Di Gerry Blackwell
Per gli amministratori di rete per le grandi reti, la necessità di server proxy–intermediari che stanno sentinella tra una rete interna e l’Internet aperto–è così semplice, va quasi da sé. Ma nelle organizzazioni più piccole che mancano di risorse IT dedicate, la necessità potrebbe non essere così evidente.
Come funzionano
I proxy intercettano le richieste di pagine Internet da parte degli utenti all’interno della rete aziendale ed eseguono una serie di faccende relative alla protezione della rete, al miglioramento delle prestazioni e all’applicazione delle politiche di utilizzo Web aziendali. Questo è a volte indicato come un server proxy forward. È il tipo di cui praticamente tutte le organizzazioni hanno bisogno.
Se la tua azienda ospita anche i propri server Web nei suoi locali, hai inoltre bisogno di un proxy inverso per eseguire un insieme complementare, ma in qualche modo diverso, di attività relative alla sicurezza e alle prestazioni in merito alle richieste provenienti da Internet nei tuoi server.
In questo articolo ci concentreremo sul primo tipo di proxy e su una variante basata sui servizi di interesse per i consumatori e gli utenti aziendali mobili.
Proxy che inoltra
Quando un utente interno richiede una pagina Web, la richiesta passa attraverso il server proxy in modo che appaia a Internet provenire dal server – dal suo indirizzo IP (o da uno di essi) – e non dal dispositivo dell’utente. Questo anonimato fornisce un’importante misura di sicurezza riducendo la quantità di informazioni su una rete e sui suoi utenti facilmente accessibili agli hacker su Internet.
Il server proxy può, inoltre, eseguire il caching.
Se gli utenti hanno spesso bisogno di accedere a determinate pagine su Internet, il server può scaricare e memorizzare copie sul proprio disco rigido, nella cache e anche monitorare continuamente la pagina per le modifiche e scaricarle quando appaiono, in modo che la pagina memorizzata nella cache sia sempre aggiornata.
Consulente James Quin, analista principale presso la società di ricerca e consulenza Info-Tech Research Inc., dice che il caching accelera le cose per tutti:
” Così ora quando qualcuno richiede quella pagina o risorsa, il server proxy dice: ‘Aspetta, ce l’ho proprio qui’ e lo fornisce all’utente finale senza dover uscire su Internet”, spiega Quin.
Questo velocizza la visualizzazione delle pagine memorizzate nella cache per gli utenti e riduce il traffico in uscita sul gateway Internet dell’azienda, riducendo così potenzialmente i requisiti di larghezza di banda e la congestione che possono degradare le prestazioni complessive.
Controllo della navigazione Web
Un terzo importante set di faccende del server proxy riguarda l’applicazione delle politiche aziendali e delle restrizioni sull’uso del Web.
Nelle organizzazioni che consentono ai dipendenti l’accesso illimitato a Internet, ma pubblicano politiche che limitano l’uso personale–nessun gioco d’azzardo, porno o siti di letteratura di odio, ad esempio, o solo durante il pranzo e le pause–gli amministratori di rete possono monitorare i log del server proxy per individuare gli utenti che violano abitualmente le politiche.
Ma il monitoraggio dei registri proxy può essere un affare complicato, avverte il consulente Steve Armstrong, direttore della sicurezza tecnica presso la consulenza con sede nel Regno Unito LogicallySecure.
Alcune aziende commettono l’errore di installare un proxy e poi mai guardarlo di nuovo, sprecando così gran parte della sua potenziale utilità, Armstrong dice. Ma altri spendono troppo tempo studiando attentamente i registri. “Può essere quasi come lo stalking o molestie degli utenti per delega.”
Se i dipendenti sono autorizzati a utilizzare il Web per la navigazione personale, un monitoraggio troppo attento potrebbe comportare violazioni della privacy e del diritto del lavoro da parte dell’azienda–se un dipendente sta ricercando un problema medico nella sua ora di pranzo, per esempio.
