Välityspalvelin
Tietotekniikassa ja televiestinnässä välityspalvelin tarkoittaa palvelintyyppiä , joka toimii välittäjänä asiakkaiden pyyntöille , jotka etsivät resursseja muilta palvelimilta ja erottavat pääsyn verkkoon selaimesta . Asiakas muodostaa yhteyden välityspalvelimeen ja pyytää jotakin palvelua (kuten tiedostoa, verkkosivua tai muuta resurssia, joka on saatavilla toisella palvelimella), ja jälkimmäinen arvioi ja suorittaa pyynnön yksinkertaistaakseen ja hallitakseen sen monimutkaisuutta. Välityspalvelimet keksittiin rakenteen ja kapseloinnin lisäämiseksi hajautetuille järjestelmille [1] .
Tähän mennessä välityspalvelimia käytetään useisiin tarkoituksiin, kuten:
- Anna nimettömänä selata Internetiä (esim. TOR -järjestelmä )
- Tallenna paikallinen kopio pyydetyistä web-objekteista, jotta ne voidaan toimittaa uudelleen ilman muita käyttöoikeuksia kohdepalvelimille ( HTTP-välityspalvelin )
- Luo "puolustusmuurin" ( palomuuri ) kohti verkkoa, joka toimii suodattimena saapuville ja lähteville yhteyksille ja valvoo, ohjaa ja muokkaa sisäistä liikennettä
Tyypit
Välityspalvelin voi sijaita paikallisesti käyttäjän tietokoneessa tai missä tahansa sen ja Internetin kohdepalvelinten välillä.
- Välityspalvelinta, joka lähettää pyynnöt ja vastaukset niitä muuttamatta, kutsutaan yhdyskäytäväksi tai tunnelointivälityspalvelimeksi
- Välityspalvelin on Internetiin päin oleva välityspalvelin, jota käytetään tietojen hakemiseen valtavasta valikoimasta resursseja (yleensä mistä tahansa Internetistä).
- Käänteinen välityspalvelin tai käänteinen välityspalvelin on myös Internetin puolella, ja sitä käytetään etupäässä yksityisen verkon palvelimien pääsyn hallintaan ja suojaamiseen. Sillä on myös erilaisia tehtäviä, kuten kuormituksen tasapainotus, todennus, salauksen purku ja välimuisti
- Välimuistipalvelin, joka tallentaa kaikki salaamattomat tiedot tietovälineelle ja toistaa pyynnön hetkellä muistissa olevat tiedot, mikä lyhentää latausaikoja
- Läpinäkyvä välityspalvelin kaappaa kaikki verkossa olevat tiedot ja pysyy käyttäjille näkymättömänä [2]
Avaa välityspalvelimet
Avoimet välityspalvelimet ovat edelleenlähetyspalvelimia, jotka ovat kaikkien Internetin käyttäjien käytettävissä. Gordon Lyon (Internet-tietoturvaasiantuntija, avoimen lähdekoodin ohjelmistojen ohjelmoija, kirjoittaja ja hakkeri) arvioi, että Internetissä on satoja tuhansia "avoimia" välityspalvelimia [3] . Avoimen ja anonyymin välityspalvelimen avulla käyttäjät voivat piilottaa IP-osoitteensa selaamalla Internetiä tai käyttämällä muita Internet-palveluita. Anonymiteetilla on kuitenkin eri tasoja, kuten myös "temppuja", joilla asiakas saa paljastamaan itsensä välityspalvelimen käyttämisestä huolimatta (käytä tiettyä kieliasetusta, vieraile samoilla sivustoilla usein sekä nimettömänä että "avoimina", omistaen tiettyjä selainlaajennuksia / laajennukset muiden sijaan ja selain-/käyttöjärjestelmäversioiden ja muiden ohjelmistojen yhdistelmä ovat määrääviä tekijöitä "anonyymien" käyttäjien tunnistamisessa - katso Laitteen sormenjälki ).
Kulunvalvonta (välimuisti)
Jotkut välityspalvelimet toteuttavat kirjautumisvaatimuksen. Suurissa yrityksissä valtuutettujen käyttäjien on kirjauduttava sisään ennen kuin he voivat käyttää Internetiä. Tällä tavalla työnantajat voivat seurata työntekijöiden Internetin käyttöä.
Käyttää
Valvonta ja suodatus
Sisällönhallinta
Sisällönsuodatusverkkovälityspalvelin mahdollistaa sisällön hallinnollisen hallinnan, joka voidaan siirtää yhteen tai molempiin suuntiin välityspalvelimen kautta. Sitä käytetään yleisesti sekä kaupallisissa että ei-kaupallisissa organisaatioissa (erityisesti kouluissa) sen varmistamiseksi, että Internetin käyttö on hyväksyttävän käyttöpolitiikan mukaista.
