SEGURANÇA EM SERVIDORES WEB UTILIZANDO PROXY REVERSO

Transcrição

1 UNIÃO EDUCACIONAL MINAS GERAIS S/C LTDA FACULDADE DE CIÊNCIAS APLICADAS DE MINAS Autorizada pela Portaria no 577/2000 MEC, de 03/05/2000 ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO LEANDRO DE SOUZA LOPES SEGURANÇA EM SERVIDORES WEB UTILIZANDO PROXY REVERSO Uberlândia 2006

2 LEANDRO DE SOUZA LOPES SEGURANÇA EM SERVIDORES WEB UTILIZANDO PROXY REVERSO Monografia apresentada à Faculdade de Ciências Aplicadas de Minas da União Educacional Minas Gerais (UNIMINAS), como parte das exigências para obtenção do Título de Especialista em Segurança da Informação. Orientador: Prof. MSc. Gilson Marques da Silva Uberlândia 2006

3 LEANDRO DE SOUZA LOPES IMPLEMENTANDO SEGURANÇA EM SERVIDORES WEB UTILIZANDO PROXY REVERSO Monografia apresentada à Faculdade de Ciências Aplicadas de Minas da União Educacional Minas Gerais (UNIMINAS), como parte das exigências para obtenção do Título de Especialista em Segurança da Informação. Orientador: Prof. MSc. Gilson Marques da Silva Banca Examinadora: Uberlândia, 13 de maio de Professor: MSc. Gilson Marques da Silva UNIMINAS (Orientador) Professor: MSc. Alex Fabianne de Paulo Faculdade Politécnica Professor: Dr. Mauro Hemerly Gazzani UNIMINAS Uberlândia - MG 2006

4 AGRADECIMENTOS À minha querida esposa Sandra, pela paciência, amor e principalmente pela motivação. Ao professor MSc. Gilson Marques pelo apoio, motivação e orientação em todas as etapas deste trabalho. À empresa CTBC que me proporcionou a oportunidade de realizar esse curso e a todos os meus colegas de trabalho que tanto me incentivaram e contribuíram para que a realização desse trabalho fosse concluída. A todo o corpo docente da UNIMINAS pela oportunidade de somar conhecimento e compartilhamento de experiências na área de segurança da informação.

5 O início da sabedoria é a admissão da própria ignorância. Sócrates

6 RESUMO Este trabalho apresenta os conceitos de proxy e cache, suas funcionalidades e vários cenários onde estas tecnologias podem ser implementadas. O trabalho é focado na utilização do proxy em sua forma reversa, inserido em uma topologia de rede que tem como objetivo a proteção de servidores web. Finalmente, após a apresentação dos conceitos, o trabalho mostra, em um ambiente de testes, uma implementação prática da funcionalidade de proxy reverso e suas configurações de segurança, utilizando a ferramenta squid.

7 ABSTRACT This document presents the concepts of proxy and cache, their functionalities and the numerous scenarios in which these technologies can be implemented. The goal of this document is show the proxy on its reverse way inserted in a network topology that intents to protect web servers. Finally, after the presentation of concepts, on a tests environment, it is implemented on practice, the reverse proxy functionality, using a tool called squid.

8 LISTA DE FIGURAS FIGURA 1 - Topologia de rede sem utilização de proxy...19 FIGURA 2 - Topologia de rede utilizando proxy...21 FIGURA 3 - Topologia de rede utilizando proxy convencional...30 FIGURA 4 - Topologia de rede utilizando proxy reverso...31 FIGURA 5 - Visão geral da topologia implementada...41 FIGURA 6 - Topologia de rede detalhada...48 FIGURA 7 - Site de exemplo, configurado no servidor DOLAR...50 FIGURA 8 - Site de exemplo, configurado no servidor EURO...50 FIGURA 9 - Políticas gerais do iptables...51 FIGURA 10 - Regras para as estações de trabalho...52 FIGURA 11 - Regras para o servidor proxy reverso...52 FIGURA 12 - Regras para os servidores web...53 FIGURA 13 - Regras de NAT...53 FIGURA 14 - Arquivo squid.conf após limpeza...55 FIGURA 15 - Padrão de ataque do verme Ninda...59 FIGURA 16 - Padrão de ataque do verme Cod Red II...60 FIGURA 17 - Padrão de ataque do verme Sadmind...60 FIGURA 18 - Configuração mínima do squidguard...62 FIGURA 19 - Configurações avançadas no squidguard...63 FIGURA 20 - Lista contendo os domínios válidos...64 FIGURA 21 - Comunicação HTTPS utilizando o squid...66 FIGURA 22 - Autenticação no squid utilizando LDAP...68 FIGURA 23 - Configuração para autenticação LDAP...69

