INSTITUTO FEDERAL DE SANTA CATARINA - CAMPUS SÃO JOSÉ Jeneffer Farias Bora e João Pedro Menegali Salvan Bitencourt Proxy Reverso São José 2018
Sumário 1. Introdução 2. Proxy 2.1. Uso dos servidores proxy 2.2. Implementação dos servidores proxy 3. O proxy reverso 3.1. Utilização do proxy reverso com servidores web 3.2. Forma de funcionamento do proxy reverso 4. Implementação 4.1. Ambientes de implementação 4.2. Configuração do proxy reverso 4.3. Testando o proxy reverso 5. Conclusão 6. Referências bibliográficas
1. Introdução Cada vez mais o mundo corporativo caminha para os sistemas em plataformas web por conta da facilidade de estarem acessíveis através de qualquer dispositivo que tenha acesso à Internet. Dado este fato, surge uma grande demanda da estrutura de segurança, uma vez que os dados das empresas estarão disponíveis não apenas para o ambiente interno mas, também, para qualquer lugar do mundo que disponha de acesso à Internet. Diante deste cenário, a demanda por servidores de proxy reverso tem aumentado. Isso pode ser justificado pelo fato desse funcionar como medida de segurança para qualquer servidor na rede, sendo que uma das principais demandas de uso são as implementadas na plataforma web. Esse relatório tem por objetivo explicar o funcionamento do proxy reverso. Demonstrando de forma teórica e, posteriormente na prática, os funcionamentos e aplicações do proxy reverso. Para melhor desenvolver o conteúdo deste relatório foram criados testes práticos que serão demonstrados ao longo das seções 3 e 4. A estrutura deste relatório possui 6 seções. E ao longo das seções os conteúdos serão abordados de maneira a tentar garantir ao leitor uma melhor compreensão acerca do conteúdo de proxy reverso. Primeiramente, será feita uma introdução sobre proxy e suas formas de uso. Posteriormente, os de proxy reverso e, em seguida, será abordado o conceito do protocolo HTTP ( Hypertext Transfer Protocol ), devido à sua ampla utilização com esse tipo de recurso. Será abordado, também, os cenários que demandam a utilização de proxy reverso, bem como a demonstração do funcionamento do mesmo atuando na segurança da rede e também em serviços orquestradores de contêineres na função de balanceamento de carga.
2. Proxy Em redes de computadores, um proxy é um servidor que age como um intermediário para requisições feitas por um cliente. O cliente conecta-se ao servidor proxy solicitando algum serviço como um arquivo, conexão, página web ou outros recursos disponíveis de um servidor diferente e o proxy avalia essa solicitação como um meio de simplificar e controlar sua complexidade. Os proxies foram inventados para adicionar estrutura e encapsulamento aos sistemas distribuídos podendo ser utilizados em um série de funções dentro de uma rede, como filtrar conteúdo, providenciar anonimato entre outros. Podemos afirmar que a grande maioria dos proxies utilizados são os do tipo proxy web pois facilitam o acesso aos conteúdos WWW ( world wide web ). Na figura 1 há o esquemático do princípio de funcionamento do proxy web. Figura 1 - Princípio de funcionamento do proxy web Fonte: http://www.iconinfo.com.br/novo/images/proxy.png Um servidor proxy pode atuar, também, como um servidor que armazena dados em forma de cache, assim, quando há uma requisição do cliente, ele pode disponibilizar as respostas mesmo sem se conectar ao servidor especificado. Um proxy de cache HTTP, ao receber uma requisição do cliente de um documento na World Wide Web, procura por esse documento na cache e, ao encontrar, a requisição é atendida e o documento é retornado imediatamente ao cliente, caso o documento não seja encontrado, o proxy busca pelo documento em um servidor remoto, entrega-o ao cliente e salva uma cópia em seu cache. Isso permite uma diminuição na latência, uma vez que quem é requisitado é o servidor proxy e não o servidor original e também diminuição do uso da largura de banda. no enlace externo.
