Zpět na seznam článků     Číst komentáře (9)     Verze pro tisk

PROXY II. díl

Autor: pr0ph3t   
24.1.2006

Dalsi informace o proxy serverech. Aneb o tom jak je to tedy s tou anonymitou a chainingem.


Ve druhém díle se podíváme ještě jednou na vlastnosti PROXY serverů, na to co mohou a nemohou dělat, dále v přehledné tabulce porovnáme vlastnosti jednotlivých druhů proxyn a nakonec se na jednotlivé druhy zaměříme jednotlivě a řekneme si něco o jejich anonymitě a o chainingu.

 

Vlastnosti PROXY (co může a co nemůže dělat Proxy server)

Při používání GET/POST metody (běžné surfování po netu) může:

  1. Zakázat přístup na určité stránky, jako např. www.porno.com nebo www.icq.com.
  2. Zakázat přístup ke stránkám, obsahujícím klíčová slova, jako třeba „porno“ nebo dokonce „proxy“.
  3. Odřezávat určité části stránek (banery).
  4. Zakázat přístup k souborům s předdefinovanými příponami (*.mp3. *.zip, *.exe, *.rar atd.) a/nebo definovanou velikostí (buď v Kb nebo i v pixelech).
  5. Logovat vaši činnost na internetu a posílat o ní zprávy sys adminům, se záznamem o všech stránkách, které jste navštívili.
  6. Zakázat používání jakýchkoli protokolů (např. zakázat https://... a nebo ftp://... stránky).
  7. Zakázat přístup z některých počítačů k proxyně. Jinými slovy, ze dvou počítačů, které jsou třeba hned vedle sebe, jeden může mít povolen přístup k proxy ale další už nemusí.

 

Při používání CONNECT metody (navštěvování https://... stránek, stavění řetězů proxyn (chaining), mapování portů přez proxynu atd.) nebo SOCKS proxy mohou:

  1. Kompletně zakázat CONNECT metodu. Potom vám přestane fungovat ICQ a přijdete o přístup k „https://...“ stránkám.
  2. Zakázat připojování k určitým serverům, například k login.icq.com.
  3. Zakázat připojení přez určité porty, například port 25 (SMTP), 6667 (IRC), 5190 (ICQ).
  4. Zakázat připojení přez všechny porty až na některé definované, například port 443.

 

Co proxy neumí:

  1. Používat heuristic analyzer, jinýmy slovy dělat sémantickou analýzu obsahů stránek a zakázat přístup ke všem stránkám s určitým materiálem, navzdory klíčovým slovům.
  2. Filtrovat informace, například blokovat některé stránky používající klíčová slova během používání CONNECT metody (nebo u SOCKS proxyn).
  3. Nechávat projít zpět spojení z internetu (SOCKS 5 to umí, ale není to zrovna jednoduché).

 

Jaké další vlastnosti májí CGI proxy?

 

Na rozdíl od ostatních proxyn, CGI proxyny mají další vlastnosti co se týče filtrování informací. Mohou:

  1. Zakázat vykonávání scriptů na stránkách – JavaScripty atd.
  2. Zakázat ukládání cookies, nebo si je jen nechávat pro sebe, bez toho aby je posílaly klientovi.
  3. Kódovat URL ke kterým směřovaly vaše požadavky. Například váš požadavek skrz CGI proxy na www.yahoo.com může v adress baru (políčko kam se píše URL) vypadat třeba následovně: http://www.cgi-proxy.com/abcd104dflsjuywe34sdfispd345klksfdsl. Díky tomu systémový administrátor prohlížející si logy za účelem jejich analýzy, nebude schopen zjistit ke kterým serverům jste se připojovali (jestli www.sex.com nebo www.altavista.com).

 

Závěr: proxy server je počítačový program, takže stejně jako všechny ostatní programy má svoje přednosti i chyby. Pokud administrátor odladil proxynu ale dál už na to pozapomíná, je vždycky možnost ji obejít. Běžně však vaše pokusy obejít proxy server bývají jen bitvou se sys adminem a všechna vaše řešení, na která přijdete, jsou jen dočasná – dokud admin nenajde a nezazáplatuje další „díru“.