Sisällönsuodatusvälityspalvelin tukee usein käyttäjän todennusta verkkokäytön hallitsemiseksi. Se myös tuottaa lokeja joko antamaan yksityiskohtaisia tietoja URL-osoitteista, joita tietyt käyttäjät ovat käyttäneet, tai seuratakseen tilastoja käytetystä kaistanleveydestä. Se voi myös kommunikoida demonipohjaisten ja/tai ICAP-pohjaisten virustentorjuntaohjelmistojen kanssa varmistaakseen suojan viruksilta ja muilta haittaohjelmilta ennen kuin ne tulevat verkkoon tarkistamalla saapuvan sisällön reaaliajassa.
Useat työpaikat, koulut ja yliopistot rajoittavat verkkosivujen ja verkkopalvelujen saatavuutta tiloissaan. Hallitukset sensuroivat myös ei-toivottua sisältöä. Tämä voidaan tehdä erityisellä välityspalvelimella, jota kutsutaan "sisältösuodattimeksi" (on olemassa sekä ilmaisia että maksullisia kaupallisia ratkaisuja), tai käyttämällä välimuistin laajennusprotokollaa, kuten ICAP, joka mahdollistaa laajennukset avoimeen välimuistiarkkitehtuuriin.
Ironista kyllä, verkkosivustot, joita opiskelijat käyttävät yleisesti suodattimien ohittamiseen ja sisällön pääsyn estoon, sisältävät usein välityspalvelimen, josta käyttäjä voi käyttää verkkosivustoja, joita suodatin yrittää estää.
Pyyntöjä voidaan suodattaa useilla tavoilla, kuten "musta lista" URL-osoitteista tai DNS, URL-osoitteiden regex , MIME (standardi erityyppisten tietojen luokitteluun) tai sisällön suodattaminen avainsanan mukaan. Jotkut tuotteet käyttävät sisällönanalyysitekniikoita yrittääkseen luokitella toimittajansa eri luokkien yleisesti käyttämien ohjeiden perusteella. Niin sanottuja mustia listoja tarjoavat ja hallinnoivat usein verkkosuodatusta käsittelevät yritykset, jotka on usein ryhmitelty luokkiin (pornografia, uhkapelit, ostokset, sosiaaliset verkostot jne.)
Olettaen, että pyydetty URL-osoite on hyväksyttävä, välityspalvelin hakee sisällön. Tässä vaiheessa paluupolulle voidaan käyttää dynaamista suodatinta. Esimerkiksi JPEG-tiedostot voidaan estää ihon sävyn vastaavuuksien perusteella, tai kielisuodattimet voivat havaita dynaamisesti ei-toivotun kielen. Jos sisältö hylätään, HTTP-pyynnön virheviesti välitetään pyynnön esittäjälle.
Useimmat verkkosuodatusyritykset käyttävät robotteja, jotka selatessaan Internetiä arvioivat todennäköisyyttä, että sisältö on tietyntyyppistä. Tuloksena oleva tietokanta korjataan sitten manuaalisella työllä tunnettujen pyyntöjen/valitusten tai sisällönsidontaalgoritmin virheiden perusteella.
Jotkut välityspalvelimet skannaavat lähtevän sisällön (esim. tietojen katoamisen estämiseksi).
Salattujen tietojen suodatus
Web-suodatuksen välityspalvelimet eivät pysty vertailemaan suojattuja HTTP-tapahtumia olettaen, että Transport Layer Securityn (SSL / TLS) luottamusketjua ei ole peukaloitu.
SSL/TLS-protokolla käyttää luotettavia varmenneviranomaisia. Työpaikalla, jossa asiakasta hallinnoi organisaatio, luottamus voidaan myöntää varmenteelle, jonka yksityinen avain on välityspalvelimen tiedossa. Tästä syystä tekninen henkilökunta asentaa välityspalvelimen luoman varmenteen selaimen varmentajaluetteloon.
Näissä tilanteissa välityspalvelin jäsentää SSL/TLS-tapahtuman sisällön. Ikään kuin välityspalvelin tekisi välityspalvelimen hyökkäyksen, mutta asiakas salli sen välityspalvelimen omistaman valtuutusvarmenteen vuoksi.
Ohita suodattimet ja sensuuri
Jos kohdepalvelin suodattaa sisältöä pyynnön lähteen perusteella, välityspalvelimen käyttäminen voi ohittaa tämän suodattimen. Esimerkiksi palvelin, joka käyttää IP-osoitteen maantieteellistä sijaintia rajoittaakseen palveluidensa laajuuden tiettyihin maihin, voi kirjautua sisään käyttämällä välityspalvelinta, joka sijaitsee jossakin maassa, johon sillä on pääsy.
Web-välityspalvelimet ovat yleisin keino kiertää hallituksen sensuuria, vaikka vain 3 % Internetin käyttäjistä käyttää työkaluja tähän tarkoitukseen [4] .
