Proxy (computernetwerk)

Van Wikipedia, de gratis encyclopedie
Spring naar navigatie Spring naar zoeken
Schematische weergave van een proxy (in het midden van de afbeelding) die de gegevensoverdracht tussen de twee buitenste computers doorstuurt

Een proxy (van Engelse volmachtvertegenwoordiger "afgevaardigden" of Latijnse proximus "buurman") is een communicatie-interface in een netwerk van computers in de vorm van een fysieke computer (bijv. Als server of zelden, personal computer ). Hij werkt als tussenpersoon die enerzijds aanvragen in behandeling neemt om vervolgens via zijn eigen adres een verbinding met de andere zijde tot stand te brengen.

Als de proxy als netwerkcomponent wordt gebruikt , blijft enerzijds het werkelijke adres van een communicatiepartner verborgen voor de andere communicatiepartner, wat een zekere anonimiteit creëert. Als (mogelijke) koppeling tussen verschillende netwerken kan het daarentegen een verbinding tussen communicatiepartners tot stand brengen, zelfs als hun adressen niet compatibel zijn met elkaar en een directe verbinding niet mogelijk is.

In tegenstelling tot Simple Address Translation ( NAT ) kan een proxyserver , ook wel een dedicated proxy genoemd , de communicatie zelf beheren en beïnvloeden, in plaats van de pakketten ongezien door te laten. Gespecialiseerd in een bepaald communicatieprotocol, zoals: B. HTTP of FTP , hij kan de data coherent analyseren, verzoeken filteren en eventueel bijsturen, maar ook beslissen of en in welke vorm de respons van de target wordt doorgegeven aan de daadwerkelijke klant . Soms wordt het gebruikt om bepaalde antwoorden tijdelijk op te slaan, zodat ze sneller kunnen worden opgehaald voor terugkerende vragen zonder ze opnieuw bij het doel te hoeven opvragen. Vaak worden meerdere dedicated proxy 's parallel op één apparaat gebruikt om verschillende protocollen te kunnen bedienen.

Een generieke proxy , ook wel circuitniveauproxy genoemd , wordt gebruikt als een protocolonafhankelijk filter op een firewall . Daar implementeert het een op poorten en adressen gebaseerde filtermodule, die ook (eventuele) authenticatie ondersteunt voor het tot stand brengen van een verbinding. Bovendien kan het worden gebruikt voor eenvoudig doorsturen door te luisteren op een poort van een netwerkadapter en de gegevens door te geven aan een andere netwerkadapter en poort. Hij kan de communicatie niet zien, noch uitvoeren of zelf beïnvloeden omdat hij het communicatieprotocol niet kent.

Werkwijze en afbakening

Het verschil met een NAT-apparaat

Technisch gezien werkt een typische proxy als een communicatiepartner die ingrijpt in het verkeer op OSI-laag 7, waarbij de verbindingen aan beide kanten worden beëindigd (er zijn dus twee onafhankelijke verbindingen) in plaats van de pakketten simpelweg door te geven als een NAT-apparaat. Zo'n dedicated proxy is een serviceprogramma voor computernetwerken dat het dataverkeer bemiddelt en wordt daarom ook wel een proxyserver genoemd : als actieve bemiddelaar gedraagt ​​het zich als een server naar de verzoekende cliënt toe, en als een cliënt naar de andere kant, het doel systeem.

Er zijn echter overlappingen met NAT in de generieke proxy op circuitniveau die werkt op OSI-lagen 3 en 4, die de technologie van eenvoudige adresvertaling kunnen gebruiken. Desondanks speelt NAT een verwaarloosde rol bij proxy's. Daarom wordt in het navolgende uitgegaan van de eerst beschreven variant wanneer een (typische) proxy in het algemeen wordt genoemd.

Overzicht

Zichtbaarheid

Een conventionele proxy fungeert aan beide zijden als communicatiepartner. Hij wordt dan ook bewust door hen aangesproken (aangesproken). Hier vraagt ​​de client de proxy om namens hem de communicatie met het doelsysteem over te nemen. Dus z. B. de webbrowser is zo geconfigureerd dat hij niet alle verzoeken rechtstreeks naar het doeladres stuurt, maar in de vorm van een verzoek naar de proxy stuurt.