9 LISTA DE TABELAS TABELA 1 - Nomenclatura utilizada para os servidores...43 TABELA 2 - Sistemas operacionais utilizados...44 TABELA 3 - Endereços atribuídos às redes...45 TABELA 4 - Endereços atribuídos aos hosts...46

10 LISTA DE ABREVIATURAS E SÍMBOLOS 1 ACL Access Control List 2 CA Certificate Authority 3 CGI Common Gateway Interface 4 DMZ Demilitarized Zone 5 FTP File Transfer Protocol 6 HTTP Hyper Text Transfer Protocol 7 HTTPS Hyper Text Transfer Protocol Secure 8 IDS Intrusion Detection System 9 IIS Internet Information Services 10 IMAP Internet Message Access Protocol 11 IETF Internet Engineering Task Force 12 IP Internet Protocol 13 LAN Local Area Network 14 LDAP Lightweight Directory Access Protocol 15 NAT Network Address Translation 16 PAM Pluggable Authentication Module 17 POP Post Office Protocol 18 RADIUS Remote Authentication Dial-In User Service 19 RM-OSI Reference Model - Open System Interconection 20 SMB Server Message Block 21 SMTP Simple Mail Transfer Protocol 22 SSH Secure Shell 23 SSL Secure Sockets Layer 24 TCP Transmission Control Protocol

11 25 TI Tecnologia da Informação 26 TTL Time To Live 27 UDP User Datagram Protocol 28 URL Uniform Resource Locator

12 SUMÁRIO 1 INTRODUÇÃO Cenário encontrado na maioria das organizações Identificação do problema Objetivos do trabalho Justificativas para a pesquisa Organização do trabalho PROXY E CACHE Conceito de proxy Vantagens na utilização de proxy Métodos de proxy Proxy na camada de aplicação Proxy baseado em nível de circuito Proxy transparente Implementações de proxy em software e em hardware Conceito de cache Classificação dos sistemas de cache Critérios de controle para o armazenamento de conteúdo Considerações finais PROXY REVERSO Conceito de proxy reverso Utilização de proxy reverso como servidores web Funcionamento do proxy reverso Vantagens na utilização de proxy reverso Desvantagens na utilização de proxy reverso Produtos que suportam a implantação de proxy reverso Considerações finais IMPLEMENTAÇÃO DO PROXY REVERSO Apresentação do ambiente para a implementação do proxy reverso Visão geral da topologia de rede Elementos de rede Nomenclatura Sistemas operacionais Endereçamento utilizado Endereçamento de rede Endereçamento dos hosts Ferramentas utilizadas Firewall Servidores web Proxy reverso Visão detalhada da topologia de rede Implementação do ambiente Implementação dos servidores web Implementação do firewall...51

13 Implementação do proxy reverso Configurações para reforçar a proteção dos servidores web Criação de filtros para as requisições HTTP Utilizando redirecionadores para filtros customizados Criptografia dos dados transmitidos Oferecendo autenticação utilizando uma base de dados externa Controle centralizado dos acessos web Considerações finais CONCLUSÕES...72 REFERÊNCIAS BIBLIOGRÁFICAS...75

