Proxy , innen informasjonsteknologi og telekommunikasjon , indikerer en type server som fungerer som mellomledd for forespørsler fra kunder som leter etter ressurser på andre servere, og kobler tilgang til nettet fra nettleseren . En klient kobler seg til proxy- serveren og ber om en tjeneste (som en fil, nettside eller annen ressurs tilgjengelig på en annen server), og sistnevnte evaluerer og utfører forespørselen for å forenkle og administrere kompleksiteten. Proxyer ble oppfunnet for å legge til struktur og innkapsling til distribuerte systemer [1] .
Til dags dato brukes proxy-servere til forskjellige formål, for eksempel:
En proxy-server kan ligge lokalt på brukerens PC eller hvor som helst mellom den og målserverne på Internett.
Åpne proxyer er videresendingsfullmakter tilgjengelig for enhver Internett-bruker. Gordon Lyon (internettsikkerhetsekspert, programmerer av åpen kildekode, skribent og hacker) anslår at det finnes hundretusenvis av "åpne" proxyer på Internett [3] . En åpen og anonym proxy lar brukere skjule IP-adressen sin ved å surfe på nettet eller bruke andre Internett-tjenester. Det er imidlertid forskjellige nivåer av anonymitet, det samme er "triksene" for å få klienten til å avsløre seg selv til tross for at den brukes en proxy (bruk en bestemt språkinnstilling, besøk de samme nettstedene ofte både anonymt og "i det åpne", og eier visse nettleserutvidelser / plugins i stedet for andre og kombinasjonen av nettleser-/operativsystemversjoner og annen programvare er avgjørende faktorer for å identifisere "anonyme" brukere - se Enhetsfingeravtrykk ).
Noen proxy-servere implementerer et påloggingskrav. I store selskaper må autoriserte brukere logge inn før de kan få tilgang til nettet. På denne måten kan arbeidsgivere overvåke ansattes internettbruk.
En innholdsfiltrerende nettproxy tillater administrativ kontroll over innhold som kan overføres i én eller begge retninger gjennom proxyen. Det brukes ofte i både kommersielle og ikke-kommersielle organisasjoner (spesielt skoler) for å sikre at Internett-bruk er i samsvar med en akseptabel brukspolicy.
En proxy for innholdsfiltrering støtter ofte brukerautentisering for å kontrollere nettilgang. Den produserer også logger, enten for å gi detaljert informasjon om nettadressene som spesifikke brukere har fått tilgang til, eller for å overvåke statistikk om båndbredden som brukes. Den kan også kommunisere med demonbasert og/eller ICAP-basert antivirusprogramvare for å sikre sikkerhet mot virus og annen skadelig programvare før den kommer inn i nettverket ved å skanne innkommende innhold i sanntid.
Ulike arbeidsplasser, skoler og universiteter begrenser nettsteder og nettjenester som er tilgjengelige på deres anlegg. Myndighetene sensurerer også uønsket innhold. Dette kan gjøres med en spesialisert proxy, kalt et "innholdsfilter" (det finnes både gratis og betalte kommersielle løsninger), eller ved å bruke en cache-utvidelsesprotokoll som ICAP, som tillater utvidelser til en åpen cache-arkitektur.
Ironisk nok inkluderer nettstedene som vanligvis brukes av studenter til å omgå filtre og blokkering av tilgang til innhold ofte en proxy som brukeren kan få tilgang til nettstedene filteret prøver å blokkere.
Det er flere måter å filtrere forespørsler på, for eksempel en "svarteliste" over URL-er eller DNS, et regulært uttrykk for URL-er, MIME (standard for klassifisering av ulike typer informasjon) eller filtrering av innhold etter nøkkelord. Noen produkter implementerer teknikker for innholdsanalyse for å prøve å kategorisere leverandørene sine basert på retningslinjer som vanligvis brukes av de ulike kategoriene. De såkalte svartelistene leveres og administreres ofte av selskaper som driver med nettfiltrering, ofte gruppert i kategorier (pornografi, gambling, shopping, sosiale nettverk, etc.)