Joissakin tapauksissa käyttäjät voivat ohittaa välityspalvelimet, joiden suodattimet käyttävät "mustia listoja", käyttämällä erikoispalveluita muuttamaan välityspalvelimen vastaanottamia tietoja "uskomaan", että ne eivät ole mustalla listalla [5] .
Pääsy ja salakuuntelu
Välityspalvelimet voidaan asentaa sieppaamaan dataa asiakastietokoneiden ja verkon välillä. Kaikki lähetetty sisältö - mukaan lukien lähetetyt salasanat ja käytetyt evästeet - voidaan kaapata ja analysoida välityspalvelimella. Tästä syystä verkkopalveluiden (kuten webmail ja pankki) salasanat on aina vaihdettava salaussuojatun yhteyden, kuten SSL:n, kautta. Välityspalvelinketjutuksella, joka ei paljasta tietoja alkuperäisestä pyytäjästä, on mahdollista piilottaa toiminnot kohdekäyttäjän silmiltä. Väliportaisiin jää kuitenkin useita jälkiä, joiden avulla voidaan seurata käyttäjien toimintaa. Jos näiden muiden välityspalvelinten käytännöt ja järjestelmänvalvojat ovat tuntemattomia, käyttäjä voi joutua väärän turvallisuuden tunteen uhriksi vain siksi, että nämä tiedot eivät näy hänelle. Enemmän haittaa kuin riskiä on, että välityspalvelimen käyttäjät voivat joutua estämään tietyt verkkosivustot, jotka estävät IP-osoitteita välityspalvelimelta, jonka tiedetään "häiriöineen" sivustoa. Pomppimista useiden välityspalvelinten välillä voidaan käyttää yksityisyyden säilyttämiseen.
Suorituskyvyn parantaminen
Välimuistipalvelin nopeuttaa palvelupyyntöjä merkittävästi palauttamalla tallennettua sisältöä aikaisemmasta pyynnöstä (jonka ovat saattaneet tehdä myös muut asiakkaat).
Välimuistipalvelimet ylläpitävät paikallisia kopioita useimmin pyydetyistä resursseista, jolloin suuret yritykset voivat merkittävästi vähentää kuljetettavaa liikennettä (siis käytettyä kaistanleveyttä ja siten kustannuksia ja aikaa). Useimmilla Internet-palveluntarjoajilla (Internet Service Providers) ja suurilla organisaatioilla (suuri tarkoittaa, että monet työntekijät kuljettavat liikennettä) on välimuistipalvelin.
Välimuistipalvelimet olivat ensimmäinen välityspalvelintyyppi.
Välityspalvelin, joka on suunniteltu vähentämään tiettyihin linkkeihin liittyviä ongelmia tai huonontumista (linkit, jotka eivät ole enää aktiivisia), on PEP (Performance Enhancing Proxy). Näitä käytetään yleensä parantamaan TCP-suorituskykyä huomattavien pyyntö-/vastausaikojen tai suuren pakettihäviön (kuten langattomat tai matkapuhelinverkot) tai erittäin epäsymmetristen linkkien yhteydessä, joilla on hyvin erilaiset lataus- ja latausnopeudet. PEP:t voivat hyödyntää verkkoa tehokkaammin esimerkiksi yhdistämällä TCP ACK:it tai pakkaamalla sovelluskerroksella lähetettyä dataa [6] .
Toinen tärkeä välityspalvelimen käyttötarkoitus on vähentää laitteiston kustannuksia. Organisaatiolla voi olla useita järjestelmiä samassa verkossa tai yhden palvelimen hallinnassa, mikä estää yksittäisen Internet-yhteyden jokaisessa järjestelmässä. Näissä tapauksissa yksittäiset järjestelmät voidaan liittää välityspalvelimeen ja välityspalvelin pääpalvelimeen.
Käännös
Käännösvälityspalvelin on välityspalvelin, jota käytetään monikielisten verkkosivustojen hallintaan ja optimointiin, jotka ovat maailmanlaajuisesti yhdenmukaisia ja kiinnostavat paikallisesti.
Liikenne maailmanlaajuiselta yleisöltä ohjataan käännösvälityspalvelimen kautta alkuperäiselle verkkosivustolle. Vastaus, jolle on ominaista alkuperäisen verkkosivuston kieli, korvataan käännetyllä versiolla, kun se kulkee uudelleen välityspalvelimen läpi. Käännös voi olla joko konekäännös tai tulkkien suorittama käännös sekä molempien yhdistelmä. Käännösvälityspalvelinten eri toteutuksissa on erilaiset ominaisuudet: jotkut mahdollistavat lähdesivuston lisäräätälöinnin paikalliselle yleisölle, esimerkiksi sulkemalla pois lähdesisällön tai korvaamalla sen paikallisella sisällöllä.
Anonyymi pääsy verkkopalveluihin
Anonyymi välityspalvelin palvelee yleensä verkkoselailun anonyymiä tarkoitusta.