14 13 1 INTRODUÇÃO 1.1 Cenário encontrado na maioria das organizações Atualmente, os ambientes de TI (Tecnologia da Informação) e Telecom presentes na maioria das organizações são muito complexos e envolvem uma infinidade de tecnologias, aplicações e plataformas diferentes. Para conseguir portabilidade no acesso as várias aplicações existentes para suportar os negócios da empresa, a maioria dessas aplicações é desenvolvida para rodar em um servidor web que as disponibiliza para o acesso a partir de quaisquer clientes que suportem o protocolo HTTP (Hyper Text Transfer Protocol). São várias opções de ferramentas e tecnologias que estão disponibilizadas no mercado para a criação e distribuição de aplicações web que podem funcionar como um portal corporativo (disponibilizado apenas para o acesso interno de funcionários de uma determinada organização), um portal para o acesso público (a partir de toda a Internet) ou até mesmo, uma combinação entre acesso público e restrito. Entre estas tecnologias, destacam-se atualmente duas plataformas: JAVA ( e Microsoft.NET ( Com o passar do tempo, a tendência natural é que haja um crescimento no número de aplicações existentes dentro de uma organização, pois, sempre há a necessidade de se automatizar os processos para que a empresa consiga atingir suas metas. Diante de tantas tecnologias, é muito difícil a adoção de um padrão onde se determina que somente uma tecnologia ou plataforma será utilizada para a criação das aplicações web. Assim, começam a surgir no parque de equipamentos ligados a TI, vários servidores web rodando em diferentes sistemas operacionais e plataformas, tornando assim muito difícil a administração desses ambientes, principalmente no que se refere a segurança da informação.

15 14 Assim, é neste cenário que este trabalho se posiciona, ou seja, na dificuldade enfrentada pelas organizações na administração de ambientes web que estão hospedados em plataformas heterogêneas e principalmente, na dificuldade de se manter estes ambientes atualizados e protegidos. 1.2 Identificação do problema A cada dia surgem novas vulnerabilidades que exploram desde falhas do sistema operacional até falhas de aplicações específicas como o IIS (Internet Information Services), Apache, openssl, openssh e várias outras que estão instaladas em cada servidor web [SANS INSTITUTE, 2006]. Existem vários mecanismos oferecidos atualmente com o objetivo de minimizar a exposição a ataques em servidores web como, por exemplo, implantação de firewall, IDS (Intrusion Detection System), desabilitação de serviços desnecessários, serviço de atualização de patches, entre vários outros. Nenhum desses mecanismos pode oferecer proteção total ao ambiente, porém, eles se complementam a fim de oferecer camadas de proteção que dificultam os acessos a áreas restritas. Conseguir administrar um ambiente que contenha vários servidores web suportados por tantas tecnologias, aplicações e plataformas não é uma tarefa fácil ainda mais quando se trata de segurança da informação, pois, os servidores web são um dos principais alvos para os hackers, vírus e vermes [MATTISON, 2002]. O firewall é considerado com um dos principais mecanismos de proteção, principalmente, quando o assunto é servidor web. Porém, a maioria dos firewalls faz apenas a filtragem de pacotes baseados em alguns campos presentes no cabeçalho dos pacotes como, por exemplo: IP (Internet Protocol) de origem, IP de destino, porta de origem, porta de destino, etc. Se for permitido o acesso a uma determinada porta, a maioria dos firewalls (os que são classificados como filtro de pacotes) irá deixar o tráfego passar sem se preocupar com o conteúdo das informações que está sendo transmitido.

16 15 Esse tipo de comportamento permite que pacotes com conteúdo malicioso passem pelo firewall e afetem a segurança do ambiente. Uma das formas existentes para facilitar a administração de um ambiente contendo vários servidores web é centralizar em apenas um local, todas as requisições destinadas aos servidores web. Se as requisições estão centralizadas, fica mais fácil também o gerenciamento da segurança, pois filtros podem ser aplicados permitindo o controle de todo o tráfego de rede que está sendo enviado e recebido pelos servidores, além da aplicação de patches ser mais eficaz, diminuindo os riscos de exposição a novas falhas. É diante deste cenário que esse trabalho aborda a funcionalidade do proxy reverso, apresentando uma forma de centralizar a administração de vários servidores web e a criação de filtros que são especializados em examinar o conteúdo dos pacotes que passaram pelo controle do firewall e que possuem como destino às portas utilizadas pelos servidores web. 1.3 Objetivos do trabalho O objetivo deste trabalho é apresentar topologias e configurações específicas de segurança que podem ser implementadas a fim de proteger servidores web contra os diversos tipos de ataques que são constantemente implementados por hackers e automatizados por uma grande variedade de vírus distribuídos na Internet. Para a conquista desse objetivo, é apresentada uma tecnologia denominada proxy reverso que já está disponível no mercado há alguns anos, mas, devido a pouca documentação existente sobre o assunto, a maioria dos administradores ainda não a utiliza. Apesar do aplicativo Squid ( ter sido o escolhido para a apresentação dos benefícios da tecnologia de proxy reverso, os conceitos e configurações apresentados neste trabalho se estendem a todas as outras ferramentas, ou seja, o objetivo é mostrar o que pode ser feito utilizando um servidor proxy independente de qual ferramenta esteja sendo utilizada. O

