it-swarm.com.de

Welche legitimen Verwendungszwecke haben Browser-Proxys?

Ich habe die Proxy-Einstellungen meines Browsers nur beim Einrichten von Burp Pro verwendet, was mich wundert:

Was war der ursprüngliche Anwendungsfall für diese Einstellungen? Wofür wurde diese Funktion außer Testen/Debuggen entwickelt? Verwenden die Leute dies tatsächlich in freier Wildbahn für die Filterung von Unternehmensinhalten, die Zugriffskontrolle usw.?

(Hinweis: Ich interessiere mich weniger für Tor oder andere Anonymisierungstechnologien. Ich interessiere mich mehr für traditionelle Infrastruktur-/ursprüngliche Entwurfsabsichten.)

Als Referenz spreche ich über diese Einstellungen:

(Firefox proxy settings page

33
Mike Ounsworth

Eine der frühen Anwendungen von HTTP-Proxys war das Zwischenspeichern von Proxys, um die teure Bandbreite besser zu nutzen und das Surfen durch Zwischenspeichern stark genutzter Inhalte in der Nähe des Benutzers zu beschleunigen. Ich erinnere mich an eine Zeit, als ISPs explizite obligatorische Proxys für die Benutzer verwendeten. Dies war zu einer Zeit, als die meisten Inhalte im Internet statisch und nicht benutzerspezifisch waren und das Caching daher sehr effektiv war. Aber auch viele Jahre später wurden noch transparente Proxys (d. H. Keine explizite Konfiguration erforderlich) in Mobilfunknetzen verwendet.

Ein weiterer wichtiger und früher Anwendungsfall sind Proxies in Unternehmen. Diese werden verwendet, um den Zugriff einzuschränken, und werden auch weiterhin zum Zwischenspeichern von Inhalten verwendet. Während viele Perimeter-Firewalls transparente Proxys verwenden, für die keine Konfiguration erforderlich ist, können klassische sichere Web-Gateways normalerweise zumindest expliziten (nicht transparenten) Proxy-Zugriff erfordern. Normalerweise wird nicht der gesamte Datenverkehr über den Proxy gesendet, d. H. Interner Datenverkehr wird normalerweise mit einer expliziten Konfiguration oder unter Verwendung einer PAC-Datei ausgeschlossen, die den Proxy abhängig von der Ziel-URL definiert. Ein in diesem Bereich häufig verwendeter Proxy ist der kostenlose Squid-Proxy , der umfangreiche ACLs, verteiltes Caching, Authentifizierung, Inhaltsprüfung, SSL-Abfangen usw. bietet.

Die Verwendung eines expliziten Proxys zum Filtern hat den Vorteil, dass eine In-Band-Authentifizierung gegenüber dem Proxy erforderlich sein kann, d. H. Die Identifizierung des Benutzers anhand des Benutzernamens anstelle der Quell-IP-Adresse. Ein weiterer Vorteil besteht darin, dass die Verbindung vom Client am Proxy endet und der Proxy die Anforderung dann nur dann an den in der HTTP-Proxy-Anforderung angegebenen Server weiterleitet, wenn die ACL-Prüfung in Ordnung ist und möglicherweise Teile der Anforderung neu geschrieben wurden (z. B. um sicherzustellen, dass Der Header Host stimmt tatsächlich mit dem Zielhost überein. Im Gegensatz dazu wird in Inline-IDS/IPS (das ist die Basistechnologie in vielen NGFW) der Verbindungsaufbau vom Client bereits an den endgültigen Server weitergeleitet, und ACL-Überprüfungen werden basierend auf dem Header Host durchgeführt oder möglicherweise nicht mit der IP-Adresse übereinstimmen, mit der der Client eine Verbindung herstellt. Dies wird tatsächlich von einer Malware-C2-Kommunikation verwendet, um Blockierung oder Erkennung umgehen , indem ein Host auf der Whitelist im Host -Header beansprucht wird, aber tatsächlich ein anderes Ziel als IP-Adresse hat.

