31 03.2015

Transparent Proxy w 2015 roku

Wielu administratorom na myśl o końcówce XX wieku przychodzą słabe komputery, bardzo słabe łącza internetowe i program Squid, pozwalający wycisnąć z nich jak najwięcej wartości.

Transparent Proxy to technika przechwytywania ruchu sieciowego (najczęściej do stron www) w taki sposób, aby nie trzeba było niczego konfigurować na poszczególnych komputerach w sieci lokalnej - przechwytywanie jest bowiem realizowane na routerze. Przechwytywanie to może mieć wiele różnych celów:

  • ograniczanie ruchu na łączu internetowym przez buforowanie elementów stron www odwiedzanych przez wielu użytkowników
  • ograniczanie ruchu na łączu internetowym przez blokowanie ciężkich stron (np. Youtube)
  • analiza stron otwieranych przez pracowników w celu analizy realnej efektywności i zaangażowania w pracę
  • modyfikacja treści otwieranych stron, np. wstrzykiwanie lub usuwanie reklam, podmiana numerów kont bankowych przez szkodliwe oprogramowanie itp.
  • blokowanie szkodliwych treści (np. wirusów i innego oprogramowania), niepożądanych stron (np. pornograficznych, warezowych, społecznościowych itp.)
  • blokowanie tuneli www obchodzących nałożone ograniczenia w ruchu sieciowym
Które z tych punktów nadal mają sens w 2015 roku?

W XX wieku łącze internetowe o przepustowości liczonej w megabitach było luksusem. W dzisiejszych latach trudno spotkać działające o przepustowości mniejszej niż 1 megabit. Standardem w dużych miastach staje się 100 i więcej megabitów, oraz bardzo niskie opóźnienia w transmisji. Oznacza to, że ograniczanie ruchu na łączu internetowym dla samego ograniczania prawie nigdy już nie ma sensu. Prawie, ponieważ niektóre łącza (np. mobilne) posiadają limity transferu. Z drugiej strony łącza takie najczęściej są łączami osobistymi, a nie dzielonymi na wiele osób (np. w biurze), stąd oszczędność transferu będzie zwykle relatywnie niewielka i bardzo rzadko będzie uzasadniała koszt uruchomienia usługi transparent proxy.

Jeśli chodzi o pozostałe punkty, sytuacja również uległa zmianie: duże serwisy internetowe używają mechanizmów CDN (content delivery network) i bardzo wielu adresów IP, wirusy i tunele są dużo lepiej zakamuflowane, a coraz więcej firm działa w modelu BYOD (bring your own device). O ile więc te punkty nadal mają sens, o tyle ich ręczna realizacja przez administratora na bazie oprogramowania open source i własnych skryptów wymaga z roku na rok coraz więcej czasu, aby być skuteczna. Coraz mniejszy sens mają więc rozwiązania home-made, na rzecz gotowych, zintegrowanych rozwiązań komercyjnych, np. Barracuda, w których rolą administratora jest po prostu wpięcie urządzenia pomiędzy router a sieć lokalną, oraz skonfigurowanie odpowiednich założeń (np. analiza otwieranych stron tak, blokowanie wirusów tak, blokowanie pornografii tak, blokowanie Facebooka nie itd.).

A zatem w zasadniczej większości przypadków, w 2015 roku uruchamianie usług typu Squid przez pojedyncze osoby czy biura nie będzie miało uzasadnienia ekonomicznego. Większe uzasadnienie w firmach może mieć uruchomienie komercyjnego rozwiązania do filtrowania ruchu, w którym producent zadba o regularne aktualizacje reguł wykrywających i blokujących niepożądane treści, natomiast zakup tego typu rozwiązania należy również poprzedzić solidną analizą ekonomiczną, rozwiązania takie nie należą bowiem do tanich.



Tomasz Klim
Administrator serwerów i baz danych, specjalista w zakresie bezpieczeństwa, architekt IT, przedsiębiorca. Ponad 20 lat w branży IT. Pracował dla największych i najbardziej wymagających firm, jak Grupa Allegro czy Wikia. Obecnie zajmuje się bezpieczeństwem projektów blockchainowych w Espeo Software. Chętnie podejmuje się ciekawych zleceń.


Wzbudziliśmy Twoje zainteresowanie?

Szukasz pomocy? formularz kontaktowy