 

Tabulky na porovnání typů proxy:

HTTP, SOCKS &CGI

 

Property

HTTP

SOCKS

CGI

Podporované protokoly

HTTP, FTP (někdy)

HTTP, FTP, POP3, SMTP, UDP, all TCP/IP

HTTP, FTP (někdy)

Podpora chainingu

někdy (potřeba SSL podpory)

ano

ano

Potřebný software

Prohlížeč podporující proxy

(všechny moderní prohlížeče)

Speciální programy pro práci se SOCKS

Jen prohlížeč

Snadnost používání

Musítě vědět jak nastavit proxy v prohlížeči

Musíte znát speciální program a vědět jak ho nastavit

Schopnost používat internet

Anonymita

Transparentní,
anonymní,
vysoce anonymní

Jen vysoce anonymní

Transparentní,
anonymní,
vysoce anonymní

Komplikace při řetězení (chaining)

Velice obtížné, je zapotřebí speciální software

Obtížné, je zapotřebí speciální software

Jednoduché, nemusíte měnit žádné nastavení

Používání za proxy vaší práce (corporate proxy)

obtížné

Pouze pokud proxy ve vaší práci je SOCKS

Velice jednoduché

Additional traffic using (AD bannery)

ne

ne

ano
(někdy hodně moc)

 

 

 

Anonymita PROXY serverů

 

Anonymita HTTP proxyn

 

HTTP proxy servery jsou několika různých stupňů anonymity. Záleží na účelech, ke kterým je proxy použita. Požadavek anonymity není vždy u proxy tím podstatným.

Podle stupně anonymity jsou HTTP proxy rozděleny do několika skupin:

  1. Transparetní – tyto proxy nejsou anonymní. Zaprvé webové servery poznají, že uživatel používá proxy server, a zadruhé neskrývají IP adresu klienta. Účelem těchto proxyn bývá cachování informací a nebo umožnění přístupu k internetu několika počítačům pomocí jednoho spojení.
  2. Anonymní – Webové servery poznají, že uživatel používá proxynu, ale nepřeposílají vaší IP adresu.
  3. Zkreslující (distorting) – tyto proxyny posílají cílovým serverům údaje o IP adrese. Neposílají však IP adresu vaši, ale náhodně generovanou proxy serverem nebo nějakou pevně danou (ne vaši). Díky tomu tyto servery zmátnou cílový server.
  4. Vysoce anonymní (High anonymous, elite) – nejen že nepřeposílají vaši IP adresu, ale zárověn před cílovým serverem zatajují fakt, že je použit proxy server. Díky tomu si server myslí, že pracuje přímo s klientem.

Toto rozdělění je nejběžnější. Existují ale i další, rozšiřující nebo generalizující toto rozdělění.

 

HTTP je ten nejrozšířenjší druh proxyn. Mnoho programů umožňuje jejich používání: prohlížeče, download manažery atd. Jejich fungování ale není uskutečňováno na úrovni OS – v případě že je chcete používat, musíte si správně nastavit každý program zvlášť.

 

Anonymita SOCKS proxyn

 

Díky tomu že SOCKS, jak už bylo zmíněno, přenáší všechna od klienta k server, nic k nim nepřidává, z pohledu web-serveru je socks proxy klientem. Díky tomu anonymita tohoto typu proxy serveru je skutečně absolutní.

 

Anonymita CGI proxyn

 

Co se týče anonymity, jsou na tom CGI proxyny stejně jako HTTP proxyny.

 

Chaining proxy serverů

 

HTTP Proxy Chaining

 

HTTP proxyny mohou být seřazeny do řetězce (anglicky řetěz = chain, odtud název chaining) a tím pádem lze znatelně zvýšit internetovou anonymitu. Konstrukce řetětu však přinásí mnohá úskalí. Hlavním problémem je, ke spojení řetězu je potřeba použí speciální SW. Prohlížeče (a většina programů) neumožnuje chaining. Proto je potřeba požadavky „tunelovat“ (tunneling of requests): vytvořit virtuální tunel, který prochází skrz HTTP proxynu a, pomocí tohoto tunelu, program „vytvoří cestu“ skrz několik proxy serverů až k cílovému serveru.

 

Kromě toho, aby mohla proxyna provést tunelování musí podporovat SSL (Secure Sockets Layer). Jedná se o další vlastnost navrženou k ochraně spojení před zachycením a dekódováním. Mimo ochrany SSL také umožňuje vytvoření tunelu skrz řetězec proxy serverů. Jak zjistit jestli proxyna podporuje SSL? Jednoduše: pomocí proxy serveru si zkuste prohlédnout stránky používající protokol HTTPS (například HotMail.com). Ujistěte se, že adresa před jménem serveru začíná na prefix https:// a pokud vidíte tuto stránku za použití vaší proxyny, znamená to, že podporuje SSL.