2.1 Uso dos servidores proxy Podemos dizer que uma das principais justificativas de implementação de servidores proxy é a de trazer mais segurança à rede, monitorando e filtrando os dados que por ela trafegam. [...] Vulnerabilidades foram registradas 1.432 novas vulnerabilidades, um crescimento em torno de 12% do total conferido no ano de 2002. 80 % das vulnerabilidades são exploradas remotamente, o que incrementou as ameaças de alto risco em 6%, e as de médio risco em, 24%. As vulnerabilidades em aplicações web cresceram 12% quando comparadas ao mesmo Ano passado período do ano passado. Novamente, os sistemas Microsoft tiveram um grande número de ou 2001? vulnerabilidades exploradas, e também erros introduzidos em códigos de programas como Apache, Sendmail e OpenSSH. (PEIXOTO, 2003). já dito. E, a cada ano, mais e mais estes números têm tido um alto crescimento. Perante estas ameaças o interessante não é somente investir somente em um servidor firewall, mas também em um servidor Proxy. Para além das questões de segurança, podemos utilizá-lo para controle de conteúdo e também para melhorar o desempenho da rede, a exemplo os servidores proxy web (um dos usos mais comuns de proxy) que a celeram as requisições de serviços recuperando o conteúdo salvo de uma requisição anterior realizada por qualquer cliente da rede. 2.2 Implementação dos servidores Proxy Existem vários softwares que implementam servidores proxy, alguns são mais especializados em protocolos específicos e outros com mais funcionalidades em especial para para sistemas operacionais Linux e também algumas ferramentas para Windows, com pelo menos suporte à HTTP e HTTPS. Na figura 2 há o esquemático de como uma infraestrutura é geralmente: Exatamente igual a figura 1. Qual o sentido? Figura 2: Ambiente geral com proxy Fonte: Oficina da web
Abaixo segue um breve resumo das formas que o proxy pode atuar: Web Proxy: Podemos usar o web proxy para duas funções: bloquear determinados domínios que não poderão ser acessados daquela rede e também para armazenar dados em cache. A função de bloqueio muitas vezes é utilizada em redes acadêmicas e corporativas com o intuito de inviabilizar acesso à determinados domínios bloqueando alguns sites da internet. Os conteúdos campeões de bloqueio são: sites de relacionamento (Twitter, facebook e outros), programas de troca de mensagem instantânea, sem contar os tão proibidos sites de pornografia. Já a função de armazenamento de dados em cache provê um armazenamento local de páginas da Internet e arquivos disponíveis em servidores externos assim como sua constante atualização. Dessa forma, os clientes da rede local conseguem acessá-los mais rapidamente e de forma viável sem a necessidade de acesso externo. Open Proxy: É um serviço de proxy que é acessível para qualquer usuário da Internet. Normalmente um servidor proxy permite que os usuários dentro de um grupo da rede (proxy fechado) armazenem e encaminhem serviços da Internet, como DNS ou páginas Web porém com o proxy aberto qualquer usuário da Internet pode utilizar esse serviço de encaminhamento. O proxy aberto é útil para???????????????? Rede Proxy: As redes Proxy são baseadas em códigos cifrados que permitem a comunicação anônima entre os usuários. Exemplo deste tipo de rede são as conexões P2P (peer to peer) em que um usuário se conecta ao outro sem saber sua identidade e trocam arquivos entre si. Estas redes se caracterizam por não permitirem o controle dos servidores, os usuários comuns é quem providenciam todo o conteúdo e os arquivos. Como funciona, tecnicamente falando? 