Proxies programáveis são a fita adesiva da Internet

Proxies programáveis protegem portas de predadores – como aqueles que têm como alvo SMB hoje.

Quando a Internet estava em seus primórdios, meus três filhos mais velhos eram adolescentes. Mesmo assim – com uma Internet muito menor – o acesso irrestrito não era algo que queríamos permitir. Acredite em mim, as crianças digitam as coisas mais estranhas nas barras de endereço do navegador. Apesar da proliferação atual de “controles parentais”, naquela época tínhamos que construir os nossos próprios com fita adesiva e arame farpado.

Ok, na verdade usamos o Squid, mas isso não parece tão legal. Ainda assim, esse é o objetivo deste post. Não o Squid propriamente dito, mas o uso de um proxy como algo diferente de um mecanismo de balanceamento de carga de aplicativos web.

Veja, os proxies não são apenas para aplicativos da web hoje em dia. Eles podem ser usados para controlar praticamente qualquer tráfego que você desejar, em qualquer porta. Enquanto em casa usávamos o Squid principalmente para controlar o tráfego de saída da Internet para três adolescentes curiosos, no escritório o utilizamos para fornecer um local central para registrar o tráfego de saída e entender por que consumimos tanta largura de banda com tão poucos funcionários.

Há muitos exemplos de uso de proxies para bloquear o acesso de saída à Internet e, sem surpresa, muitos exemplos também na rota de entrada.

Os proxies são a base para balanceamento de carga, controle de acesso, tradução (gateways) e uma riqueza de outros serviços “hospedados em rede” que controlam, enriquecem e gerenciam o tráfego de e para recursos valiosos dentro do “data center” (seja fisicamente no local ou em uma nuvem pública). Os proxies fornecem um ponto estratégico de controle sobre o tráfego de entrada que pode ser usado para uma variedade de propósitos, incluindo segurança e defesa de recursos downstream.

O recente surto de WannaCry/SambaCry é um bom exemplo de como os proxies podem fornecer proteção contra ataques que visam recursos diferentes de aplicativos da web. Uma rápida olhada em nossas últimas estatísticas de iHealth me mostra um bom número de serviços SMB expostos publicamente, acessíveis pela porta 445. Exatamente onde você esperaria que estivesse. Em 30 de maio, uma busca no shodan.io por “porta:445” resultou em 1.928.046 dispositivos/sistemas. E embora o ataque inicial do WannaCry tenha como alvo específico o Microsoft SMB, seu alvo mais recente é a implementação Linux do samba.org, tornando os mais de 722.000 sistemas operacionais Unix com a porta 445 aberta ao mundo significativamente assustadores.

O F5 tem um “bloqueador” disponível , mas a questão não é tanto que temos um, mas a razão pela qual temos um: BIG-IP é uma plataforma programável baseada em proxy. 

O problema é que um proxy – e especificamente um proxy completo , com uma pilha dupla – pode fornecer descoberta precisa e negação de ameaças de segurança simplesmente por estar no caminho dos dados. A inspeção é parte integrante de um proxy; sua capacidade de fazê-lo é um requisito como meio de habilitar recursos mais avançados e flexíveis, como tradução de protocolo. Como ele intercepta e inspeciona o tráfego, ele tem visibilidade total. Dessa forma, ele pode ser direcionado para observar anomalias específicas que indiquem uma ameaça iminente ou o início de um ataque.

Essa é a natureza de um proxy: atuar como intermediário em nome de duas partes envolvidas em uma troca. No caso da tecnologia, é um sistema solicitante e um sistema respondente. Um cliente e um aplicativo. E não importa se a troca está ocorrendo usando HTTP na porta 80 ou SMB na porta 445. Um proxy pode fornecer a visibilidade do tráfego necessária para reconhecer (e, espera-se, rejeitar posteriormente) tráfego malicioso.

Proxies não são apenas para aplicativos da web ou adolescentes. Eles são para profissionais sérios que precisam de visibilidade – e controle – sobre qualquer tráfego de entrada para detectar e evitar que ataques causem danos sérios (e dispendiosos) aos recursos.

Proxies programáveis são a fita adesiva da Internet. Se você tiver um, poderá fazer praticamente tudo o que precisa, quando precisa.