Inoltre, se gli amministratori monitorare da vicino l’attività di un dipendente per nessun motivo molto buona–soprattutto in assenza di politiche chiaramente indicate–e poi cercare di portare un’azione disciplinare per le violazioni, sindacati o avvocati possono essere in grado di rivendicare la società è stata vittima del dipendente.
Controllo automatico
Ma se le restrizioni politiche e le pratiche di monitoraggio sono chiaramente indicate e firmate dai dipendenti, questo tipo di problemi non dovrebbero sorgere, dice Armstrong.
L’alternativa è utilizzare le funzionalità di filtraggio di base del software del server proxy per bloccare gli utenti che visitano determinati siti. Funziona in modo simile al filtro parentale sulle reti domestiche.
Al livello più semplice, se un sito con restrizioni viene aggiunto a un elenco nel software del server, quando un utente tenta di navigare su quel sito, il server nega la richiesta e restituisce un messaggio di errore.
L’aggiunta di funzionalità avanzate con software di filtraggio integrato o l’utilizzo di prodotti avanzati come il server ISA (Internet Security and Acceleration) di Microsoft consentono di limitare i siti o la navigazione in generale per ora del giorno, o anche per funzione o reparto di lavoro.
Implementazione
Se hai letto fino a questo punto e vedi la necessità di un server proxy, probabilmente avrai bisogno dei servizi di un consulente per aiutare a selezionare i prodotti e implementarli. Si potrebbe essere l’acquisto di software da installare su un server standard. Molti di questi prodotti sono open source, alcuni dei quali gratuiti.
Potrebbe essere un’appliance server proxy, hardware appositamente costruito con software preinstallato. Oppure potrebbe essere un’appliance server proxy virtuale, un server logicamente separato ma che condivide lo spazio su un server fisico con altri server in un ambiente VMware o altro server virtualizzato.
Alcuni server proxy stand alone, altri integrano altre funzionalità. Una delle funzioni più comunemente combinati con proxy di base è filtraggio avanzato, Quin note. Egli sostiene che i server proxy stand-alone-come qualsiasi soluzione single – purpose o ‘punto’ – necessariamente comportano più overhead di gestione, quindi probabilmente hanno meno senso per la maggior parte delle organizzazioni.
Scelta di un proxy
Il tipo e la qualità del prodotto server proxy scelto dipendono da una serie di fattori, tra cui il rischio percepito per le risorse dietro il proxy, il livello di tolleranza al rischio e il budget.
Info-Tech stesso utilizza software server proxy open source perché ha ragionevolmente elevata tolleranza al rischio – essendo ben fornito con competenze IT e di sicurezza-e relativamente leggero caching e requisiti di filtraggio, Quin dice.
Le organizzazioni più grandi con centinaia o migliaia di utenti, meno tolleranza al rischio e necessità di filtraggio più granulare o caching più pesante, potrebbero richiedere una soluzione più robusta e potrebbero anche essere migliori con una che si integri strettamente con un Cisco esistente, Microsoft o altro ambiente di rete, suggerisce Quin.
Una cosa da tenere a mente, dice, è che il server proxy è esposto a Internet. “È un obiettivo molto facile da attaccare ed è una parte affidabile della tua infrastruttura di rete interna. Quindi devi essere molto rigoroso sulla sicurezza, devi mantenere le patch aggiornate e mantenerle religiosamente.”
Proxy per i consumatori
Puoi anche ottenere il proxy come servizio, spesso gratuitamente. Le richieste di pagina vanno dal dispositivo client su Internet a un server e da lì al sito richiesto. Questo è principalmente di interesse per i consumatori, ma può anche avere applicazioni per gli utenti mobili.
Perché i consumatori vorrebbero utilizzare i servizi proxy?
Privacy e sicurezza erano le ragioni principali in origine. I servizi di proxy online forniscono lo stesso tipo di anonimato dei proxy aziendali interni, che migliora la sicurezza, ma fa appello anche ai navigatori del Web che si oppongono agli inserzionisti e ad altri che sono in grado di tracciare dove vanno in rete.