Forutsatt at den forespurte URL-en er akseptabel, blir innholdet deretter hentet av proxyen. På dette tidspunktet kan et dynamisk filter brukes på returbanen. For eksempel kan JPEG-filer blokkeres basert på hudtonetreff, eller språkfiltre kan dynamisk oppdage uønsket språk. Hvis innholdet avvises, vil en HTTP-forespørselsfeilmelding bli videresendt til forespørselen.
De fleste nettfiltreringsselskaper bruker roboter som, når de surfer på internett, vurderer sannsynligheten for at et innhold er en bestemt type. Den resulterende databasen korrigeres deretter med manuelt arbeid basert på kjente forespørsler/klager eller feil i innholdsbindingsalgoritmen.
Noen proxyer skanner utgående innhold (f.eks. for å forhindre tap av data).
Filtrering av krypterte dataNettfiltreringsfullmakter er ikke i stand til å peer inn i sikre HTTP-transaksjoner, forutsatt at Transport Layer Security (SSL / TLS)-kjeden ikke har blitt tuklet med.
SSL/TLS-protokollen er avhengig av pålitelige sertifikatmyndigheter. På en arbeidsplass der klienten administreres av organisasjonen, kan tillit gis til et sertifikat hvis private nøkkel er kjent for proxyen. Av denne grunn installeres et sertifikat generert av proxyen i nettleserens sertifiseringsinstansliste av det tekniske personalet.
I disse situasjonene blir proxy-parsing av innholdet i en SSL/TLS-transaksjon mulig. Det er som om fullmektigen utførte et mann-i-midten ti-angrep, men tillatt av klienten på grunn av et autorisasjonssertifikat som eies av fullmektigen.
Omgå filtre og sensurHvis målserveren filtrerer innhold basert på kilden til forespørselen, kan bruk av en proxy omgå dette filteret. For eksempel kan en server som bruker geolokaliseringen til IP-adressen for å begrense omfanget av tjenestene sine til visse land, logge på med en proxy-server som ligger i et av landene den har tilgang til.
Nettfullmakter er det vanligste middelet for å omgå myndighetenes sensur, selv om ikke mer enn 3 % av internettbrukerne bruker verktøy til dette formålet [4] .
I noen tilfeller kan brukere omgå proxyer hvis filtre bruker "svartelister" ved å bruke spesielle tjenester for å endre informasjonen mottatt av proxyen til å "tro" at de ikke er svartelistet [5] .
Tilgang og avlyttingProxyer kan installeres for å fange opp data om flyten mellom klientdatamaskiner og nettet. Alt innhold som sendes - inkludert passord sendt og informasjonskapsler som brukes - kan fanges opp og analyseres av proxyen. Av denne grunn må passord for nettbaserte tjenester (som webmail og bank) alltid utveksles gjennom en kryptografisk sikret forbindelse som SSL. Med proxy chaining som ikke avslører data om den opprinnelige rekvirenten, er det mulig å skjule aktiviteter fra øynene til målbrukeren. Det er imidlertid flere spor igjen på de mellomliggende trinnene, som kan brukes til å spore brukeraktiviteter. Hvis retningslinjene og administratorene til disse andre proxyene er ukjente, kan brukeren bli offer for en falsk følelse av sikkerhet bare fordi disse detaljene ikke er synlige for ham. Det som er mer en ulempe enn en risiko er at proxy-brukere kan bli blokkert av enkelte nettsteder som blokkerer IP-adresser fra proxyer som er kjent for å ha "forstyrret" nettstedet. Sprett mellom flere proxyer kan brukes for å opprettholde personvernet.
En hurtigbufferproxy øker betydelig hastighet på tjenesteforespørsler ved å returnere lagret innhold fra en tidligere forespørsel (som også kan ha blitt gjort av andre klienter).