17 16 importante é conscientizar o administrador que com medidas simples e que, na maioria das vezes, está sobre o seu alcance, é possível implementar mecanismos de segurança extremamente robustos que com certeza, irão oferecer maior proteção para seu ambiente. 1.4 Justificativas para a pesquisa Servidores web são constantemente vítimas de ataques na Internet. Eles são os principais alvos de ataques, principalmente disparados por pessoas que não possuem o conhecimento de um hacker, porém, colecionam ferramentas automatizadas que fazem todo o trabalho de pichação dos sites sem que o usuário tenha o mínimo conhecimento de como essas ferramentas funcionam. Vários vírus e vermes também são criados com o objetivo de explorar vulnerabilidades em servidores web e causar uma série de transtornos. Como a maioria das empresas possui um site publicado na Internet e, muito das vezes, o site é o cartão de visitas ou a porta de entrada que alavanca os negócios dessas empresas, fica muito ruim perante o mercado ter um site pichado ou indisponível por algum tempo. Fatos como esses, denigram a imagem da empresa perante seus clientes, causando assim perda de receita e até mesmo a falência de uma determinada organização. O proxy reverso é uma medida que pode minimizar os ataques automatizados a servidores web, pois com ele, é possível criar regras para acesso aos servidores web. Geralmente, a maioria das empresas já possui e utiliza um serviço de proxy dentro do seu ambiente computacional, porém, a funcionalidade de proxy reverso, devido o fato de não ser tão divulgada no meio acadêmico e empresarial, ainda é desconhecida por muitos administradores. Faz-se necessário então a divulgação dessa funcionalidade para que os administradores possam se beneficiar de mais um mecanismo de segurança que pode ser implementado minimizando o grau de exposição dos servidores que estão

18 17 conectados na Internet. A segurança da informação é um dos tópicos mais abordados atualmente quando o assunto é tecnologia. Portanto, o que motivou a elaboração deste trabalho foi a falta da divulgação para o mercado de que existe uma funcionalidade que é relativamente de simples implantação e que pode ser tão útil para várias empresas que passam pelo dissabor de terem o seu site prejudicado por algum tipo de ataque. Espera-se que com este trabalho, os administradores tomem conhecimento de que existe mais um mecanismo de proteção para o seu ambiente e que tenham as instruções básicas de como implementá-lo. 1.5 Organização do trabalho O capítulo 2 introduz os principais conceitos sobre proxy, apresenta o seu funcionamento, os cenários em que esta tecnologia é utilizada e quais são os seus benefícios. Neste capítulo, ainda é introduzido o conceito de cache e explicada a razão pela qual as tecnologias de proxy e cache geralmente estão interligadas. No capítulo 3, com base em uma revisão da bibliografia existente sobre o assunto, é definido o que é um proxy reverso, em que ele se difere de um proxy utilizado dentro do conceito tradicional e quais serão os benefícios sob a ótica de segurança da informação em utilizá-lo como mais uma camada de proteção para servidores web. O capítulo 3 apresenta também, as desvantagens em se utilizar a topologia com o proxy reverso e quais os pontos de atenção que um administrador de rede deve levar em consideração antes da implementação desta tecnologia em seu ambiente. No capítulo 4, é apresentada uma topologia de rede que foi implementada em laboratório, contendo servidores web, firewall, proxy e estações de trabalho, simulando assim o cenário encontrado na maioria das empresas que possuem algum serviço web disponível na Internet. O capítulo 4 mostra também, de maneira macro, a configuração de um proxy reverso que implementa várias regras de proteção a fim de mostrar explicitamente os benefícios de sua implantação sobre

19 18 a ótica da segurança da informação. Todos os passos relevantes para a configuração do ambiente em laboratório estão documentados neste capítulo. Finalmente, o capítulo 5 mostra as conclusões obtidas no trabalho, as limitações do estudo, quais são os pontos críticos que estão vinculados ao sucesso da implantação da solução proposta, assim como sugestões para estudos futuros onde componentes específicos sobre esta tecnologia poderão ser abordados de forma mais detalhada.

