Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:

Trocha historie Původně se proxy používala pro ukládání často navštěvovaných www stránek Minimalizovaly se tak přístupy do Internetu a zrychlovala práce 2

Původní funkce proxy 3 Zařízení s proxy internet Počítač vyšle požadavek na www stránku www stránka je poslána do PC a zároveň se uloží do proxy Jiný počítač vyšle požadavek na stejnou www stránku Je prohledána proxy a pokud je stránka zde, odešla se odtud

Dnešní funkce proxy Dnes je mnoho www stránek generováno dynamicky (po odeslání vyprší) Přístup do internetu je rychlý a levnější než dříve Ukládání často používaných stránek do proxy nemá význam Ale dá se využít toho, že proxy pracuje na aplikační vrstvě a zná obsah přenášených dat 4

Vlastnosti proxy – skrývání klientů Paketový filtr přečte hlavičku paketu a paket buď zahodí nebo propustí Proxy přečte hlavičku i datový obsah paketu, paket přijme - jako by byla cílem paketu. Pak vygeneruje nový paket, který pošle k cíli Přes proxy tedy prochází služba (např. http). Pakety nižších protokolů se generují znovu Důsledek je podobný jako u NAT – vnitřní (privátní síť) se vnější síti jeví jako 1 počítač Proxy úplně odděluje vnitřní (privátní) síť od vnější (veřejné) 5

Princip práce proxy 6 internet Vnitřní (privátní) síť chci :80 požaduje :1225 proxy Vygeneruje nový paket: chci: Pro: :80 www server Posílám data pro :80 Vnitřní síťová karta s privátní adresou Vnější síťová karta s veřejnou adresou Klientské PC Klientské PC čas Přečte hlavičku paketu, Přečte datovou oblast paketu, paket zničí Přečte hlavičku paketu, Přečte datovou oblast paketu, paket zničí Vygeneruje nový paket: od: :125 pro :1225 Vnější (veřejná) síť

Vlastnosti proxy – skrývání klientů Paketový filtr přečte hlavičku paketu a paket buď zahodí nebo propustí Proxy přečte hlavičku i datový obsah paketu, paket přijme - jako by byla cílem paketu. Pak vygeneruje nový paket, který pošle k cíli Přes proxy tedy prochází služba (např. http). Pakety nižších protokolů se generují znovu Důsledek je podobný jako u NAT – vnitřní (privátní síť) se vnější síti jeví jako 1 počítač Proxy úplně odděluje vnitřní (privátní) síť od vnější (veřejné) 7

Příklad WinRoute 8 Pravidlo 2: komunikace mezi firewalem a vnější sítí Pravidlo 1: komunikace mezi firewalem a vnější sítí Dochází k novému generování paketů

Vlastnosti proxy – blokování URL Proxy znovu generuje pakety, jejichž součástí je také URL (Unique Resource Locator) čili jednoznačné umístění zdroje. Například je URL seznamu (dalším formátem URL je IP adresa, pro seznam: ) Je možné vytvořit seznam URL adres, na něž je zakázaný přístup a povolovat tak co je dovoleno prohlížet a co ne. Každá proxy také vede záznamy o přístupech – zpětně je možné vysledovat kdo se kam připojoval 9

Příklad WinRoute 10 Filtrování podle adresy URL

Vlastnosti proxy – filtrování obsahu Proxy čte datovou oblast paketů (musí ji znovu vygenerovat) => pracuje s obsahem přenášených dat (na aplikační vrstvě ISO OSI). Můžeme ji proto použít pro filtrování obsahu dat (nepropouštět stránky určitého typu) Filtrují se určitá slova, slovní spojení, ovládací prvky ActiveX, aplety Javy, typ a délka příloh souborů (u proxy SMTP)… Do filtru lze zakomponovat antivirový obsah 11

Příklad WinRoute 12 Filtrování obsahu – nepropouštějí se určité typy

Příklad WinRoute 13

Příklad WinRoute 14 Filtrování podle slov

Vlastnosti proxy – kontrola kompatibility Kromě kontroly obsahu paketů se také kontroluje jejich kompatibilita Ověřuje se, zda paket vyhovuje určitým pravidlům – Např. útoky s přetečením vyrovnávací paměti pracují tak, že zpráva elektronické pošty je delší, než je uvedeno v její hlavičce. Sendmail Unixu pak prohlížel zprávu tak dlouho až narazil na její konec. Pokud mezi skutečným koncem a koncem podle hlavičky paketu byl spustitelný program tak se spustil. Podobně funguje útok na prohlížeče. Tyto známé útoky lze kontrolou kompatibility odhalit Kontrola kompatibility funguje pouze na známé chyby Objeví-li se nová chyba, je nutný update proxy 15

Vlastnosti proxy – blokování trasy Proxy kompletně generuje všechny pakety, které přes ni prochází Vylučují se tak všechny útoky založené na nedokonalosti TCP/IP (fragmentace…) 16

Vlastnosti proxy - zaznamenávání Veškerá komunikace mezi vnitřní a vnější sítí prochází jediným bodem (kde běží proxy) Lze ukládat seznamy stránek navštívenými jednotlivými uživateli Lze nastavit proxy tak, aby upozornila na pokusy o připojení z vnějšku, či na jiné známé útoky 17

Příklad WinRoute 18

Nevýhody proxy Jediný bod selhání – pokud proxy selže, přeruší se kompletně komunikace mezi vnitřní a vnější sítí (problém všech serverů i firewallu), řeší se nasazováním 2 proxy 19

Nevýhody proxy Klientské počítače je nutné pro proxy nastavit Což ve velkých sítích může být pracné 20

Nevýhody proxy Pro každou službu musí být jeden server proxy Pro každou službu se generují nové pakety Používáme-li méně běžnou službu, může to být problém 21

Nevýhody proxy - proxy nechrání sama sebe Proxy chrání síť za sebou, ale nechrání počítač, na kterém běží. Nechrání svůj vlastní operační systém. Navíc musejí být na počítači s proxy otevřené porty, které proxy používá Napadne-li hacker počítač s proxy, může proxy obejít a vniknout do sítě 22

Příklad zapojení proxy 23 Zařízení s firewallem Chráněné počítače (síť) internet Zařízení s proxy Počítač s proxy je nutné chránit firewallem

Příklad zapojení proxy 24 Zařízení s firewallem Chráněné počítače (síť) Zařízení s proxy U sítí, kde se používají služby nabízené vnějším zákazníkům (např.www), se doporučuje oddělit servery služeb od vnitřní sítě www server internet

Příklad zapojení proxy 25 Zařízení s firewallem Chráněné počítače (síť) Zařízení s proxy Oddělená serverová část, je jinak zabezpečená – označuje se jako Demilitarizovaná zóna (DMZ) www server internet

Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Použité materiály: Rita Pužmanová: TCP/IP v kostce