Bufferproxyene opprettholder lokale kopier av ressursene som forespørres oftest, slik at store selskaper kan redusere trafikken som utføres betydelig (derfor båndbredden som brukes og følgelig kostnader og tid). De fleste Internett-leverandører (Internet Service Providers) og store organisasjoner (stor betyr at mange ansatte har trafikk) har en bufferproxy.
Caching proxyer var den første typen proxy implementert.
En proxy som er designet for å redusere problemer eller forringelser (lenker som ikke lenger er aktive) relatert til spesifikke koblinger er en Performance Enhancing Proxy (PEP). Disse brukes vanligvis for å forbedre TCP-ytelsen i nærvær av betydelige forespørsels-/svartider eller høyt pakketap (som trådløse nettverk eller mobiltelefonnettverk) eller svært asymmetriske koblinger som har svært forskjellige opp- og nedlastingshastigheter. PEP-er kan gjøre mer effektiv bruk av nettverket, for eksempel ved å slå sammen TCP ACK-er eller komprimere data sendt på applikasjonslaget [6] .
En annen viktig bruk av proxy-serveren er å redusere kostnadene for maskinvare. En organisasjon kan ha mange systemer på samme nettverk eller under kontroll av en enkelt server, noe som forbyr en enkelt Internett-tilkobling for hvert system. I disse tilfellene kan de enkelte systemene kobles til en proxy-server og proxy-serveren kobles til hovedserveren.
En oversettelsesproxy er en proxy-server som brukes til å administrere og optimalisere flerspråklige nettsteder som er globalt konsistente og av reell interesse lokalt.
Trafikk fra det globale publikumet rutes gjennom oversettelsesproxyen til det opprinnelige nettstedet. Svaret, preget av språket på den opprinnelige nettsiden, erstattes av en oversatt versjon når den går gjennom proxyen igjen. Oversettelsen kan enten være maskinoversettelse eller oversettelse utført av tolker, samt en kombinasjon av begge. Ulike implementeringer av oversettelsesproxyer har forskjellige muligheter: noen tillater ytterligere tilpasning av kildenettstedet til et lokalt publikum, for eksempel å ekskludere kildeinnholdet eller erstatte det med lokalt innhold.
En anonym proxy-server tjener vanligvis det formål å gjøre nettsurfing anonym.
Destinasjonsserveren (den som vil svare på forespørselen) mottar forespørsler fra de "anonymiserende" webserverne uten derfor å motta informasjon fra den forespørende brukeren. Denne informasjonen mottas imidlertid av proxyen og dette innebærer et visst nivå av tillit til del av brukeren. Noen av disse serverne er finansiert gjennom annonsering ved å presentere brukeren for ulike annonser.
Noen anonymiseringsservere kan videresende datapakker med overskrifter som HTTP_VIA, HTTP_X_FORWARDED_FOR eller HTTP_FORWARDED, som kan avsløre klientens IP-adresse. Andre, kjent som " eliten av anonymiseringsfullmakter" eller " høy anonymitet ", inkluderer bare REMOTE_ADDR-overskriften med IP-adressen til proxy-serveren, slik at det ser ut til at proxy-serveren er klienten. Imidlertid kan et nettsted mistenke at en proxy brukes hvis klienten sender pakker som inkluderer informasjonskapsler fra et tidligere besøk som ikke brukte serveren med høy anonymitet: sletting av informasjonskapsler og muligens tømme bufferen er problemet løst.
Blant proxyene som er kjent for å gi anonymitet, er det også Distorting Proxies, som overfører en tilfeldig IP, forskjellig fra den som anmoder, og endrer eller legger til noen overskrifter. De blir vanligvis forvekslet med vanlige anonymiseringsfullmakter (ikke høy anonymitet), men gir større beskyttelse, ettersom webserveren ser en brukers forespørsler fra forskjellige IP-adresser.