Er is ook de transparante proxy als een speciale netwerkcomponent die zich transparant (vrijwel onzichtbaar) gedraagt ​​naar een van de twee kanten. Deze pagina richt zich rechtstreeks tot het doel en niet tot de proxy. Een goed geconfigureerde netwerkinfrastructuur betekent dat het betreffende verzoek automatisch via de proxy daarheen wordt gerouteerd zonder dat de afzender het merkt of zelfs maar kan beïnvloeden. Aan de andere kant blijft de volmacht echter de aan te spreken communicatiepartner vertegenwoordigen die namens de eigenlijke communicatiepartner wordt aangesproken.

Zo verschijnt een volmacht meestal als een veronderstelde communicatiepartner voor ten minste één van de twee partijen.

plaats

Een proxy als aparte netwerkcomponent bevindt zich fysiek tussen het bron- en doelsysteem. Binnen een IP- netwerk converteert het het IP-adres zodra de pakketten de proxy passeren op weg naar de bestemming. Op deze manier kan het echte IP-adres van de eigenlijke communicatiepartner worden verborgen en kunnen individuele deelnemers in een netwerk of zelfs hele netwerken met elkaar worden verbonden, zelfs als ze niet compatibel zijn met elkaar in termen van adressering. Dit laatste wordt mogelijk gemaakt door een speciaal poortbeheersysteem , waarmee een proxy b.v. B. staat toe dat een particulier (op zichzelf staand) netwerk via één officieel IP-adres met internet wordt verbonden. Omdat het doelsysteem de client niet ziet maar alleen de proxy, worden mogelijke aanvallen van daaruit gericht op de daarvoor voorbestemde proxy en treffen ze de client niet direct.

De lokale proxy daarentegen draait rechtstreeks op het bron- of doelsysteem en bevindt zich in de logische opstelling tussen de aan te spreken netwerkdienst en de aanvragende cliënt. Het wordt meestal gebruikt als filter of converter. Aangezien het ter plaatse in actie komt, d.w.z. voordat de pakketten naar het netwerk worden gerouteerd (lokale proxy op het bronsysteem) of nadat de pakketten het doelsysteem hebben bereikt (lokale proxy op het doelsysteem), kan deze proxy niet verbergen het echte IP-adres van het communicatiesysteem. Dit onderscheidt het aanzienlijk van andere proxy's in een IP-netwerk. Een lokale proxy op het bronsysteem kan echter een grote hulp zijn bij het automatisch verzenden van het netwerkverzoek via een externe proxy, waarbij de lokale proxy dit type omleiding beheert en zo bijdraagt ​​aan de anonimisering van zijn eigen IP-adres.