3. O proxy reverso Um proxy reverso, ao contrário do servidor proxy tradicional, é um servidor que intermedia conexões entrantes. Ele recebe a requisição do cliente e, através de informações contidas no protocolo usado, encaminha para o servidor de destino. Um dos principais objetivos do proxy reverso é prover segurança, evitando que clientes tenham acesso direto à eles. Todo servidor deve ter um proxy reverso à sua frente. (FILHO, 2008). O proxy reverso fica à frente frente de um ou mais servidores, tornando-se a única interface de requisições externas. É usado, também, para o balanceamento de carga entre os servidores, o qual, ao receber a requisição do cliente, a encaminha para o servidor de destino menos congestionado, melhorando, assim, o desempenho da rede. Os servidores destino podem estar tanto dentro da mesma rede ou serem servidores remotos. No caso de servidores que estejam em uma mesma rede interna, é possível ter dezenas de servidores sob um mesmo endereçamento IP. Além disso, eles podem ficar ocultos ao acesso externo, tendo seu acesso realizado através do proxy reverso, que provê mais segurança visto que serviços não possuintes de suporte à criptografia ou autenticação podem ter esses recursos através do proxy reverso. Outro
exemplo é no uso de servidores que estão em contêineres, onde cada serviço está isolado em um contêiner tendo suas próprias características. No caso de endereços remotos, pode ser usado para fazer cache de domínios que estejam muito distantes do cliente, permitindo uma maior velocidade na obtenção do conteúdo. Por exemplo, um servidor que está no Japão pode ter um melhor desempenho no Brasil através de um proxy que armazena seu conteúdo conforme os acessos, dessa forma, caso o domínio fique indisponível, o cliente ainda poderá visualizar as páginas armazenadas. Além disso, o proxy reverso pode ter mecanismos que controlem ataques do tipo DDoS. Só? 3.1. Utilização do proxy reverso com servidores web Está dito no título que será esse o assunto tratado. Um dos maiores usos é em servidores web, uma vez que provê uma série de recursos que melhoram a segurança e o desempenho. Em relação a segurança, toda a configuração que permita o uso de SSL no HTTP (HTTPS), pode ficar no proxy reverso, não sendo necessário configurar cada servidor web para esse fim. O servidor proxy reverso também pode prover mecanismos de autenticação para servidores web mais simples que não possuem esse recurso. Um outro uso é em uma estrutura composta por contêineres. Contêiner é um ambiente isolado que contém uma aplicação e tudo que ela necessita para funcionar. Dessa forma, serviços podem ser encapsulados facilitando sua implementação, bem como organização. Para controlar o acesso a todos esses contêineres, que estão em uma rede interna, utiliza-se um servidor de proxy reverso, que encaminhará as requisições para seus devidos serviços. A Fig. 3 ilustra essa estrutura. Nela, há um proxy reverso, que também pode ser um contêiner, que encaminhará as requisições para cada servidos contido em cada contêiner. Dessa forma, por exemplo, quando o cliente solicitar o domínio jpmsb.sj.ifsc.edu.br, a requisição será encaminhada para o contêiner de endereço IP 10.10.10.100, que terá sua resposta devolvida para o cliente. Se o usuário, por exemplo, solicitar o domínio dominio.com, a requisição será encaminhada para o contêiner de endereço IP abc.def.ghi.jkl. Esse cenário permite o anonimato dos servidores que estão atrás do proxy reverso, uma vez que o endereço que o cliente tará é acesso, nesse caso, será 191.36.8.34, ou seja, o endereço do próprio servidor principal. É possível também fazer o direcionamento de um subdiretório web. Por exemplo, como mostrado na Fig. 3, se o cliente solicitar a URL jpmsb.sj.ifsc.edu.br/blog, a requisição será repassada para o contêiner de endereço IP 10.10.10.100. Em outro exemplo, se o cliente solicitar a URL jpmsb.sj.ifsc.edu.br/wiki, a requisição será encaminhada para o contêiner de endereço IP 10.10.10.101. É válido salientar que é possível fazer o redirecionamento de quantos subdiretórios forem especificados na configuração do servidor de proxy reverso.