Det finnes programmer som, basert på peer-to-peer -teknologi, gir "anonymiserende" proxy-funksjonalitet (en proxy som ikke videresender klientens IP-adresse til serveren).
For å se om proxy-serveren tillater anonym surfing, dvs. hvis den ikke avslører klientens IP til noen annen server på nettverket, er det greit å gjøre en " Who-is ". Nettstedets server for Who-is må returnere IP-en til proxy-serveren; hvis den derimot gjør en annen IP synlig, er det antagelig klientens (bortsett fra partiske proxyer), og testen mislyktes.
Annonsører bruker proxy-servere for validering, kontroll og kvalitetssikring av geografiske annonser. En "geolocation"-annonsetjener sjekker IP-adressen til den opprinnelige forespørselen og bruker en geo-IP-database for å bestemme den geografiske opprinnelsen til forespørslene [7] . Bruk av en proxy-server som er fysisk plassert i et bestemt land eller by, gir annonsører muligheten til å levere annonser valgt basert på dem.
En proxy kan holde den interne nettverksstrukturen til et selskap skjult hvis en oversettelse av nettverksadresser brukes, og dermed øke sikkerheten [8] . Dette gjør forespørsler fra maskiner og brukere på det lokale nettverket anonyme.
En feil konfigurert proxy kan isolere deg fra internett [3] .
Ressurser på tvers av domenerProxyer lar nettsteder sende nettforespørsler til eksternt vertsbaserte ressurser (som bilder, musikkfiler osv.) når restriksjoner på tvers av domener forbyr nettstedet fra å koble direkte til eksterne domener.
Proxyer lar også nettleseren sende nettforespørsler til eksternt vert innhold på vegne av et nettsted, når begrensninger på tvers av domener (på plass for å beskytte nettsteder mot ting som datatyveri) forbyr nettleseren å få direkte tilgang til domenene eksternt.
Ikke alle protokoller er "proxable": de beste er HTTP og FTP, mens andre (som H323 brukt til live videostreaming) ikke er proxable; Derfor når nettverkskonfigurasjonen tillater deg å koble til internett kun via en proxy, kan åpenbart mange typer applikasjoner basert på protokoller som ikke støttes av proxyen brukes, for eksempel:
Noen av disse applikasjonene har blitt modifisert for å kunne sende trafikken deres innkapslet i HTTP og derfor være i stand til å formidle den i en proxy.
Nettfullmektiger videresender HTTP -forespørsler som kommer fra klienten som vanlige HTTP-forespørsler (den eneste forskjellen er at de må kalles opp med hele URL-en i stedet for den relative banen [9] ). Noen nettproxyer lar deg vilkårlig angi videresending av data over tilkoblingen (via HTTP CONNECT - metoden for HTTP-tunneling ). For eksempel er det vanlig policy å begrense HTTPS -datatrafikk kun over port 443.
Noen eksempler på proxy-servere:
Apache (med mod_proxy eller Traffic Server), HAProxy, IIS konfigurert som en proxy (for eksempel med Application Request Routing), Nginx, Privoxy, Squid, Varnish ( kun omvendt proxy ), WinGate, Ziproxy, Tinyproxy, RabbIT4 og Polipo.
SOCKS -protokollen implementerer derimot en form for proxy på transportlaget , som ganske enkelt videresender TCP- og UDP -forbindelser mellom klient og server, uten å analysere applikasjonsprotokollene. Det finnes to typer Socks-protokoller:
ARP - proxy er en funksjon som kan brukes på enkelte rutere for å lage bestemte konfigurasjoner.