Mogelijke functies van een proxy

Bescherming van klanten
De proxy kan een interface vormen tussen het private netwerk en het publieke netwerk. De clients van het particuliere netwerk hebben via de proxy toegang tot bijvoorbeeld de webserver van het openbare netwerk. Aangezien het gecontacteerde doelsysteem van het openbare netwerk zijn antwoordpakketten niet rechtstreeks naar de client verzendt, maar eerder naar de proxy, kan de proxy de verbinding actief besturen. Ongewenste toegang op afstand tot de client (die verder gaat dan de antwoordpakketten) wordt zo voorkomen of in ieder geval bemoeilijkt. Overeenkomstige beveiligingsmaatregelen en hun voortdurende controle zijn beperkt tot een enkele of enkele proxy's in plaats van een groot aantal klanten. Ze kunnen ook eenvoudiger en betrouwbaarder worden geïmplementeerd in een stroomopwaarts bastionnetwerk . Op deze manier zijn ook uw eigen servers beter beveiligd, die zelf geen toegang tot internet nodig hebben, maar zich in hetzelfde segment bevinden als de clients die door de proxy worden afgeschermd. Dit betekent dat het interne netwerk in eerste instantie beschermd blijft, zelfs als de proxy wordt gecompromitteerd, waardoor de IT-afdeling extra tijd krijgt om adequaat te reageren op elke externe aanval.
Bescherming van de server
Een proxyserver kan over het algemeen gebruikt worden om de eigenlijke server in een afgeschermd netwerk te plaatsen , zodat deze alleen vanaf het externe netwerk via de proxy te bereiken is. Op deze manier probeert men de server te beschermen tegen aanvallen. De proxysoftware is minder complex en biedt daardoor minder aanvalspunten. Deze oplossing wordt bijvoorbeeld gebruikt in online winkels : de webserver en proxy bevinden zich op internet en hebben achter een firewall toegang tot de database met klantgegevens.
Bandbreedte controle
De proxy wijst verschillende bronnen toe aan verschillende gebruikers en groepen, afhankelijk van de werklast. De proxyserver Squid beheerst deze procedure, waardoor het ook kan bijdragen aan de beveiliging van de server en ondersteuningsmethoden voor een betere beschikbaarheid.
Beschikbaarheid
Belastingverdeling en beschikbaarheid kan met relatief weinig inspanning worden bereikt via een proxynetwerk.
Voorbereiding van gegevens
Proxyservers kunnen ook bepaalde applicatiefuncties overnemen, bijvoorbeeld gegevens in een gestandaardiseerd formaat brengen.
Inhoudscontrole van veelgebruikte protocollen
Gespecialiseerd in een bepaald netwerkprotocol , kan een proxy de pakketten van het respectieve protocol analyseren en fungeren als een verbindings- en opdrachtfilter.
Functie-uitbreiding van een netwerkdienst
Een reverse proxy kan het gebruikelijke scala aan functies van een service uitbreiden. B. speciale statistieken gemaakt, die de service normaal gesproken niet biedt. Aangezien hij zelf vragen kan beantwoorden, zijn verdere functionele uitbreidingen denkbaar.
Loggen
Bij veel proxy's kunnen verbindingen die erdoorheen lopen worden vastgelegd. Dit maakt statistische evaluaties en de detectie van ongewenste verbindingen mogelijk.
Proxy openen
Als een open proxy of open proxy (Engels open proxy) verwijst naar een proxy die door iedereen kan worden gebruikt zonder voorafgaande registratie (open of openbaar). Enerzijds ontstaan ​​ze onbewust door een verkeerde configuratie of door Trojaanse pc's (zie ook: botnet ), anderzijds zijn er ook expres veel open proxyservers opgezet om verregaande anonimiteit mogelijk te maken - zoals in het Freifunk- netwerk; Dergelijke proxy's zijn vaak voorzien van extra anonimiseringsfuncties.
Proxy als anonimiseringsservice
De anonimiseringsproxy (bijv. anonymizer , Tor ) stuurt de gegevens van de klant door naar de server, waardoor de server het IP-adres van de klant niet meer rechtstreeks kan lezen (zie ook: anonimiteit op internet ). Ze worden gebruikt om de herkomst van een klant te verhullen. Internetgebruikers kunnen zichzelf proberen te beschermen tegen staats- of andere vervolging of controle. In een ander scenario worden proxy's aangeboden - waarvan sommige vrij beschikbaar zijn - waarvan elke website kan worden opgevraagd onder de URL van de proxy. Deze proxy's kunnen worden gebruikt om bijvoorbeeld de beperkingen van bedrijfs- of schoolnetwerken te omzeilen (soms worden deze geblokkeerd als de operator dit opmerkt). Ze zijn anoniem omdat de doelserver alleen de URL van de anonimiseringsservice ziet.
Toegang tot geblokkeerde inhoud
Geoblocking kan worden omzeild door een proxyserver in een ander land te gebruiken.
Proxy vertalen
Sommige proxy's vertalen het ene protocol in het andere. Deze worden dan gateway , transport, agent genoemd. Een Cern-proxy communiceert bijvoorbeeld met de client via HTTP , terwijl deze via FTP of Gopher verbinding maakt met de server. Ook XMPP-transporten zijn op dit concept gebaseerd.

De proxy als netwerkcomponent

Om te begrijpen hoe zo'n apparaat de identiteit van de echte communicatiepartner kan verbergen, kan het handig zijn om de proxy voor te stellen als een geautomatiseerde mailbox: een pakket wordt via de proxy verzonden vanaf het verborgen (interne) adres dat naar de extern netwerk, verbindt de proxy zichzelf met het doelsysteem en wijst automatisch zijn eigen afzenderadres toe aan de uitgaande pakketten.

Het doelsysteem stuurt nu zijn antwoordpakketten terug naar de mailbox (proxy), die de ontvangen pakketten indien nodig analyseert en vervolgens doorstuurt naar de interne client. Op deze manier stuurt de proxy alle inkomende antwoordpakketten van het externe netwerk naar de daadwerkelijke ontvanger van het interne netwerk zonder dat de afzender het daadwerkelijke (interne) adres van de ontvanger kent.