Kohdepalvelin (se, joka vastaa pyyntöön) vastaanottaa pyynnöt "anonymisoivilta" web-palvelimilta saamatta sen vuoksi tietoja pyynnön esittäneeltä käyttäjältä. Nämä tiedot kuitenkin vastaanottaa välityspalvelin, mikä edellyttää tietynlaista luottamusta palvelimeen. osa käyttäjää. Osa näistä palvelimista rahoitetaan mainonnan kautta esittämällä käyttäjälle erilaisia mainoksia.
Jotkut anonymisointipalvelimet voivat lähettää edelleen datapaketteja, joissa on otsikot, kuten HTTP_VIA, HTTP_X_FORWARDED_FOR tai HTTP_FORWARDED, jotka voivat paljastaa asiakkaan IP-osoitteen. Toiset, jotka tunnetaan nimellä " anonymisointivälityspalvelinten eliitti " tai " korkea anonymiteetti ", sisältävät vain REMOTE_ADDR-otsikon, jossa on välityspalvelimen IP-osoite, jolloin vaikuttaa siltä, että välityspalvelin on asiakas. Sivusto voi kuitenkin epäillä välityspalvelimen käyttöä, jos asiakas lähettää paketteja, jotka sisältävät evästeitä edelliseltä vierailulta, joka ei käyttänyt korkean anonymiteetin palvelinta: poistamalla evästeet ja mahdollisesti tyhjentämällä välimuisti ongelma on ratkaistu.
Nimettömyyttä tarjoavien välityspalvelinten joukossa on myös vääristäviä välityspalvelimia, jotka lähettävät satunnaisen IP-osoitteen, joka poikkeaa pyytäjän IP-osoitteesta ja muokkaa tai lisää otsikoita. Ne erehtyvät yleensä yleisiin anonymisointivälityspalvelimiin (ei korkea anonymiteetti), mutta ne tarjoavat paremman suojan, koska verkkopalvelin näkee käyttäjän pyynnöt eri IP-osoitteista.
On olemassa ohjelmia, jotka peer to peer -teknologiaan perustuvat anonymisoivat välityspalvelintoimintoa (välityspalvelin, joka ei välitä asiakkaan IP-osoitetta palvelimelle).
Jos välityspalvelin sallii anonyymin selaamisen, eli jos se ei paljasta asiakkaan IP-osoitetta jollekin muulle verkon palvelimelle, on hyvä tehdä " Kuka on ". Who-is-sivustopalvelimen on palautettava välityspalvelimen IP-osoite; jos se toisaalta näyttää erilaisen IP-osoitteen, oletettavasti se on asiakkaan (paitsi puolueelliset välityspalvelimet), ja testi epäonnistui.
Mainokset
Mainostajat käyttävät välityspalvelimia maantieteellisesti sijoitettujen mainosten validointiin, valvontaan ja laadunvarmistukseen. "Maantieteellinen sijainti" -mainospalvelin tarkistaa lähettävän pyynnön IP-osoitteen ja käyttää geo-IP-tietokantaa pyyntöjen maantieteellisen alkuperän määrittämiseen [7] . Jos käytät välityspalvelinta, joka sijaitsee fyysisesti tietyssä maassa tai kaupungissa, mainostajat voivat näyttää niiden perusteella valittuja mainoksia.
Turvallisuus
Välityspalvelin voi pitää yrityksen sisäisen verkkorakenteen piilossa, jos käytetään verkko-osoitteiden käännöstä, mikä lisää sen turvallisuutta [8] . Tämä tekee paikallisverkon koneiden ja käyttäjien pyynnöt anonyymeiksi.
Väärin määritetty välityspalvelin voi eristää sinut Internetistä [3] .
Resurssit eri verkkotunnuksissa
Välityspalvelinten avulla verkkosivustot voivat tehdä verkkopyyntöjä ulkoisesti isännöityihin resursseihin (kuten kuviin, musiikkitiedostoihin jne.), kun verkkotunnusten väliset rajoitukset estävät verkkosivustoa linkittämästä suoraan ulkoisiin verkkotunnuksiin.
Välityspalvelimet antavat selaimelle myös mahdollisuuden tehdä verkkopyyntöjä ulkoisesti isännöidylle sisällölle verkkosivuston puolesta, kun verkkotunnusten väliset rajoitukset (joilla on tarkoitus suojata sivustoja esimerkiksi tietovarkauksilta) estävät selainta käyttämästä suoraan verkkotunnuksia.
