Em muitas empresas com firewall configurado, é uma boa prática aplicar a ferramenta de content filter, para bloquear e delimitar o acesso a aplicações apenas necessárias dentro do ambiente corporativo, além de evitar a perda de dados sensíveis para a internet pública.
Um conceito básico do content filter é, assim como o nome, filtrar através de parâmetros pré-definidos acesso a sites e conteúdos específicos, então é o papel da ferramenta, impedir caso necessário, o usuário de acessar determinado conteúdo, a partir de parâmetros pre definidos.
O content filter funciona como um intermediário entre o usuário e a internet, não é apenas uma ferramenta de firewalls, pode ser baseado também em servidor proxy, DNS ou uma aplicação instalada nos endpoints (computadores), ou seja, pode transitar em 3 das 4 camadas do conhecido modelo TCP/IP.
Um servidor proxy, também funciona como um intermediário entre o usuário e a internet, ou seja, o usuário envia a requisição de acesso a esse proxy, e dele, é enviado para os servidores públicos de internet. Assim é possível isolar o endereço IP do usuário, deixar em cache o acesso a conteúdos acessados com frequência, manter o ambiente seguro contra malwares e assim como o content filter, restringir o acesso a sites.
Conforme imagem acima, uma camada que o content filter pode atuar é mostrada como um servidor em nuvem dedicado a segurança, pode ser um ambiente em nuvem com firewall, e dentro do firewall há o CF, ou então ao invés de ser na security cloud, pode ser antes do roteador um servidor proxy com CF implantado, após os computadores, com um firewall físico com CF habilitado, pode ser diretamente nos computadores dos usuários, entre outras maneiras. O mecanismo de atuação mudará com base nisso, abaixo é exemplificado alguns dos tipos mais comuns de content filter:
Então é correto dizer que o content filter é um proxy e vice-versa?
O ideal seria separar ambos, pois o content filter seria uma aplicação e o proxy um ambiente. O content filter, como ferramenta, pode ser configurado em um servidor proxy, porém nem todo proxy contém o “CF” configurado, vai da configuração individual de cada servidor proxy. .
Internet filter: um dos mais comuns, implantado em firewalls, bloqueia, sites baseados nas políticas parametrizadas, whitelist e blacklist. Analisa o conteúdo da página e se estiver dentro dos parâmetros de bloqueio, irá bloquear.
Search engine filters: é semelhante ao internet filter, porém como o nome já diz, atua no motor de pesquisa e navegador, já filtrando e bloqueando diretamente a pesquisa ao site, também funciona através da definição de URLs de sites conhecidos.
E-mail filter: analisa e filtra o conteúdo do e-mail, desde o título até os anexos. Permite o usuário bloquear, aceitar, classificar e rejeitar e-mails com conteúdo suspeitos.
Web filter: filtra baseado em URLs especificas, impede o navegador de carregar as páginas, é possível bloquear sites com base em sua qualidade de construção, utilizando lista de itens essenciais.
Content filter baseado em DNS: ocorre direto no servidor DNS, filtrando diretamente o domínio do site, a chance de ocorrer falhas é maior, pois se um dominio apresenta um nome que não está na lista de bloqueio e o seu conteúdo está impróprio, o usuario conseguirá acessar normalmente independente do conteúdo.
Proxy content filtering: é o intermediário entre o usuário e a internet, o principal diferencial é a administração de diferentes grupos de acessos, por exemplo em uma empresa, onde, há os diretores que possuem acesso total, e o funcionários do escritório que não acessam redes sociais. Ao invés de utilizar um firewall, é diretamente um servidor proxy. (Ocorre na camada da aplicação)
Firewall based content filter: é muito semelhante ao proxy content filter e internet filter, porém o firewall analisa e inspeciona diretamente na camada de rede, através de uma análise profunda de pacotes de dados prevenindo a perda de dados, em outras palavras, é um nível adicional de segurança, enxugando ainda mais as possibilidades de algum malware burlar as camadas de segurança das aplicações e entrar na rede interna. Em comparação ao content filter proxy, pode ter menor granularidade (varia de firewall e sistema operacional), não oferecendo o mesmo nível de controle detalhado ao conteúdo que alguns servidores proxy especializados oferecem.
Portanto os servidores proxy e os “content filters”, na verdade não se encaixam na mesma categoria, o que ocorre é um desentendimento por parte da nomenclatura, pois a ferramenta pode ser implantada de diferentes maneiras e em diferentes cenários, pode ser instalado em um proxy (camada de aplicação) ou configurado através de um firewall (camada de rede e aplicação), o ideal seria comparar um CF baseado em proxy com um CF baseado em firewall, estes sim são semelhantes em diversos aspectos, aplicáveis em diferentes cenários, sendo o baseado em Firewall melhor recomendado para ambiente corporativos por possuir DPI – Deep Packet Inspection (rede), que analisa diretamente o pacote de dados que entra e sai da rede interna.
Seja o primeiro a comentar