SIP- proxyen er en komponent i en VoIP- eller multimediakommunikasjonsarkitektur , som brukes som et kontaktpunkt for terminaler som må kommunisere med hverandre, og i noen tilfeller som en reell proxy mellom terminalene. [10]
Også kjent som Intercepting proxy , inline proxy eller forceret proxy , en transparent proxy fanger opp kommunikasjon på nettverksnivå (lag 3 av ISO / OSI-stakken) uten å kreve noen klientkonfigurasjon. Klienter trenger ikke å være klar over eksistensen av denne proxyen. Det er vanligvis allokert mellom klienter og Internett ved å utføre noen gateway- eller ruterfunksjoner. [11]
RFC 2616 (Hypertext Transfer Protocol-HTTP / 1.1) tilbyr standarddefinisjoner:
"En gjennomsiktig proxy er en proxy som ikke endrer forespørsler eller svar utover det som er nødvendig for autentisering og identifikasjon"
"En ikke-gjennomsiktig proxy er en proxy som endrer forespørsler og/eller svar for å gi noen tilleggstjenester til brukeragenten "
TCP Intercept er en trafikkfiltreringsfunksjon som beskytter TCP-servere mot TCP SYN flomangrep .
FormålAvskjærende proxyer brukes ofte i bedrifter for å håndheve brukspolicyer.
De brukes også av ISPer (Internet Service Providers) i enkelte land for å spare opplastingsbåndbredde og forbedre brukernes responstider gjennom caching. Denne prosedyren praktiseres spesielt i land der båndbredden er redusert (for eksempel øyene) eller betalt.
ProblemerÅ avskjære en TCP-tilkobling skaper flere problemer. Først av alt må den opprinnelige mottakerens IP og port kommuniseres til proxyen, og det er ikke alltid mulig (for eksempel når gateway og proxy er plassert på forskjellige verter).
Det er en klasse av angrep på tvers av nettsteder som avhenger av at visse proxyer ikke sjekker eller har tilgang til informasjon om den opprinnelige mottakeren. Dette problemet kan løses ved å bruke programvare på pakkenivå og applikasjonsnivå som er i stand til å kommunisere denne informasjonen mellom pakkebehandleren og proxyen.
Avlyttingen skaper også problemer for HTTP-autentisering, spesielt tilkoblingsorientert autentisering som NTLM siden klientens nettleser tror den kommuniserer med en server i stedet for en proxy. Dette kan forårsake problemer når en avskjærende proxy krever autentisering og brukeren kobler til et nettsted som også krever autentisering.
Til slutt kan avskjæring av tilkoblinger skape problemer med HTTP-cacher ettersom noen forespørsler og svar blir "ikke-cachebare" fra en delt cache.
ImplementeringsmetoderPå servere der ruteren eller brannmuren er på samme vert som proxyen, kan kommunikasjon av den opprinnelige destinasjonsinformasjonen gjøres på flere måter, for eksempel Microsoft TMG eller WinGate.
Avlytting kan også gjøres ved hjelp av Ciscos WCCP (Web Cache Control Protocol). Denne proprietære protokollen ligger i ruteren og konfigureres av cachen, slik at cachen kan bestemme hvilke porter og hvilken trafikk som sendes til dem via transparent omdirigering fra ruteren. Denne omdirigeringen kan gjøres på to måter: GRE-tunnelering (på nivå 3 av ISO / OSI-stakken) eller MAC-omskriving (på nivå 2 av ISO / OSI-stakken).
Når trafikken når selve proxyen, gjøres avlytting vanligvis via Network Address Translation ( NAT ). Disse innstillingene er usynlige for klientens nettleser, men gjør proxyen synlig for nettserveren og andre enheter på den internettvendte siden av proxyen.
Nylig implementerte Linux og noen versjoner av BSD TPROXY (transparent proxy) som utfører en gjennomsiktig avskjæring på IP-nivå (nivå 3 av ISO / OSI-stakken) og " spoofing " av utgående trafikk, skjuler IP-adressen til proxyen fra andre nettverksenheter.