De lokale proxy

Adresconversie wordt ook intern uitgevoerd als proxysoftware lokaal op het bron- of doelsysteem is geïnstalleerd. Dit is onderdeel van de manier waarop ze intern werken en kan worden beperkt tot het omleiden van de poort, maar verwijst vaak naar een conversie naar de lokale host (de zogenaamde loopback- interface 127.0.0.1).

Op het bronsysteem

Zo kon een applicatie zijn internetverzoeken niet meer rechtstreeks naar het doelsysteem sturen, maar naar het eigen systeem naar de poort van de daar geïnstalleerde proxysoftware. Hiervoor moet de applicatie dienovereenkomstig worden geconfigureerd. De proxysoftware bepaalt nu het adres van het gewenste doelsysteem en stuurt het verzoek daar namens de applicatie door. Als afzender worden het adres van het bronsysteem en de retourpoort van de proxysoftware opgegeven, zodat de antwoordpakketten de lokale proxy weer bereiken, die ze vervolgens kan doorgeven aan de oorspronkelijke applicatie. Op deze manier kan zo'n proxy op dezelfde manier uitgaande verzoeken analyseren (en zo nodig filteren) als de antwoorden van het doelsysteem. Polipo is gratis proxysoftware voor het Hypertext Transfer Protocol (HTTP) met caching- en filterfunctionaliteit , b.v. B. voor de laptop of de netbook. Een ander voorbeeld van een lokale proxy is Proxomitron , dat onder andere voorkomt dat JavaScripts de browseridentiteit en het versienummer ervan achterhalen en het besturingssysteem lezen. Het SpamPal- spamfilter wordt ook geïnstalleerd met een lokale proxy, althans voor bepaalde e-mailclients zoals Vivian Mail.

Op het doelsysteem

De applicatie op het bronsysteem stuurt zijn verzoeken rechtstreeks naar het doelsysteem. Zonder dat het bronsysteem hiervan op de hoogte hoeft te zijn, gaat de felbegeerde netwerkdienst echter niet schuil achter de geadresseerde poort van het doelsysteem, maar proxysoftware.

De proxysoftware accepteert dus verzoeken van het netwerk en brengt vervolgens namens het bronsysteem een ​​verbinding tot stand met de eigenlijke netwerkdienst van het eigen systeem. Dit beantwoordt het verzoek en stuurt het antwoord terug naar de proxy-software, die het nu kan analyseren en veranderen zoals vereist of zelfs statistisch kan evalueren voordat het het doorstuurt naar de eigenlijke klant.

Proxynamen

Toegewezen proxy (proxyserver)

Een dedicated proxy is een serviceprogramma dat het dataverkeer tussen de aanvragende client en het doelsysteem bemiddelt. Het is gespecialiseerd in het communicatieprotocol dat de dienst gebruikt en kan daarom de communicatie analyseren en, indien nodig, de inhoud ervan manipuleren. Bovendien kan het zelfstandig verzoeken naar de communicatiepartner sturen en soms als buffer fungeren (d.w.z. zelf op een verzoek reageren zonder het opnieuw te hoeven aanvragen bij het eigenlijke doelsysteem).

Soms wordt het lokaal op het bron- of doelsysteem geïnstalleerd om de bijbehorende taak ter plaatse uit te voeren. Dit kan daarentegen ook een filtermodule zijn die actief ingrijpt in de communicatie en op een proxy-firewall wordt geplaatst. Er worden onder andere speciale proxy's gebruikt als (bijv. SMTP ) virusscanners of (bijv. FTP ) verbindings- en opdrachtfilters.

Meerdere dedicated proxy's kunnen parallel op één apparaat draaien om verschillende protocollen te kunnen gebruiken. Omdat hij in de pakketten moet kijken, doet een dedicated proxy zijn werk op OSI-laag 7.