Välityspalvelintoteutukset
Esipuhe
Kaikki protokollat eivät ole "proxable": parhaat protokollat ovat HTTP ja FTP, kun taas muut (kuten H323, jota käytetään suorana videon suoratoistoon) eivät ole proxable; Siksi, kun verkkokokoonpano sallii yhteyden muodostamisen Internetiin vain välityspalvelimen kautta, ei ilmeisestikään voida käyttää monenlaisia sovelluksia, jotka perustuvat välityspalvelimen tukemiin protokolliin, esimerkiksi:
- Nettipelit
- verkkokamera : kuvien vastaanottaminen ja lähettäminen verkkokameran kautta pikaviestiohjelmien avulla
- selaimet, jotka eivät tue välityspalvelimen määritystä. Tämä on yleistä tietyissä laitteissa, kuten videopelikonsoleissa tai matkapuhelimissa.
- VoIP- palvelut
- tiedostonjakosovelluksia _
Joitakin näistä sovelluksista on muokattu siten, että ne pystyvät välittämään liikenteensä HTTP:hen kapseloituna ja siten välittämään sen välityspalvelimessa.
Web Server Proxy
Web-välityspalvelimet välittävät asiakkaalta tulevat HTTP -pyynnöt normaaleina HTTP-pyyntöinä (ainoa ero on, että niitä on kutsuttava koko URL-osoitteella suhteellisen polun sijaan [9] ). Joidenkin verkkovälityspalvelinten avulla voit määrittää mielivaltaisesti tiedon edelleenlähetyksen yhteyden kautta ( HTTP- tunneloinnin HTTP CONNECT -menetelmän kautta ). Esimerkiksi on yleinen käytäntö rajoittaa HTTPS - dataliikennettä vain portin 443 kautta.
Joitakin esimerkkejä välityspalvelimista:
Apache (jossa mod_proxy tai Traffic Server), HAProxy, välityspalvelimeksi määritetty IIS (esimerkiksi Application Request Routing), Nginx, Privoxy, Squid, Varnish ( vain käänteinen välityspalvelin ), WinGate, Ziproxy, Tinyproxy, RabbIT4 ja Polipo.
SOCKS-protokolla
SOCKS - protokolla puolestaan toteuttaa välityspalvelimen muodon siirtokerroksessa , joka yksinkertaisesti välittää TCP- ja UDP -yhteydet asiakkaan ja palvelimen välillä analysoimatta sovellusprotokollia. Socks-protokollia on kahdenlaisia:
- Socks 4 : voit työskennellä vain TCP-protokollien kanssa, kuten HTTP (Web-selailu), NNTP-uutisryhmäpääsy, IRC;
- Socks 5 : se on edistyneempi kuin edellinen, mikä mahdollistaa myös UDP-protokollien (esim. ICQ) anonymisoinnin.
ARP-välityspalvelin
ARP- välityspalvelin on ominaisuus, jota voidaan käyttää joissakin reitittimissä tiettyjen kokoonpanojen luomiseen.
SIP-välityspalvelin
SIP - välityspalvelin on osa VoIP- tai multimediaviestintäarkkitehtuuria , jota käytetään yhteyspisteenä päätelaitteille, joiden on kommunikoitava keskenään, ja joissakin tapauksissa todellisena välityspalvelimena päätteiden välillä . [10]
Transparent Proxies (Trasparent Proxies)
Läpinäkyvä välityspalvelin, joka tunnetaan myös nimellä Intercepting proxy , inline proxy tai pakotettu välityspalvelin , sieppaa tiedonsiirron verkkotasolla (ISO/OSI-pinon taso 3) ilman, että vaaditaan asiakasmäärityksiä. Asiakkaiden ei tarvitse olla tietoisia tämän välityspalvelimen olemassaolosta. Se jaetaan yleensä asiakkaiden ja Internetin välillä suorittamalla joitain yhdyskäytävä- tai reititintoimintoja. [11]
RFC 2616 (Hypertext Transfer Protocol-HTTP / 1.1) tarjoaa vakiomääritykset:
"Läpinäkyvä välityspalvelin on välityspalvelin, joka ei muokkaa pyyntöjä tai vastauksia enempää kuin on tarpeen todentamiseen ja tunnistamiseen"
"Ei läpinäkyvä välityspalvelin on välityspalvelin, joka muokkaa pyyntöjä ja/tai vastauksia tarjotakseen joitain lisäpalveluita käyttäjäagentille "
TCP Intercept on liikenteen suodatusominaisuus, joka suojaa TCP-palvelimia TCP SYN -tulvahyökkäyksiltä .
Tarkoitus
Sieppausvälityspalvelimia käytetään yleisesti yrityksissä käyttökäytäntöjen pakottamiseksi.
Joissakin maissa Internet-palveluntarjoajat käyttävät niitä myös latauksen kaistanleveyden säästämiseen ja käyttäjien vasteaikojen parantamiseen välimuistin avulla. Tätä menettelyä käytetään erityisesti maissa, joissa kaistanleveyttä on rajoitettu (esimerkiksi saaret) tai maksettu.
Ongelmia
TCP-yhteyden sieppaaminen aiheuttaa useita ongelmia. Ensinnäkin alkuperäisen vastaanottajan IP ja portti on ilmoitettava välityspalvelimelle, eikä se aina ole mahdollista (esimerkiksi kun yhdyskäytävä ja välityspalvelin sijoitetaan eri isännille).
