Los proxies programables son la cinta adhesiva de Internet

Los servidores proxy programables protegen los puertos de los depredadores, como los que atacan a SMB hoy en día.

Cuando Internet estaba en sus inicios, mis tres hijos mayores eran adolescentes. Incluso entonces, con una Internet mucho más pequeña, el acceso sin restricciones no era algo que quisiéramos permitir. Créame, los niños escriben las cosas más raras en las barras de direcciones del navegador. A pesar de la proliferación actual de “controles parentales”, en aquel entonces teníamos que construir los nuestros con cinta adhesiva y alambre de esgrima.

Bueno, en realidad usamos Squid pero eso no suena tan genial. Aún así, ese es el objetivo de este post. No Squid en sí, sino el uso de un proxy como algo más que un mecanismo para equilibrar la carga de las aplicações web.

Mira, hoy en día los proxies no sólo sirven para aplicaciones web. Se pueden utilizar para controlar prácticamente cualquier tráfico que desee, en cualquier puerto. Mientras que en casa usábamos Squid principalmente para controlar el tráfico saliente de Internet para tres adolescentes curiosos, en la oficina lo empleamos para proporcionar una ubicación central para registrar el tráfico saliente y entender por qué consumíamos tanto ancho de banda con tan pocos empleados.

Hay muchos ejemplos de uso de servidores proxy para bloquear el acceso saliente a Internet y, como era de esperar, también muchos ejemplos en la ruta de entrada.

Los servidores proxy son la base para el equilibrio de carga, el control de acceso, la traducción (puertas de enlace) y una gran cantidad de otros servicios “alojados en la red” que controlan, enriquecen y administran el tráfico hacia y desde recursos valiosos dentro del “centro de datos” (ya sea físicamente en las instalaciones o en una nube pública). Los servidores proxy proporcionan un punto estratégico de control sobre el tráfico de ingreso que puede usarse para diversos propósitos, incluidos la seguridad y la defensa de los recursos posteriores.

El reciente brote de WannaCry/SambaCry es un buen ejemplo de cómo los proxies pueden brindar protección contra ataques que apuntan a recursos distintos a las aplicaciones web. Un vistazo rápido a nuestras últimas estadísticas de iHealth me muestra una buena cantidad de servicios SMB expuestos públicamente y accesibles a través del puerto 445. Justo donde esperabas que estuviera. Al 30 de mayo, una búsqueda en shodan.io de “puerto: 445” arroja 1.928.046 dispositivos/sistemas. Y aunque el ataque inicial de WannaCry tuvo como objetivo específico a Microsoft SMB, su último objetivo es la implementación de Linux de samba.org, lo que hace que los más de 722.000 sistemas operativos Unix con el puerto 445 abiertos al mundo sean significativamente aterradores.

F5 tiene un “bloqueador” disponible , pero el punto no es tanto que tengamos uno, sino la razón por la que lo tenemos: BIG-IP es una plataforma programable basada en proxy. 

El problema es que un proxy, y específicamente un proxy completo , con doble pila, puede proporcionar detección precisa y denegación de amenazas de seguridad simplemente estando en la ruta de datos. La inspección es parte integral de un proxy; su capacidad para realizar esto es un requisito como medio para habilitar capacidades más avanzadas y flexibles, como la traducción de protocolos. Debido a que intercepta e inspecciona el tráfico, tiene visibilidad total. De esta forma se puede orientar para que esté atento a anomalías específicas que indiquen una amenaza inminente o el comienzo de un ataque.

Ésta es la naturaleza de un proxy: actuar como intermediario en nombre de dos partes involucradas en un intercambio. En el caso de la tecnología, se trata de un sistema solicitante y un sistema respondedor. Un cliente y una aplicación. Y no importa si el intercambio se realiza mediante HTTP a través del puerto 80 o SMB a través del puerto 445. Un proxy puede proporcionar la visibilidad del tráfico necesaria para reconocer (y, con suerte, rechazar posteriormente) el tráfico malicioso.

Los proxies no son sólo para aplicaciones web o adolescentes. Están dirigidos a profesionales serios que necesitan visibilidad y control sobre cualquier tráfico entrante para detectar y prevenir ataques que causen daños graves (y costosos) a los recursos.

Los proxies programables son la cinta adhesiva de Internet. Si tienes uno, puedes hacer prácticamente todo lo que necesites, cuando lo necesites.