Dedicated proxy's worden vaak gebruikt voor de volgende protocollen:

HTTP / HTTPS
De meeste providers bieden hun klanten het gebruik van een dergelijke proxy aan. Het kan de volgende functies vervullen:
SSL-beëindiging
Een HTTPS- verbinding kan worden verbroken (beëindigd) met behulp van een webproxy om ook de inhoud ervan op malware te controleren. Verdere versleuteling naar de client (browser) vindt dan plaats met een door de proxy aangeboden certificaat. Het probleem hierbij is dat de browsergebruiker het originele certificaat van de webserver niet meer te zien krijgt en erop moet vertrouwen dat de proxyserver een geldigheidscontrole van het webservercertificaat heeft overgenomen.
Tussenopslag ( cache )
De proxy kan vragen of hun resultaten opslaan. Als hetzelfde verzoek opnieuw wordt gedaan, kan het vanuit het geheugen worden beantwoord zonder eerst de webserver te vragen. De proxy zorgt ervoor dat de informatie die hij aanlevert niet te verouderd is. Volledige actualiteit is meestal niet gegarandeerd. Caching betekent dat vragen sneller kunnen worden beantwoord en tegelijkertijd de netwerkbelasting wordt verminderd. Zo'n proxy voor een bedrijf bemiddelt bijvoorbeeld al het dataverkeer van de computers van medewerkers naar het internet .
Censuur / Toegangscontrole
Met behulp van een proxy kunnen bepaalde websites voor de gebruiker worden geblokkeerd of de toegang ertoe worden gelogd. De inhoud kan ook worden gescand op schadelijke programma's ( virussen , malware , scripts, enz.). Een proxy is daarom meestal onderdeel van een firewallconcept . Met name scholen of openbare instellingen, maar ook bedrijven, verhinderen op deze manier de toegang vanuit hun netwerk tot welke website dan ook, bijvoorbeeld om het downloaden van muziekbestanden te voorkomen vanwege de daarmee samenhangende juridische problemen. Bovendien kunnen degenen die worden beschermd, worden beschermd tegen websites die gevaarlijk voor hen zijn (pornografie, racistische websites en dergelijke). Gebruikersauthenticatie kan ook worden gebruikt om verschillende webfilters toe te wijzen aan individuele gebruikers of gebruikersgroepen.
Advertenties uitfilteren
Advertenties kunnen aanzienlijke hoeveelheden dataverkeer genereren. B. regelmatig nieuw. Wat voor particuliere gebruikers op een breedbandlijn geen probleem is, kan bijvoorbeeld een probleem worden voor een netwerk van enkele tientallen gebruikers op deze lijn.
SMTP
Sommige firewalls bieden een SMTP-proxy die het mailverkeer tussen internet en de mailserver in de gaten houdt en bepaalde gevaarlijke of ongewenste commando's uitfiltert. Door het ontwerp van het SMTP-protocol kan elke SMTP-server ook als SMTP-proxy worden gebruikt.
IMAP-proxy
Holt z. B. e-mailt automatisch van de centrale IMAP-server naar een lokale machine, waar de clients de e-mail vervolgens ophalen.
IRC-proxy
Een dergelijke proxy bemiddelt IRC-verbindingen en kan deze zelfs onderhouden als de client is uitgeschakeld.
NNTP-proxy
De proxy (bijv. Leafnode) kan worden gebruikt voor nieuws en maakt b.v. B. Definieer filters voor ongewenste groepen.
Exchange front-end server
Het biedt een proxyfunctie die tunnels de RPC protocol via HTTP (S).
Citrix beveiligde gateway
Hier wordt het ICA-protocol getunneld over HTTP (S).

Circuitniveau-proxy (algemene proxy)

Een proxy op circuitniveau (ook wel generieke proxy genoemd ) is een pakketfiltermodule die kan worden gebruikt om IP-adressen en poorten op een firewall te blokkeren of deblokkeren, maar zonder de pakketinhoud te kunnen analyseren.

Zo'n proxy, die op OSI-lagen 3 en 4 werkt, laat de pakketten soms gewoon door zonder de verbindingen zelf te beëindigen. De Circuit Level Proxy implementeert vervolgens de adresvertaling met behulp van NAT op OSI-laag 3. Hoewel adresfiltering zich ook op de derde OSI-laag bevindt, implementeert het ook poortfiltering op de vierde OSI-laag.