On olemassa joukko sivustojen välisiä hyökkäyksiä, jotka riippuvat siitä, että tietyt välityspalvelimet eivät tarkista alkuperäisen vastaanottajan tietoja tai heillä ei ole pääsyä niihin. Tämä ongelma voidaan ratkaista käyttämällä paketti- ja sovellustason ohjelmistoja, jotka pystyvät välittämään nämä tiedot paketinhallinnan ja välityspalvelimen välillä.
Sieppaus aiheuttaa myös ongelmia HTTP-todennuksen, erityisesti yhteyssuuntautuneen todennuksen, kuten NTLM :n, kanssa, koska asiakkaan selain uskoo kommunikoivan palvelimen kanssa välityspalvelimen sijaan. Tämä voi aiheuttaa ongelmia, kun sieppaava välityspalvelin vaatii todennusta ja käyttäjä muodostaa yhteyden sivustoon, joka myös vaatii todennusta.
Lopuksi, yhteyksien sieppaaminen voi aiheuttaa ongelmia HTTP-välimuistin kanssa, koska jotkin pyynnöt ja vastaukset tulevat "ei-välimuistiin tallennettaviksi" jaetusta välimuistista.
Toteutusmenetelmät
Palvelimissa, joissa reititin tai palomuuri on samassa isännässä kuin välityspalvelin, alkuperäiset kohdetiedot voidaan välittää useilla tavoilla, kuten Microsoft TMG tai WinGate.
Salakuuntelu voidaan tehdä myös käyttämällä Ciscon WCCP:tä (Web Cache Control Protocol). Tämä patentoitu protokolla sijaitsee reitittimessä ja sen konfiguroi välimuisti, jolloin välimuisti voi määrittää, mitkä portit ja mikä liikenne heille lähetetään läpinäkyvän uudelleenohjauksen kautta reitittimestä. Tämä uudelleenohjaus voidaan tehdä kahdella tavalla: GRE-tunnelointi (ISO / OSI-pinon tasolla 3) tai MAC-uudelleenkirjoitus (ISO / OSI-pinon tasolla 2).
Kun liikenne saavuttaa itse välityspalvelimen, salakuuntelu tapahtuu yleensä verkko-osoitteiden kääntämisen ( NAT ) kautta. Nämä asetukset ovat näkymättömiä asiakkaan selaimelle, mutta ne tekevät välityspalvelimen näkyväksi verkkopalvelimelle ja muille välityspalvelimen Internet-puolella oleville laitteille.
Viime aikoina Linux ja jotkin BSD :n versiot ottavat käyttöön TPROXY:n (transparent proxy), joka suorittaa läpinäkyvän sieppauksen IP-tasolla (ISO / OSI-pinon taso 3) ja lähtevän liikenteen " huijauksen " piilottaen välityspalvelimen IP-osoitteen muilta. verkkoon kytketyt laitteet.
Kuinka tunnistaa ne
Sieppaavan välityspalvelimen havaitsemiseen voidaan käyttää useita menetelmiä:
- Vertaamalla asiakkaan ulkoista IP-osoitetta ulkoisen Web-palvelimen "näkemään" osoitteeseen tai joskus tutkimalla palvelimelta saatuja HTTP-otsikoita. On olemassa useita sivustoja, jotka on luotu ratkaisemaan tämä ongelma ilmoittamalla "heiden näkemän" käyttäjän IP-osoite. Googlen itsensä pitäisi tehdä tämä etsimällä avainsanalla "IP".
- Vertaamalla online-IP-tarkistustuloksia yhteyden muodostamisessa sekä HTTP:n että HTTPS:n kautta, koska useimmat salakuunteluvälityspalvelimet eivät sieppaa SSL:ää. Jos epäillään, että myös SSL-liikennettä siepataan, voit tutkia mihin tahansa suojattuun verkkosivustoon liittyvää varmennetta: juurivarmenteesta tulee kertoa, onko se myönnetty sieppausta varten.
- Vertaamalla proxed-protokollan (kuten HTTP, portti 80) kautta verkossa suoritettavia vaiheita (esim. traceroutea käyttämällä) proxed-protokollan (kuten HTTP, portti 80) kautta suoritettujen vaiheiden järjestystä ei-välitysprotokollan, kuten SMTP:n (portti 25) kautta. [12]
- Yritetään muodostaa yhteyttä IP-osoitteeseen, jossa ei tiedetä olevan palvelimia. Välityspalvelin hyväksyy yhteyden ja yrittää sitten muodostaa yhteyden siihen. Kun se havaitsee, että ei ole palvelimia, joihin voi muodostaa yhteyden, se joko palauttaa virheilmoituksen tai sulkee yhteyden asiakkaaseen. Tämä ero on helppo havaita, esimerkiksi useimmat verkkoselaimet luovat selaimen luoman virhesivun, jos ne eivät saa yhteyttä HTTP-palvelimeen, mutta palauttavat toisenlaisen virheilmoituksen, jos yhteys hyväksytään ja suljetaan. [13]
CGI-välityspalvelin
CGI-välityspalvelin koostuu verkkovälityspalvelimesta, joka, syötettyään URL -osoitteet verkkolomakkeella käyttäjän selaimeen, käsittelee pyynnöt ja palauttaa tulokset aina käyttäjän selaimeen, jolloin käyttäjä voi selata suhteellisen anonyymisti. CGI-välityspalvelimia on useita, ja useimmat niistä ovat Glyphen tai PHProxyn valmistamia ja molemmat kirjoitettu PHP-kielellä.