Hvordan oppdage demDet er flere metoder som kan brukes til å oppdage tilstedeværelsen av en avskjærende proxy-server:
En CGI-proxy består av en nettproxy som, etter å ha lagt inn URL -er via et nettskjema i brukerens nettleser, behandler forespørslene og returnerer resultatene alltid i brukerens nettleser, slik at de kan surfe relativt anonymt. Det finnes flere CGI-proxyer, og de fleste er laget av Glyphe eller PHProxy og begge skrevet på PHP-språk.
Et proxy-suffiks lar en bruker få tilgang til nettinnhold ved å legge til («i append») proxy-navnet til URL-en til det forespurte innholdet (eksempel: "www.mipiacitu.it.Suffix.Proxy.com").
De er enklere å bruke enn vanlige proxyer, men tilbyr ikke samme grad av anonymitet - deres eneste formål er å omgå filtre. Bruken av dem blir dårligere på grunn av stadig mer avanserte nettfiltre.
Tor , er et system som tar sikte på å tillate anonymitet på nettet.
Tor-klienten (programvare) ruter internetttrafikk gjennom et nettverk av "frivillige" servere spredt over hele kloden med sikte på å skjule en brukers plassering eller "bruk" av internett (som i tilfelle analysetrafikk eller nettverksovervåking) . Bruk av tor gjør det mye vanskeligere å spore internettaktivitet (nettsidebesøk, nettposter, direktemeldinger og andre former for kommunikasjon) ved å spore brukeren. Målet er å beskytte brukerens frihet og privatliv ved å la dem ikke bli overvåket når de utfører aktiviteter på internett.
Løk - ruting er basert på dekrypteringens lagdelte natur: de originale dataene krypteres og krypteres på nytt flere ganger, og sendes deretter til påfølgende noder i tor-nettverket, som hver dekrypterer et lag før dataene sendes til det neste og ved slutt, til destinasjonen. Dette reduserer sjansen for at data blir dekryptert under transport. [15]
Tor-klienten er gratis programvare og det er ingen ekstra kostnader for nettverkstilgang.
Det anonyme I2P -nettverket er et proxy-nettverk rettet mot å gi anonymitet på nettet. Implementerer hvitløksruting som er en forbedret variant av tor onion routing. Den er fullt distribuert og fungerer ved å kryptere all kommunikasjon på ulike nivåer og overføre dem gjennom et nettverk av rutere administrert av frivillige på forskjellige steder rundt om i verden. For å holde kilden til informasjonen skjult tilbyr I2P «sensurmotstand». I2Ps mål er å beskytte brukernes personlige frihet, deres privatliv og gi dem muligheten til å utføre private aktiviteter.
Hver I2P-bruker administrerer en I2P-ruter på datamaskinen sin (som faktisk er en node på nettverket). Hver I2P-ruter har ansvaret for å søke etter andre noder og etablere anonyme tunneler gjennom dem.
I2P gir proxyer for alle "proxable" protokoller (HTTP, IRC, SOCKS.)
Programvaren er gratis og åpen kildekode , og nettverket er gratis uten brukskostnader.
Mesteparten av tiden refererer begrepet proxy til en nivå 7-applikasjon av ISO / OSI-stakken . Det er imidlertid andre måter å "proxing" på: en av dem er gjennom lag 3 (av ISO / OSI-stakken) som er kjent som Network Address Translation ( NAT ). Forskjellene mellom disse to teknologiene for å lage proxyer er nivået de opererer på og konfigurasjonsprosedyren til klientene og serverne de bruker.
Når du konfigurerer klienten for Layer 3 Proxy (NAT) trenger du bare å konfigurere gatewayen. For nivå 7 må destinasjonen for pakkene som klienten genererer alltid være proxy-serveren, som leser hver pakke og finner den virkelige destinasjonen.
NAT fordi den opererer på lag 3 krever færre ressurser enn lag 7-proxyen, men er samtidig mindre fleksibel.
En DNS-proxyserver tar over forespørsler om oppløsning av DNS-adresser fra et (vanligvis lokalt) nettverk og videresender dem til en Internett-domenenavnserver. Den kan også bufre DNS-poster.