67
Steffen Ullrich

Einige Beispiele wie folgt:

  • So aktivieren Sie eine Firewall-Regel wie "Proxyserver für ein beliebiges Ziel auf 80, 443" anstelle von "intern für extern"
  • Überwachung aller über Protokolle besuchten Websites
  • Um Websites zu kontrollieren, einzuschränken und zu filtern, die durch Durchsetzungsregeln besucht wurden, können dies Listen genehmigter Websites, Websites auf der schwarzen Liste, Inhaltskategorien usw. Sein
  • Um die Benutzerauthentifizierung für die Nutzung des Internets zu erzwingen - z. Beschränkung auf Domainbenutzer, Zertifikatsinhaber
  • Sie können separate Austrittspunkte für verschiedene Kontexte haben, wenn Sie sich im VPN, im lokalen Büro, auf der Workstation oder auf einem Server befinden
15
AndyMac

Denken Sie aus dem "ursprünglichen" Grund an das Jahr 1993 zurück, als Netscape 0.9 veröffentlicht wurde. Es gab einen Dialog mit den Optionen "Mail and Proxies" (gemäß einer Kopie des Handbuch ). Zu dieser Zeit waren die meisten Internetverbindungen 56-kbit- oder gebrochene T1-Leitungen zwischen Universitätsgeländen und Regierung. Es gab verschiedene Möglichkeiten, wie ein HTTP-Proxy helfen oder sogar erforderlich sein könnte:

  • Der Webbrowser befindet sich möglicherweise in einem TCP/IP-LAN ohne Routing (auf IP-Ebene) zum Internet, jedoch mit einem Host, der in diesem LAN und im Internet doppelt vernetzt ist. Der Dual-Homed-Host kann einen HTTP-Proxy-Dienst und einen DNS-Proxy-Dienst ausführen, sodass Clients im LAN auf das Web zugreifen können. (Beachten Sie, dass die RFCs, die die Standardbereiche für private Adressen und NAT RFC 1597 und RFC 1631 beschreiben, erst im März und Mai 1994 veröffentlicht wurden.)
  • Selbst wenn das LAN routbare Adressen hatte oder sogar nachdem NAT bereitgestellt wurde), war die externe Bandbreite wahrscheinlich viel geringer als die lokale Bandbreite zwischen Clients und einem potenziellen Proxy-Standort Clients durchsuchten eine erhebliche Menge des gleichen statischen oder sich langsam ändernden Inhalts. Der Proxy verbesserte die Situation sowohl für die Clients (indem er zwischengespeicherte Inhalte schnell zurückgab) als auch für den Netzwerkbetreiber (indem er Bandbreite für andere Netzwerkfunktionen freisetzte) Reduzierung der Gebühren für die Datennutzung, wenn die Abrechnung pro Paket oder pro Byte erfolgte).
  • Wenn genügend Endbenutzer hinter Proxys stecken würden, würde der Edge den 10 Jahre später als "Slashdot-Effekt" bezeichneten Effekt verringern: Origin-Server für weltweit beliebte Inhalte müssten ihn nur jedem Proxy und nicht jedem Endbenutzer bereitstellen.

Das Senden des gesamten HTTP-Verkehrs über einen bestimmten Prozess macht diesen Prozess natürlich auch zu einem guten Kontrollpunkt für die Anwendung von Sicherheitsrichtlinien: Filtern nach Schlüsselwörtern im (decodierten) Anforderungs- oder Antworttext; Nur den Zugriff auf Benutzer zulassen, die sich beim Proxy authentifizieren. Protokollierung.

Ja, es gibt Organisationen, die eine Proxy-Richtlinie an Endbenutzergeräte "pushen", die sie steuern, und diese durch eine restriktive Richtlinie an den Grenzroutern durchsetzen.

Beachten Sie auch, dass Ihr Datenverkehr möglicherweise über einen Proxy geleitet wird, selbst wenn Sie glauben, in einem "sauberen" Netzwerk zu surfen. siehe zum Beispiel Transparenter Proxy mit Linux und Squid mini-HOWTO .