- Edut:
- Evästeiden, viittausten ja JavaScriptin autonominen käyttäjähallinta (mahdollistaa ne tietyssä maskissa sivulla)
- Sen avulla verkon käyttäjä (jolla ei ole järjestelmänvalvojan oikeuksia muuttaa selaimen tai käyttöjärjestelmän asetuksia) voi ohittaa asetetut navigointirajoitukset ja toimia verkossa suhteellisen anonyymisti.
- Ilmainen palvelu
- Äärimmäisen helppokäyttöinen
- Mitään erityistä ohjelmistoa ei ole asennettu
- Haitat:
- Jotkut välityspalvelimet eivät salli käyttäjän itsenäisesti hallita evästeitä, viittauksia ja JavaScriptiä. Jos välityspalvelin ei salli näiden asetusten hallintaa, jotkin sivustot voivat aiheuttaa ongelmia sivuille pääsyssä ja niiden katselemisessa.
- Selausnopeus laskee huomattavasti.
- Kaikki palvelut ovat englanniksi [14]
Suffiksivälityspalvelin
Välityspalvelimen jälkiliitteen avulla käyttäjä voi käyttää verkkosisältöä lisäämällä ("liitteenä") välityspalvelimen nimen pyydetyn sisällön URL-osoitteeseen (esimerkki: "www.mipiacitu.it.Suffix.Proxy.com").
Niitä on helpompi käyttää kuin tavallisia välityspalvelimia, mutta ne eivät tarjoa samaa anonymiteettitasoa - niiden ainoa tarkoitus on ohittaa suodattimet. Niiden käyttö heikkenee yhä kehittyneempien verkkosuodattimien vuoksi.
TOR The Onion Router
Tor on järjestelmä, jonka tarkoituksena on sallia online-nimettömyys.
Tor-asiakas (ohjelmisto) reitittää Internet-liikenteen "vapaaehtoisten" palvelimien verkon kautta, joka on levinnyt ympäri maailmaa, tarkoituksenaan piilottaa käyttäjän sijainti tai Internetin "käyttö" (kuten analyysiliikenteen tai verkon valvonnan tapauksessa) . Torin käyttäminen vaikeuttaa Internet-toiminnan (verkkosivustovierailujen, online-viestien, pikaviestien ja muiden viestintätapojen) seurantaa käyttäjää jäljittämällä. Sen tavoitteena on suojella käyttäjän vapautta ja yksityisyyttä sallimalla, että heitä ei valvota heidän suorittaessaan toimintaa Internetissä.
Sipulireititys perustuu salauksen purkamisen kerrostettuun luonteeseen: alkuperäinen data salataan ja salataan uudelleen useita kertoja, minkä jälkeen ne lähetetään seuraaville tor-verkon solmuille, joista jokainen purkaa kerroksen salauksen ennen tietojen välittämistä seuraavalle ja loppuun, määränpäähän. Tämä vähentää mahdollisuutta, että tiedon salaus puretaan siirron aikana. [15]
Tor-asiakas on ilmainen ohjelmisto, eikä verkkoon pääsystä peritä lisämaksuja.
I2P
Anonyymi I2P -verkko on välityspalvelinverkko, jonka tarkoituksena on tarjota online-nimettömyys. Toteuttaa valkosipulin reitityksen, joka on parannettu muunnelma tor-sipulireitityksestä. Se on täysin hajautettu ja toimii salaamalla kaiken viestinnän eri tasoilla ja lähettämällä ne reititinverkon kautta, jota hallinnoivat vapaaehtoiset eri puolilla maailmaa. Tietolähteen pitämiseksi piilossa I2P tarjoaa "sensuurin vastustusta". I2P:n tavoitteena on suojella käyttäjien henkilökohtaista vapautta, yksityisyyttä ja antaa heille mahdollisuus yksityiseen toimintaan.
Jokainen I2P-käyttäjä hallitsee I2P-reititintä tietokoneessaan (joka on itse asiassa verkon solmu). Jokainen I2P-reititin on vastuussa muiden solmujen etsimisestä ja anonyymien tunnelien muodostamisesta niiden läpi.