20 19 2 PROXY E CACHE 2.1 Conceito de proxy Proxy é um termo em inglês que significa fazer algo em favor de alguém [LEXICO PUBLISHING GROUP, 1998]. Em informática, o termo proxy é utilizado para definir um programa intermediário que atua entre o servidor que armazena um certo conteúdo e uma máquina cliente que faz requisições a este servidor [THE INTERNET SOCIETY RFC 2616, 1999]. O proxy tem como função, agir em nome da máquina cliente mas sem deixar que o servidor a conheça, ou seja, do ponto de vista do servidor, ele atuará como se o conteúdo requisitado fosse mesmo para o proxy e não para a máquina cliente. É possível utilizar o proxy para vários tipos de conteúdo como páginas web (protocolos HTTP e HTTPS (Hyper Text Transfer Protocol Secure)), transferência de arquivos (protocolo FTP (File Transfer Protocol)), envio de mensagens eletrônicas (protocolo SMTP (Simple Mail Transfer Protocol)) e vários outros, porém, não há dúvidas de que a maior utilização do proxy é para interceptar o conteúdo de páginas web e transferência de arquivos. A figura 1 mostra uma topologia de rede que não utiliza um servidor proxy para a navegação web: FIGURA 1 - Topologia de rede sem utilização de proxy

21 20 No cenário apresentado na figura 1, toda vez que uma das estações de trabalho (PC01 e PC02) precisar acessar um site que está na Internet, as requisições HTTP são enviadas diretamente para o servidor web que hospeda o site desejado e este, responde as requisições diretamente para o endereço IP das estações de trabalho que solicitaram o acesso ao site. Sobre o aspecto de segurança, analisando o cenário de uma topologia de rede que não utiliza proxy para controlar o acesso a Internet, nota-se que há uma grande exposição das estações de trabalho quando os sites são acessados. Se o servidor web que está recebendo as requisições possuir um conteúdo malicioso, as estações de trabalho estarão baixando esse conteúdo diretamente da Internet sem passar por nenhum tipo de proteção. Se as estações de trabalho que estão conectadas em uma rede interna utilizam um firewall que implementa NAT (Network Address Translation) para o acesso a Internet, para que haja uma proteção será necessário um firewall que trabalhe na camada de aplicação (RM-OSI (Reference Model - Open System Interconection)), pois, só assim o administrador da segurança da rede conseguirá implementar filtros de proteção que façam checagens no conteúdo HTTP que está sendo transmitido tanto no sentido de entrada (inbound) quanto no sentido de saída (outbound). As duas maneiras mais utilizadas pelo mercado para conseguir controlar o tráfego web que está saindo ou entrando na rede local são: utilizar um firewall que trabalhe na camada de aplicação (RM-OSI) e utilizar um servidor proxy. Como o custo de um firewall nível 7 (RM-OSI) é muito alto e a administração de diversos filtros de proteção pode se tornar complicada, a solução que se mostra mais atrativa é a utilização de servidores proxy, pois, geralmente são mais baratos (quando implementados em software) e são ferramentas especializadas no monitoramento e controle de tráfego web (HTTP, HTTPS e FTP). A figura 2 mostra uma topologia de rede que utiliza proxy para fazer o controle da navegação web:

22 21 FIGURA 2 - Topologia de rede utilizando proxy No cenário apresentado na figura 2, todas as requisições HTTP são enviadas primeiramente para o servidor proxy. Quem faz as requisições HTTP para o servidor web é o proxy, portanto, a topologia da rede interna não é mais revelada porque todas as requisições só partem de uma única máquina que é o servidor proxy. Com a utilização do proxy é possível criar filtros e regras de acesso para todo o conteúdo que está sendo transmitido e recebido. Essa funcionalidade aumenta consideravelmente a segurança da rede, pois, diversos mecanismos podem ser implementados para controlar as informações que estão sendo enviadas e recebidas da Internet Vantagens na utilização de proxy Devido ao fato do servidor proxy se posicionar entre o cliente e o servidor e ainda ser o intérprete de todo tráfego transmitido entre os mesmos, a sua utilização proporciona as seguintes vantagens [NORTHRUP, 1998]: permite o estabelecimento de conexão entre redes diferentes assim como fazem os roteadores, porém, como o proxy consegue atuar na camada de aplicação, ao contrário da maioria dos roteadores que trabalham na camada de rede (RM-

23 22 OSI), é possível implementar um controle bem mais apurado no tráfego transmitido; minimiza a necessidade de se ter um endereço IP externo atribuído para cada máquina cliente que está atrás do proxy. Somente o servidor proxy precisa possuir um IP externo. Essa funcionalidade também oferece segurança, pois, as máquinas clientes não são acessadas diretamente a partir da Internet; permite o balanceamento de carga aumentando assim a performance no acesso a partir das máquinas clientes e oferecendo um mecanismo de alta disponibilidade para o serviço de acesso ao conteúdo web; registro de todos os acessos em arquivos de log facilitando assim a auditoria e o controle do conteúdo que está sendo acessado; é possível acelerar a performance da navegação web, armazenando em disco o conteúdo estático que já foi acessado anteriormente (esse assunto é abordado com maiores detalhes na seção 2.2 Conceito de cache ); alterando o posicionamento do servidor proxy na topologia de rede, é possível utilizá-lo em conjunto com um firewall para proteger, de forma mais específica, servidores web com conteúdo HTTP, HTTPS e FTP (esse assunto é abordado com maiores detalhes no capítulo 3 Proxy reverso ). Como pode ser observado, as vantagens em se utilizar um servidor proxy na rede são muitas e as funcionalidades oferecidas por este ao administrador de segurança, auxiliam na gerência, controle e auditoria dos acessos que estão sendo realizados pelas máquinas clientes.

24 Métodos de proxy Basicamente, os proxies são divididos em três categorias [NORTHRUP, 1998]: servidores proxy que trabalham na camada de aplicação; servidores proxy que trabalham em nível de circuito; proxy transparente. utilizados. A seguir, são apresentados mais detalhes sobre cada um dos métodos Proxy na camada de aplicação O proxy na camada de aplicação foi o primeiro método de proxy utilizado e é o mais conhecido pelo mercado. Neste cenário, um sistema de proxy é inserido entre o cliente e o servidor. O cliente deve ter a inteligência para direcionar suas requisições para o proxy e informá-lo qual é o destino final da requisição. O proxy deve estar preparado para atuar tanto como cliente quanto como servidor. Dependendo da aplicação que está sendo utilizada, a implementação do proxy pode ser simples ou muito complexa. O proxy mais simples estabelece uma conexão e passa todos os dados diretamente para o servidor final. Sistemas de proxy mais avançados são capazes de fazer caching, filtro de conteúdo, gerar os logs das transações e otimizar os dados que passam através deles. Servidores proxy que trabalham na camada de aplicação, devem ser programados de maneira customizada para cada tipo diferente de aplicação e é por essa razão que a maioria deles suportam somente um pequeno número de aplicações onde as mais populares são HTTP e FTP. Proxies que trabalham na camada de aplicação são a melhor escolha quando o acesso a Internet é limitado a um pequeno e específico grupo de protocolos populares como HTTP e FTP.