Es ist jedoch richtig, dass ein explizit konfigurierter Proxy möglicherweise wenig Vorteile bringt oder das Surfen im heutigen Internet sogar noch viel schlimmer macht. Wenn beliebte Websites CDNs verwenden und die meisten Inhalte dynamisch sind und sogar Inhalte, die möglicherweise zwischengespeichert werden könnten (wie Google Maps-Kacheln und Youtube-Videodaten), je nach Browserversion, Betriebssystem, Bildschirmgröße oder sogar einem zufälligen Cookie bedeutete , dass es nicht zwischengespeichert werden kann. Durch das Zwischenspeichern wird wenig Bandbreite für einen Cache in der Nähe des Endbenutzers gespart (obwohl Origin-Server häufig Caches vor sich haben). Für den nicht zwischenspeicherbaren Inhalt fügt ein anderer Cache jeder Anforderung RTT hinzu, wodurch das Surfen langsamer wird.

12
david

Ja, sie werden häufig in der Unternehmenswelt eingesetzt. Vielleicht weniger als früher, aber vor Jahren waren sie gewöhnlich das einzige Tor von einem lokalen Netzwerk zum Internet. In vielen Fällen waren nur einige Domänenbenutzer sogar berechtigt, auf das Internet zuzugreifen, und ein Proxyserver wie ISA) wurde auf dem Netzwerk-Edge konfiguriert, und Benutzer mussten sich authentifizieren, um es zu durchlaufen.

Abgesehen davon, dass nur eingeschränkt wurde, wer auf das Internet zugreifen darf, wurde dies in der Tat zum Filtern von Inhalten, zum Überprüfen von Inhalten und zum Berichten darüber verwendet, wer seine gesamte Arbeitszeit damit verbracht hat, auf Monster.com nach neuen Jobs zu suchen. Es gab auch andere nicht sicherheitsrelevante Funktionen, wie z. B. das Caching. Vor 20 Jahren war es nicht ungewöhnlich, dass Hunderte oder sogar mehrere Tausend Menschen in einer Einrichtung mit einer relativ kleinen Leitung wie einem gebrochenen T-3 oder sogar einem T-1 mit dem Internet verbunden waren. Es war sehr nützlich, Inhalte im lokalen Netzwerk Edge zwischenspeichern zu können, damit die sehr begrenzte Bandbreite der Außenwelt nicht mit wiederholten Anforderungen für dieselben Ressourcen gesättigt war.

10
Xander

Der Zugriff auf akademische Zeitschriften ist häufig eingeschränkt, und manchmal ist ein Teil der Einschränkung die IP-Adresse. Über den Proxyserver meiner Universität (für den ein gültiges Login erforderlich war) konnte ich von zu Hause aus auf Zeitschriften zugreifen (nur in der Vergangenheitsform, da ich es seit einigen Jahren nicht mehr ausprobiert habe). Ich könnte es entweder nur für Websites von Zeitschriftenverlegern festlegen oder eine Proxy-Switching-Erweiterung in Firefox verwenden.

In diesem Fall hätte ich das Universitäts-VPN verwenden können, aber das hier erfordert ein Client-Programm, das nicht unter Linux läuft (geschweige denn auf meinem Chromebook). Ein früheres VPN erforderte viele Einstellungsregeln in einer dummen Benutzeroberfläche, damit grundlegende Dinge funktionieren (wie jede E-Mail, die nicht von ihnen ausgeführt wird).

1
Chris H

Es gibt auch Anwendungsfälle zur Steuerung von Nicht-Browser HTTP-Verkehr:

Automatische Update- und "Phoning Home" -Funktionen in Desktop-Anwendungen können bis zu einem gewissen Grad gesteuert werden, indem tatsächliche, von Fleischgeschirr gesteuerte Webbrowser einen Proxy verwenden, der weniger restriktiv ist als der Netzwerkinfrastruktur erlaubt standardmäßig.

Auf die gleiche Weise können Server überwacht werden - während es auf einem Server einige Prozesse gibt, die legitimen http-Egress-Verkehr erzeugen, ist es wahrscheinlich am hilfreichsten, wenn jemand versucht, den Server zu hacken/zu sabotieren. Außerdem ist es oft sinnvoll, Dokument den gesamten Serverausgangsverkehr (den ein Proxy ausführen kann).

Außerdem verwenden Netzwerke mit geringer Bandbreite (z. B. Satphone oder Umts), die Bandbreite sparen müssen, häufig Proxys, um große Bilder und andere Multimedia-Inhalte neu zu codieren, die in dem gegebenen hochauflösenden Format mit hohem Datenverkehr, insbesondere auf Mobilgeräten, nicht nützlich sind.

0
rackandboneman