I2P tarjoaa välityspalvelimet kaikille "proxable" protokollille (HTTP, IRC, SOCKS.)
Ohjelmisto on ilmainen ja avoimen lähdekoodin , ja verkko on ilmainen ilman käyttökustannuksia.
Välityspalvelin NAT:ia vastaan
Useimmiten termi välityspalvelin viittaa ISO/OSI-pinon tason 7 sovellukseen . On kuitenkin olemassa muita tapoja "proxing": yksi niistä on kerroksen 3 (ISO / OSI-pinon), joka tunnetaan Network Address Translation ( NAT ). Erot näiden kahden välityspalvelinten luontitekniikan välillä ovat taso, jolla ne toimivat, ja niiden käyttämien asiakkaiden ja palvelimien konfigurointimenettely.
Kun määrität asiakasta Layer 3 Proxylle (NAT), sinun tarvitsee vain määrittää yhdyskäytävä. Tasolla 7 asiakkaan luomien pakettien määränpäänä on kuitenkin aina oltava välityspalvelin, joka lukee jokaisen paketin ja löytää todellisen määränpään.
NAT, koska se toimii kerroksessa 3, vaatii vähemmän resursseja kuin kerroksen 7 välityspalvelin, mutta on samalla vähemmän joustava.
DNS-välityspalvelin
DNS-välityspalvelin ottaa haltuunsa DNS-osoiteselvityspyynnöt (yleensä paikallisesta) verkosta ja välittää ne Internet-toimialueen nimipalvelimelle. Se voi myös tallentaa DNS-tietueita välimuistiin.
Muistiinpanot
- ^ Rakenne ja kapselointi hajautetuissa järjestelmissä: välityspalvelinperiaate. Marc Shapiro. Int. Conf. On Dist. Comp. Sys. (ICDCS), Cambridge MA (USA), toukokuu 1986.
- ^ Välityspalvelintyypit osoitteessa myclads.com . Haettu 24. maaliskuuta 2022 .
- ^ a b Lyon Gordon, Nmap-verkkoskannaus , 2008, s. 270, ISBN 978-0-9799587-1-7 .
- ^ Berkman Center for Internet & Society at Harvard University, 2010 Circumvention Tool Usage Report , PDF , lokakuu 2010.
- ^ Suodatetun välityspalvelimen läpi pääseminen Ninjaproxylla . Kehittynyt suodatusmekaniikka TSNP : ssä . Haettu 17. syyskuuta 2011 (arkistoitu alkuperäisestä 9. maaliskuuta 2016) .
- ^ " Kerrostaminen " . _ [rfc: 3135 Performance Enhancing Proxy -palvelimet, jotka on tarkoitettu vähentämään linkkiin liittyvää heikkenemistä ]. IETF . Kesäkuu 2001. s. 4. sek. 2.1. RFC 3135. Haettu 21. helmikuuta 2014
- ^ Kuumia taktiikoita maantieteellisesti kohdistetuille mainoksille Googlessa ja Bingissä osoitteessa searchengineland.com . Haettu 7. helmikuuta 2014 .
- ^ Palomuurin ja välityspalvelimen HOWTO , osoitteessa tldp.org . Haettu 4. syyskuuta 2011 ."Välipalvelin on ennen kaikkea turvalaite"
- ^ Fielding , Roy, Reschke, Julian, Hypertext Transfer Protocol ( HTTP / 1.1): Message Syntax and Routing , osoitteessa tools.ietf.org . Haettu 1. helmikuuta 2018 .
- ^ SIP: Session Initiation Protocol - 16. Proxy Behavior , osoitteessa tools.ietf.org , ietf.org . Haettu 20. toukokuuta 2012 .
- ^ Transparent Proxy Definition , osoitteessa ukproxyserver.org , 1. helmikuuta 2011. Haettu 14. helmikuuta 2013 (arkistoitu alkuperäisestä 1. maaliskuuta 2013) .
- ^ Subversion Dev: Transparent Proxy Detection (oli Re: Introduction_ , Tracetop.sourceforge.net . Haettu 16. marraskuuta 2014 .
- ^ Wessels , Duane ( 2004). Squid The Definitive Guide . O'Reilly. s. 130. ISBN 978-0-596-00162-9 .
- ^ MIKÄ ON PROXY CGI , osoitteessa proxoit.altervista.org .
- ^ Tor-projekti. ( EN ) Tor: anonymity online , osoitteessa torproject.org . Haettu 9. tammikuuta 2011 .
Aiheeseen liittyvät tuotteet
- Palomuuri
- Käänteinen välityspalvelin
- Yhdyskäytävä (IT)
- Tor (anonymiteettiohjelmisto)
- Bastionin isäntä
Ulkoiset linkit
- Välityspalvelintesti verkossa osoitteessa test-net.org . Haettu 15. joulukuuta 2014 (arkistoitu alkuperäisestä 16. joulukuuta 2014) .