminal o películas de delitos informáticos donde el experto en tecnología siempre dice algo como <agregue el drama> “No lo puedo localizar, ¡Se está enmascarando!”? Eso es el concepto real de un proxy, un usuario –malicioso en ese ejemplo- realiza operaciones conectándose a un tercer equipo, está saltando a otro equipo, está usando un Proxy. ¿Alguna vez han intentado ver un video en Internet que les indica que no es posible reproducir el video en su país? Hay muchas páginas en Internet que brindan un servicio de proxy en diferentes países; sólo debes conectarte a usas páginas por ejemplo en EEUU y colocar el URL del video que quieres ver ¡Listo! Estás reproduciendo el video desde EEUU, no desde tu país de origen.

Aclarado el concepto de lo que realmente es un proxy, en un ambiente corporativo es conveniente hacer que todas las solicitudes hacia Internet salgan de la red LAN por un solo sitio; un solo dispositivo que se encarga de rehacer las solicitudes, y aprovechando esto se le integran al Proxy las funciones de Filtrado de Contenido que muchos conocen y muchas otras como la Autenticación de Usuario, Web Cache, Anti-Malware, Reportes, entre otros; y esto a lo que llamamos Proxy SG (Secure Gateway).

Les comento sobre varios métodos de despliegue para un Proxy SG:

Despliegue Físicamente en Línea (Transparente): 

Como su nombre lo indica, el Proxy se localiza en línea justo antes de salir a Internet y se configura de manera transparente al usuario; las solicitudes se terminan en el Proxy y es este quien rehace la solicitud a Internet, más esto es transparente para el usuario o su navegador. Si se llega a requerir autenticación del usuario, el SG debe entregar un Portal Cautivo de autenticación.  Esto es útil si se manejan aplicativos incapaces de utilizar un Proxy, pero es difícil manejar una alta disponibilidad del sistema.

Despliegue Virtual en Línea (Transparente):

Aunque el Proxy no se localiza físicamente en la línea de salida a Internet, se le redirecciona el tráfico de Internet como http, https y ftp utilizando algún mecanismo de red como PBR (Policy Based Routing) o WCCP (Web Cache Communication Protocol). Esto simplifica el despliegue en alta disponibilidad; pero agrega una carga adicional a los dispositivos de red por lo que no se recomienda en redes de gran tamaño.

Despliegue Explícito

El proxy se encuentra en cualquier sitio de la red –aunque recomiendo sea en el borde-  y está configurado de manera explícita; significa que los usuarios y navegadores deben conocer la existencia de un servidor Proxy. Esto simplifica el despliegue, la alta disponibilidad, balanceo de carga; pero dificulta la administración ya que cada terminal debe ser configurado y debemos asegurarnos de que el Firewall de salida a Internet sólo permite la salida de solicitudes originadas en el SG y no directamente de los usuarios.

La administración masiva de los terminales se puede simplificar con la distribución de archivos PAC (Proxy Auto-Config) que indican al navegador de cada terminal la configuración completa de proxy.

El método más usado y mi recomendación personal es el Despliegue Explícito por su capacidad de brindar un sistema sumamente robusto, disponible y seguro; aunque sea un poco más de trabajo para nosotros. En otra oportunidad comentaré sobre la Alta Disponibilidad y sobre las políticas configuradas.