 

Příkladem programu který umožňuje vytvoření tohoto virtuálního tunelu, je SocksChain (http://www.ufasoft.com) . Tento program vám umožní používat jakoukoliv internetovou službu přez chain SOCKS nebo HTTP proxy serverů.

 

Dalším příkladem je program HTTPort (http://www.htthost.com).

 

 

SOCKS Proxy Chaining

 

V současnosti existují dvě verze SOCKS protokolu: verze 4 a 5; Verze 4 se objevila dříve a je díky tomu více rozšířená. Přesto verzi 5 už podporuje spousta programů, například ICQ, eDoonkey, Napster, AudioGalaxy a další. Pokud mluvíme obecně, díky tomu že SOCKS proxy může „proxovat“ jakýkoliv z TCP /UDP protokolů, mohl by SOCKS proxy být použit i mailovýmy programy, ale není tomu tak. Kvůli tomu (pro programy které nemohou pracovat se SOCKS proxy) byl vytvořen speciální SW. Nejoblíběnjším je asi SocksCap (http://www.sockscap.com). Umožňuje zachytit veškrou komunikaci programu a přesměrovat ji na SOCKS proxy verze 4 nebo 5.

 

Díky tomu že SOCKS proxy přenášejá data mezi počítači v nezměněné formě, je snadné vytvořit řetěz SOCKS proxyn libovolné délky. Pro vytvoření takového řetězu je však potřeba použít speciální program, protože běžný software je schopen používat jenom jednu SOCKS proxynu.

Příkladem programu umožňujícím vytvoření SOCKS chainu a jeho ovládání je SocksChain (http://www.ufasoft.com/). S jeho pomocí můžete pracovat s řetězem SOCKS proxyn libovolné délky.

 

 

CGI Proxy Chaining

 

Proxy servery toho typu vypadají z pohledu běžného uživatele podobně jako stránky vyhledávačů. Jen místo hledané fráze se zadává adresa stránky, kterou pomocí anonymizéru chcete zobrazit a jako adresa se v prohlížeči místo běžneho www.seznam.cz objeví například http://www.cgi-proxy.com/http/www.seznam.cz/.

Díky tomu můžete surfovat anonymně po internetu bez nutnosti někde něco zdlouhavě nastavovat. Nevýhodou je přítomnost reklam, které CGI proxyna musí zobrazovat (jendoduše fungují ze zisků z reklam). Dále také omezená podpora FTP/HTTPS a někdy dokonce CGI nepodporují ani zobrazování obrázků.

 

Při tvorbě chainu jednoduše do jedné proxyny zadáme adresu druhé, do druhé třetí, atd. až k té poslední (kolikáté chcete), kde zadáte adresu požadovaných stránek.

 

 

Řetězení různých druhů proxyn

 

Do řetězů jde sjednocovat nejenom HTTP proxyny, ale můžete je mixovat i s ostatnímy druhy proxyn – SOCKS a CGI. Podle úrovně vlastností (podpora různých protokolů, transparentnost používání atd.) jsou HTTP proxyny někde uprostřed mezi SOCKS a CGI. Stejně tak při řetězení by měli zaujímat pozici někde uprostřed – za SOCKS proxy (pokud jsou součástí řetězu)a před CGI proxy (také pokud jsou součástí řetězu).

 

Takže řetěz může vypadat třeba následovně:

SOCKS proxy >>>> HTTP proxy >>>> CGI proxy
SOCKS proxy >>>> HTTP proxy
HTTP proxy >>>> CGI proxy

 

Ale nemůže vypadats takto:

CGI proxy >>>> HTTP proxy

 

Co můžete dělat pokud už používáte nějakou corporate proxy?

 

Pokud vaše organizace (jste třeba v práci) používá corporate proxy a přístup k internetu je přez ni, můžete vytvořit chain podle toho jakého typu je corporate proxy.

  1. Pokud je to SOCKS proxy, je to bez problému, můžete v pohodě chainovat.
  2. Pokud je to HTTP proxy, můžete pořát ještě vytvořit chain pomocí HTTP a CGI proxyn.

 

Tak to by bylo pro dnešek všechno. Stejně jako minule, budu rád za jakékoliv připomínky týkající se článku.

 

pr0ph3t ---- ve svých volných chvilkách =)


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 2.5/2

1  2  3  4  5    
(známkování jako ve škole)