Servizi proxy anche teoricamente fare un lavoro migliore di filtraggio malware Web-borne. Se tutti fanno è un’altra questione. E alcuni forniscono la crittografia VPN-like tra il client e il loro server per la protezione contro i dati intercettati quando si utilizzano hotspot Wi-Fi pubblici. Alcuni possono fornire il caching, ma è improbabile che sia efficace come in un ambiente di rete aziendale.
TV online
Un motivo sempre più popolare per utilizzare un servizio proxy oggi è quello di aggirare le restrizioni regionali sull’accesso ai media online.
Per motivi di licenza, siti di video come Netflix, Hulu e altri possono solo servire contenuti agli utenti nel paese di origine. Bloccano le richieste da indirizzi IP noti per essere al di fuori del paese.
Utilizzando un servizio proxy con server nel paese, un utente esterno può aggirare queste restrizioni. Il tuo corrispondente, ad esempio, attualmente vive e lavora in Spagna e utilizza i servizi proxy per lo streaming di programmi TV da siti del Regno Unito e degli Stati Uniti.
Come funzionano
I servizi proxy funzionano in uno dei tre modi. Con molti servizi gratuiti, è sufficiente navigare al sito web del fornitore di servizi e digitare l’URL del sito che si desidera in un campo di indirizzo sulla pagina. Altri richiedono agli utenti di scaricare una piccola applicazione. Altri ancora richiedono agli abbonati di impostare una connessione VPN in Windows e digitare un ID utente e una password.
Scelta di un servizio proxy
Molti servizi proxy sono gratuiti. Alcuni sono offerti da aziende per promuovere altri servizi Internet a pagamento. La maggior parte sono ad supportati in un modo o nell’altro. Ci sono anche molti aggregatori, come Proxy 4 gratuito, fornendo elenchi costantemente aggiornati di server proxy gratuiti. Alcuni addirittura pagare una quota di iscrizione per fornire un facile accesso ai servizi elencati. Pochi servizi gratuiti, tuttavia, sono affidabili, veloci o sicuri come i servizi a pagamento. E molti dei servizi gratuiti che abbiamo provato non supportavano Flash nei nostri test.
Il tuo corrispondente utilizza due servizi ad-supported gratuiti da Anchorfree, una società della Silicon Valley. Richiedono un download di app. ExpatShield e Hotspot Shield dispongono di pubblicità video particolarmente invadente e reindirizzamenti delle pagine, così come banner pubblicitari inseriti nella parte superiore delle pagine del browser. Ma gli annunci possono essere fermati, i servizi Anchorfree funzionano abbastanza bene, e sono liberi.
Con molti servizi gratuiti, il throughput ridotto a causa del luppolo del router aggiuntivo coinvolto nel raggiungere e dal server, significa che la qualità dello streaming è scarsa al punto di rendere il video inguardabile.
I servizi Anchorfree, tuttavia, lo streaming video dai siti della BBC e ITV nel Regno Unito (ExpatShield) e Hulu negli Stati Uniti (Hotspot Shield) in Spagna più o meno perfettamente – almeno su una connessione Internet veloce (12 Mbps).
Applicazioni aziendali
Per i guerrieri della strada che devono connettersi alla rete in caffetterie e altri hotspot pubblici, i servizi proxy con funzionalità VPN integrata possono essere un modo rapido e sporco per aggiungere una certa protezione contro lo snooping wireless. Detto questo, un tunnel VPN attraverso e controllato dai server aziendali sarebbe più affidabile sicuro.
Al ribasso, gli amministratori di rete potrebbero voler essere alla ricerca dei dipendenti che utilizzano i servizi proxy pubblici in ufficio. È una probabile indicazione della navigazione non ufficiale, nella migliore delle ipotesi, e possibilmente dell’uso del Web che contravviene alle politiche aziendali.