Figura 3: Estrutura em contêineres tendo um proxy reverso para intermediar as conexões entrantes Fonte: Autoria própria 3.2. Forma de Funcionamento do proxy reverso Tendo, nesse cenário, servidores Web, o servidor de proxy utiliza o campo host do cabeçalho HTTP para definir qual será o destino da requisição do cliente. A Fig. 4 mostra o cabeçalho de uma requisição HTTP com o campo host destacado em verde. Após obter o nome do domínio solicitado, a URL de requisição é refletida para corresponder à URL do servidor interno. Alguns campos do cabeçalho HTTP são reescritos para que referenciem corretamente o endereço interno. Um dos campos reescrito, é o do host, que transporta o nome e porta do servidor que hospeda o recurso requisitado. Por exemplo, tomando o cenário da Fig. 3 como exemplo, quando o cliente solicita https://jpmsb.sj.ifsc.edu.br/blog, esse endereço é internamente convertido para http://10.10.10.100/blog/, e quando houver a resposta ocorre o processo inverso.
O que o usuário visualizará será sempre o endereço que ele requisitou orinalmente, https://jpmsb.sj.ifsc.edu.br/blog, não percebendo o direcionamento para o host 10.10.10.100, o que torna o ambiente seguro para as aplicações. Figura 4: Cabeçalho HTTP com destaque para o campo host Fonte: Autoria própria 4.Implementação A implementação do proxy reverso, neste caso, é feita através de aplicações como Apache, Nginx, Caddy, entre outras que implementam proxy reverso web. Na abordagem que será de feita a seguir, demonstrar-se-á a implementação de um servidor web que atuará como proxy reverso. A aplicação escolhida foi o Nginx em decorrência de sua ampla utilização e baixo consumo de recursos, além de ser projetado, inicialmente, para atuar como proxy. 4.1. Ambiente de implementação O ambiente de implementação escolhido foi em máquina física, utilizando contêineres que contêm os serviços e o proxy reverso em si. Foi adotado o Rancher OS como sistema operacional de gerência e o Docker para gerenciar os contêineres. O Docker já vem presente no Rancher OS. O Rancher OS possui uma estrutura bem peculiar, já que contém o mínimo de software para executar o Docker e o resto é tudo feito dinamicamente via contêineres. Não possui interface gráfica sendo sua única interação através de linha de comando. A estrutura ficou da seguinte forma: Foi criado um contêiner contendo o servidor Nginx que atuará como proxy reverso. O contêiner tem endereço IP 10.10.10.1 ; Foi criado um contêiner para um servidor Apache que entregará um site Wordpress. O contêiner tem endereço IP 10.10.10.100 ;
Foi criado um contêiner que conterá um servidor Apache entregando um site Mediawiki. O contêiner tem endereço IP 10.10.10.102 ; O domínio para acesso ao servidor é jpmsb.sj.ifsc.edu.br ; O endereço IP externo é 191.36.8.34; 4.2. Configuração do proxy reverso Inicialmente, configura-se o nome do domínio no servidor de Nginx, que é atribuído na diretiva server_name, como mostrado no arquivo, presente em /etc/nginx/conf.d/jpmsb.sj.ifsc.edu.br, de configuração na Fig. 5: Figura 5: Configuração do proxy reverso Fonte: Autoria própria Na diretiva server_name foi atribuído o nome jpmsb.sj.ifsc.edu.br. Isso cria um servidor virtual que atenderá por este nome. A Fig. 5 ilustra também a habilitação do SSL: E também mensagens de erro personalizadas:
Figura 6: Configuração do proxy reverso (continuação) Fonte: Autoria própria Na Fig. 6, são exibidos os redirecionamentos. Quando for solicitado o domíno jpmsb.sj.ifsc.edu.br/blog/, a requisição é encaminhada para o endereço 10.10.10.100 na porta 80. O endereço traduzido internamente fica jpmsb.sj.ifsc.edu.br/blog. Quando mudar o subdiretório, de blog para wiki, a requisição será encaminhada para o endereço 10.10.10.102/wiki/. A criptografia é aplicada a tudo mais que passar pelo proxy reverso, dispensando configuração extra nos contêineres. 4.3. Testando o proxy reverso O servidor é testado digitando o endereço https://jpmsb.sj.ifsc.edu.br/blog (Fig. 7) e https://jpmsb.sj.ifsc.edu.br/wiki (Fig. 8) no navegador:
Figura 7: Teste que mostrou que a configuração foi bem sucedida. Fonte: Autoria própria Figura 8: Teste que demonstrou que a configuração foi bem sucedida. Fonte: Autoria própria
5.Conclusão Ao desenvolver os estudos acerca de proxy reverso foi possível concluir que a ferramenta é amplamente utilizada nos cenários de redes sejam eles acadêmicos ou corporativos. Isto se dá pelo fato da ferramenta tornar o ambiente da rede mais seguro uma vez os sistemas têm migrado, cada vez mais, para a web. Além disso podemos citar também que o uso da ferramenta se torna ainda mais atrativo para os administradores de rede pois todas suas configurações são feitas em um único servidor. É importante ressaltar também que apesar de reforçar a segurança numa rede, o uso de proxy reverso não torna indispensável o uso de proteções como, por exemplo, firewall. A respeito das vantagens e desvantagens do uso da ferramente, o proxy reverso quando comparado a outras soluções (como por exemplo o nat 1:1) apresenta diversas vantagens, as quais podemos citar: Balanceamento de carga, o nde as rotas de entrada de solicitações HTTP são encaminhadas e balanceadas em servidores idênticos; Esconde a topologia de rede, a topologia é muitas vezes exposta através de um DNS mal configurado. Se uma rede é protegida por um sistema de proxy reverso, o mundo exterior não precisa saber nada sobre a rede interna; Compressão, de modo a reduzir a largura de banda necessária para pedidos individuais, o proxy reverso pode descomprimir solicitações de entrada e comprimir as de saída. Isso reduz a carga nos servidores que teriam de fazer a compressão; Entre outras vantagens. As desvantagens do uso de proxy reverso estão mais ligadas ao gerenciamento do serviço do que a complexidade de implementação, podemos citar como desvantagem as seguintes opções: Registro de Logs complicado, como os sistemas não são acessados diretamente, os arquivos de log que eles produzem não irão conter os verdadeiros endereços IP do cliente. Todos os pedidos vão ser os que estão vindo proxy reverso. Ponto central de falha, um ponto central de falha é inaceitável em sistemas de missão crítica. Para removê-lo, é necessário um sistema de alta disponibilidade (HA). Tais sistemas são caros e aumentam a complexidade da rede. Gargalo de processamento, se um proxy é apresentado como uma medida de segurança, ele pode se tornar um gargalo de processamento. Apesar dos exemplos dados ao longo do relatório terem sido usando a ferramenta Nginx, os conceitos apresentados valem para qualquer ferramenta que possui a funcionalidade de Proxy Reverso, pois seu modo de conceito é praticamente o mesmo em outras ferramentas 6.Referências
PEIXOTO, Rodney de Castro. Relatório Demonstra Crescimento de Vulnerabilidades da Internet.Disponível em: <www.correiadasilva.com.br/pdf/info_dig/infodig03.pdf>. Acesso em: maio, 2012. FIDELIS, Donizete. Proxy Reverso. Disponível em: < https://docuri.com/queue/proxy-reverso-por-donizete-fidelis_59c1e67ff581710b286c0 d1d_pdf?queue_id=59d78817f58171947928bba3 >. Acesso em: junho, 2018. Wikipedia Proxy. Disponível em: < https://pt.wikipedia.org/wiki/proxy >. Acesso em: junho,2018. RANCHER, Overview. Disponível em: < https://rancher.com/docs/os/v1.x/en/overview/ >. Acesso em 11 jun. 2018. NGINX, Using the Forwarded header. Disponível em: <https://www.nginx.com/resources/wiki/start/topics/examples/forwarded/>. Acesso em 11 jun 2018. DOCKER, What is Docker - Overview. Disponível em: <https://www.docker.com/what-docker>. Acesso em: 11 jun 2018.