25 Proxy baseado em nível de circuito Existem vários protocolos como, por exemplo: POP (Post Office Protocol), SMTP, IMAP (Internet Message Access Protocol), SSH (Secure Shell), etc, que não possuem a facilidade de permitir que seu tráfego seja repassado para um servidor proxy assim como funciona no proxy que trabalha na camada de aplicação. O proxy baseado em nível de circuito trabalha na camada de transporte (RM-OSI). Isso implica que o servidor proxy é capaz de receber pacotes TCP (Transmission Control Protocol) e UDP (User Datagram Protocol) das máquinas clientes, fazer o re-processamento destes pacotes e repassá-los para os endereços de destino. Quando os pacotes são re-processados, tanto o endereço IP de origem quanto o endereço IP de destino são alterados, na realidade, os pacotes são reescritos. O proxy que trabalha na camada de aplicação gasta muito processamento para tratar cada filtro de conteúdo que foi implementado e também, na adição das diretivas de controle no cabeçalho dos pacotes antes de enviá-los ao servidor de destino, por isso, esse tipo de proxy processa menos tráfego e suporta menos conexões do que o proxy baseado em nível de circuito. É possível configurar o proxy que trabalha em nível de circuito para fazer o redirecionamento de portas TCP e UDP para um outro IP e até mesmo para uma outra porta no servidor de aplicação, com isso, não é necessário fazer uma configuração manual na aplicação que funciona como se não existisse um proxy no meio do caminho. O proxy baseado em nível de circuito também pode utilizar soquetes (SOCKS - protocolo padrão para proxy criado pelo IETF (Internet Engineering Task Force) para ser utilizado em aplicações baseadas em IP) permitindo assim que as aplicações compatíveis com esta tecnologia e instaladas nos clientes conectados ao proxy, tenham total conectividade com um servidor de aplicação. Para essa configuração, é necessária a instalação de um agente especial nos clientes que estão utilizando o proxy.

26 Proxy transparente Este tipo de proxy funciona como se fosse um roteador na rede. Todos os pacotes enviados pelos clientes são roteados diretamente para o proxy. Ao receber as requisições, o proxy retira do campo endereço de origem no cabeçalho do pacote, o endereço IP do cliente, armazena esse IP em uma tabela reservada e insere no campo endereço de origem no cabeçalho do pacote o endereço IP do servidor proxy. Só após esse processo, o proxy envia os pacotes para o servidor de destino. O servidor proxy tem a obrigação de manter em memória a tabela de endereços IP que estão esperando respostas dos servidores e fazer essa tradução. Este método de proxy é conhecido como transparent proxying, IP masquerading ou NAT (Network Address Translation). Ele permite a filtragem de requisições web de acordo com a URL (Uniform Resource Locator) e fornece a funcionalidade de caching assim como fazem os proxies que trabalham na camada de aplicação Implementações de proxy em software e em hardware O mercado disponibiliza atualmente uma grande variedade de soluções para proxy. Existem soluções implementadas via software (que variam desde aplicações livres, disponibilizadas na Internet até aplicações proprietárias que possuem custo) e também soluções de alta performance onde foi construído um hardware especializado para rodar somente tal aplicação (soluções appliance). Seja uma implementação via hardware ou via software, o fato é que na maioria das soluções oferecidas pelo mercado, a função de proxy está agregada a várias outras funcionalidades como firewall, cache, etc, ou seja, é bem difícil encontrar uma solução que faça exclusivamente a função de proxy.

27 26 A seguir, são citadas algumas soluções que implementam de uma maneira exclusiva ou agregada à função proxy: Squid Web Proxy Cache ( WinProxy ( Wingate ( Oracle Application Server Cache ( ISA Server ( Netscape proxy server ( LocalDirector ( Net Cache ( 2.2 Conceito de cache Com o surgimento da Internet e sua disponibilização para que empresas e pessoas físicas pudessem utilizá-la como ferramenta de pesquisa, marketing, desenvolvimento, entretenimento, etc, o número de informações que são trafegadas diariamente é muito alto e essa quantidade de informações, se não for bem controlada, pode gerar uma sobrecarga em toda a rede causando assim uma grande lentidão no acesso às informações e podendo até mesmo gerar uma indisponibilidade em toda a rede. Foi com o intuito de minimizar esse gargalo (minimizar a utilização da banda de rede) que o cache foi criado. Sempre que um dado for requisitado, o cache irá armazená-lo em disco por um tempo pré-determinado e as próximas vezes que esse mesmo dado for pesquisado, o cache utilizará o conteúdo armazenado em disco ao invés de buscá-lo na origem. Trabalhando desta forma, o sistema de cache na web proporciona o uso eficiente da largura de banda e a redução da latência para a recuperação dos dados previamente consultados [OLIVEIRA, 2002].