Er zijn ook proxy's op circuitniveau die authenticatie op OSI-laag 5 kunnen implementeren dankzij een speciaal protocol. De client krijgt zo'n verbindingsautorisatie z. B. door een identificatie en wachtwoord in te voeren. De client moet dit speciale authenticatieprotocol echter kennen, daarom is een op deze manier ingeschakelde Circuit Level Proxy minder generiek (het werkt alleen met applicaties op de client die dienovereenkomstig zijn uitgebreid). SOCKS is een voorbeeld van zo'n authenticatieprotocol. Zo'n uitgebreide proxy op circuitniveau maakt niet noodzakelijk gebruik van NAT. Sommigen van hen maken dit zelfs afhankelijk van het protocol; dus z. B. verbreekt de TCP-verbinding, terwijl een UDP-verbinding gewoon wordt doorgegeven.

Een generieke proxy kan ook worden gebruikt voor eenvoudig doorsturen. De eenvoudigst mogelijke proxy is het Linux-programma Redir , dat luistert op één interface en één poort en de gegevens doorstuurt naar een andere interface en poort. Dit is ook mogelijk met het iptables- commando onder Linux en wordt bijvoorbeeld gebruikt om het exit-dataverkeer van een Tor- server via meerdere proxy's te routeren om de Tor-server te beschermen.

Proxy-firewall

Een proxy-firewall is een firewall die gebruikmaakt van speciale proxy's of proxy's op circuitniveau als filtermodules. Deze filtermodules implementeren regels door te beslissen welke gegevens worden doorgestuurd naar de daadwerkelijke communicatiepartner en welke niet. Op deze manier probeert de proxy-firewall zijn eigen netwerk (segment) te beschermen tegen onbevoegde toegang. Bovendien kan het ook de gegevens converteren, bepaalde inhoud bufferen en alle andere functies uitvoeren die inherent zijn aan een proxy.

Toegewezen proxy's op een stateful-inspectiefirewall

Sommige fabrikanten bieden ook speciale proxy's voor hun Stateful Inspection Firewall (SIF). In termen van definitie is dit echter een beetje problematisch: aangezien dit type firewall, volgens het oorspronkelijke Checkpoint- concept, alleen gebaseerd is op een generiek pakketfilter en zich dus uitsluitend concentreert op pakketfilterregels, is een SIF duidelijk geclassificeerd als een pakketfilter firewall . Als daar echter een dedicated proxy wordt geactiveerd, is de SIF eigenlijk niet langer een packet-filter-firewall, maar behoort deze tot de categorie proxy-firewall, die een stateful packet-inspectie uitvoert . Dit exacte onderscheid wordt zelden gemaakt door experts, daarom voldoet een als SIF geclassificeerde firewall in de praktijk slechts gedeeltelijk aan de definitie van een pakketfilter-firewall.

Transparante proxy

Een transparante proxy bestaat in principe uit twee componenten. Eerst worden de gewenste poorten van de protocollen op de router afgetapt (bijvoorbeeld via iptables met een redirect) en vervolgens doorgestuurd naar een proxy. Voor de gebruiker is de verbinding via een transparante proxy niet te onderscheiden van een directe verbinding via de router. De aanwezigheid van een transparante proxy biedt het voordeel dat de proxy-instellingen op de individuele pc niet geconfigureerd kunnen worden (zie paragraaf Zichtbaarheid ).

Omgekeerde proxy

Een proxyserver die het internet verbindt met een intern netwerk.
Een reverse proxy die verzoeken van internet opneemt en doorstuurt naar andere servers in het interne netwerk. De aanvragers maken verbinding met de proxy en weten mogelijk niets van het interne netwerk.

In het geval van de reverse proxy verschijnt een proxy als een vermeend doelsysteem, waarbij de adresvertaling dan in de tegenovergestelde richting wordt uitgevoerd, zodat het echte adres van het doelsysteem voor de client verborgen blijft. Terwijl een typische proxy kan worden gebruikt om meerdere clients van een intern (privé - op zichzelf staand) netwerk toegang te verlenen tot een extern netwerk, werkt een reverse proxy precies andersom.

Direct de internettoegang van de browser via een proxy

Er zijn verschillende mogelijkheden om browsertoegang via een proxy te sturen:

Omgevingsvariabele
Sommige browsers, bijvoorbeeld Lynx , evalueren een omgevingsvariabele (in dit geval 'http_proxy =') en gebruiken de daar ingevoerde waarde als deze niet leeg is.
Directe configuratie
De naam (of het IP-adres) van de proxyserver en de poort waarop deze luistert, worden rechtstreeks in de browser ingevoerd. Het nadeel is dat je dit voor elke klant handmatig moet doen en dat er voor elke klant afzonderlijk wijzigingen moeten worden aangebracht.
Transparante proxy
Er is hier niets geconfigureerd op de clients; ze sturen hun verzoeken naar de bestemming op poort 80 (HTTP) alsof ze een directe verbinding met internet hebben. De infrastructuur van het netwerk zorgt ervoor dat uw verzoeken naar de proxy worden geleid.
Automatische proxyconfiguratie ( Proxy Auto-Config )
De URL van een JavaScript-bestand met het adres en de poort van de proxyserver wordt hier in de browser ingevoerd. Zodra dit werk is gedaan, kunnen verdere wijzigingen centraal in het script worden aangebracht. Het script kan ook worden toegewezen aan een reverse proxy.
Web Proxy Autodiscovery Protocol (WPAD)
Dit is een protocol waarmee webclients, net als een browser, automatisch webproxy's kunnen vinden voor gebruik binnen een computernetwerk door een Proxy Auto-Config (PAC-bestand) op te http://wpad.example.com/wpad.dat onder een te raden URL, bijvoorbeeld: http://wpad.example.com/wpad.dat

Mogelijke problemen bij het gebruik van een proxy

gevaren

Een slecht geconfigureerde proxy kan gevaarlijk zijn omdat het derden in staat stelt om via het proxy-adres op internet te handelen. De proxy kan bijvoorbeeld worden misbruikt voor een aanval of - vergelijkbaar met een open mailrelay - om spam te verzenden. Bij misbruik wordt dan de proxy als bron bepaald, wat onder omstandigheden onaangename gevolgen kan hebben voor de exploitant.

Statistieken voor toegangen

Vooral commerciële servers, die advertentieruimte verhuren, rechtvaardigen hun aantrekkelijkheid voor advertenties met toegangsnummers, waarvan de statistieken worden gegenereerd door de webserver. Natuurlijk hebben proxyservers en filters een negatieve invloed op deze aantallen, omdat inhoud die vanuit de cache wordt geleverd daar niet verschijnt en een deel van de advertenties niet eens wordt geladen. Sommige aanbieders van websites proberen daarom hun inhoud slecht of helemaal niet cache-capabel te maken.

Proxy-logbestanden kunnen op gebruikersspecifieke basis worden geëvalueerd. Er kunnen statistieken worden samengesteld over gebruikers (of IP-adressen), de websites die ze bezoeken en de tijd die ze op de websites doorbrengen.

Proxy als anonimiseringsservice

In verschillende internetfora , waaronder Wikipedia, wordt het aanmaken of wijzigen van artikelen via open proxyservers vaak voorkomen door de relevante IP-adressen te blokkeren om anonieme deelname te bemoeilijken. Het is logisch om dit alleen te doen voor gebruikers die niet zijn ingelogd.

Opgemerkt moet worden dat de exploitant van een open proxy bijna volledige controle heeft over de sessie, gegevens opneemt en webinhoud vervalst zonder dat de gebruiker het merkt.

Om het risico op misbruik van de anonimiseringsdienst door de proxy-operator te beperken, zouden concepten als F2F een oplossing kunnen bieden: Bij een F2F-proxy worden de gegevens doorgegeven via een “vriend”; dit verhoogt de veiligheid omdat er geen onbekende proxyservers worden gebruikt. Het vriend-tot-vriend netwerk garandeert dat alleen privé en geverifieerde verbindingen worden gebruikt. Ook gangbare encryptie- en certificeringsmethoden kunnen een oplossing bieden, zoals SSL/TLS met het doelsysteem achter de proxy, bijvoorbeeld door gebruik te maken van een HTTPS- verbinding. De proxy kan het niet manipuleren, tenminste zolang de implementatie van de gebruikte methode niet defect is [1] [2] en de methode zelf niet wordt ondermijnd [3] .

web links

Einzelnachweise

  1. Am 13. Mai 2008 gab das Debian-Projekt bekannt dass das OpenSSL-Paket der Distributionen seit 17. September 2006 (Version 0.9.8c-1 bis 0.9.8g-9) eine Sicherheitslücke enthielt.
  2. SSL-Schutz ausgehebelt , Felix von Leitner , 23. Mai 2008.
  3. Methoden zur Informationsgewinnung , Felix von Leitner , 15. Januar 2010.