Web Proxy Autodiscovery Protocol

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2020. október 5-én felülvizsgált verziótól ; az ellenőrzések 12 szerkesztést igényelnek .

A Web Proxy Auto-Discovery Protocol (WPAD) egy olyan módszer, amelyet az ügyfelek a konfigurációs fájl helyének (URL) meghatározására használnak DHCP és/vagy DNS technológiák segítségével. Miután meghatározta a konfigurációs fájl helyét, és magát a fájlt megszerezte, az ügyfél ennek alapján határozza meg, hogy melyik proxyt használja az egyes URL-ekhez. A WPAD protokoll csak egy konfigurációs fájl keresési mechanizmust határoz meg, és ezzel együtt a leggyakrabban használt konfigurációs fájlformátumot fejlesztette ki a Netscape 1996-ban a Netscape Navigator 2.0 -hoz . [1] A WPAD protokollt először az Inktomi Corporation , a Microsoft Corporation , a RealNetworks, Inc. konzorciuma írta le. és a Sun Microsystems, Inc. . A WPAD protokollt később hivatalosan is dokumentálták az INTERNET-DRAFT-ben, amely 1999 decemberében ért véget. [2] A WPAD protokollt csak a régebbi böngészők támogatják. És először használták az Internet Explorer 5.0-ban.

Leírás

Ahhoz, hogy egy szervezet összes böngészőjét az egyes böngészők manuális konfigurálása nélkül lehessen konfigurálni, a következő két technológiának kell működnie:

Proxy automatikus konfigurációs szabvány PAC): Létre kell hozni és Ennek különböző részleteit különböző cikkek tárgyalják;
Web Proxy Autodiscovery Protocol ( WPAD ) szabvány: Győződjön meg arról, hogy a szervezet összes böngészője megtalálja ezt a fájlt anélkül, hogy manuálisan megadná a helyét. Ez a cikk ezt a folyamatot írja le.

A WPAD-szabvány két alternatív módszert ír le a konfigurációs fájlok helyére vonatkozó információk rendszergazdáknak való terjesztésére a Dynamic Host Configuration Protocol (DHCP) vagy a Domain Name System (DNS) használatával.

Az első oldal betöltése előtt a böngésző ezt a technológiát használja arra, hogy DHCPINFORM kérést küldjön a helyi DHCP-kiszolgálónak, és a kapott URL-t használja a WPAD-szerver válaszbeállításából. Ha a DHCP-kiszolgáló nem tudja megadni a szükséges információkat, akkor a rendszer a DNS-t használja. Ha például a számítógép DNS-neve pc.department.branch.example.com , a böngésző megpróbálja elérni a következő URL-eket a konfigurációs fájl megtalálásához:

http://wpad.department.branch.example.com/wpad.dat
http://wpad.branch.example.com/wpad.dat
http://wpad.example.com/wpad.dat
http://wpad.com/wpad.dat (vegye figyelembe a biztonsági megjegyzést)

(Ezek csak példák az URL-ekre)

Jegyzetek

A DHCP elsőbbséget élvez a DNS-sel szemben: ha a DHCP WPAD URL-t biztosít, a DNS nem használatos. A Firefox nem használ DHCP-t, csak DNS-t .
A DNS-lekérdezés elveti a tartománynév első részét (amely leírja az ügyfél nevét), és lecseréli a wpad -ra . Ezután a tartománynevek hierarchiájában "felfelé mozgás" történik, amíg meg nem találják a konfigurációs fájl helyének címét, vagy meg nem hagyják a szervezet tartományát.
A böngésző megpróbálja meghatározni a szervezet domainjét, és megpróbálja helyettesíteni az olyan tartományneveket, mint a „company.com” vagy „university.edu”, de nem a „company.co.uk” (figyelje meg a biztonsági megjegyzést).
A DNS-lekérdezés feltételezi, hogy a konfigurációs fájl neve mindig wpad.dat . A DHCP protokoll használatakor bármilyen érvényes URL használható. Korábban a PAC-fájl neve általában proxy.pac (természetesen ezt a nevet a rendszer figyelmen kívül hagyja a DNS-módszer használatakor).
A konfigurációs fájl MIME-típusának pontosan „application/x-ns-proxy-autoconfig”-nek kell lennie. Kérjük, olvassa el a Proxy automatikus konfigurációja című részt a részletekért.
Jelenleg csak az Internet Explorer és a Konqueror támogatja mindkét módszert (DHCP és DNS), a DNS-módszert a legtöbb modern böngésző támogatja.

Követelmények

A WPAD működéséhez a következő feltételeknek kell teljesülniük:

DHCP használatakor a szervernek meg kell adnia a "site-local" 252-es beállítást ("auto-proxy-config") egy karakterlánc értékkel, például "http://xxx.yyy.zzz.qqq/wpad.dat" (idézőjelek nélkül, természetesen). ), ahol az xxx.yyy.zzz.qqq a webszerver címe (bármilyen formában: IP vagy DNS ).
DNS használata esetén WPAD hosztnév bejegyzés szükséges.
A WPAD gazdagépnek képesnek kell lennie weblapok kiszolgálására .
Mindkét esetben a webszervert úgy kell beállítani, hogy "application/x-ns-proxy-autoconfig" MIME-típusú .dat fájlokat szolgáltasson ki .
A wpad.dat nevű fájlnak a WPAD gazdagépen kell lennie a gyökérkönyvtárban .
Egy példa PAC-fájl található a Proxy auto-config fájljában .
Legyen óvatos, amikor virtuális tárhelykörnyezetben konfigurálja a WPAD-kiszolgálót . Amikor megtörténik az automatikus proxyészlelés, az Internet Explorer egy „Host: <IP-cím>” típusú fejlécet küld, a Firefox pedig egy „Host: wpad” típusú fejlécet. Mindez kiszámíthatatlan szerver viselkedéshez vezethet, ezért javasolt, hogy a wpad.dat fájl az alapértelmezett Virtual Hostban legyen.
Az Internet Explorer 6.0.2900.2180.xpsp_sp2_rtm verziója a "wpad.dat" helyett a "wpad.da" kifejezést kéri le a webszervertől.
A Windows 2008-tól kezdődően és az azt követő „MS09-008 for Windows Server 2003 DNS- és WINS-kiszolgálók” biztonsági frissítései a globális lekérdezésblokkolista technológiát használják. Archivált 2015. július 1-én a Wayback Machine -en . Erőszakosan tilos WPAD, ISATAP címeket feloldani a DNS-ben a WPAD szerver meghamisítását célzó támadások ellen.

Biztonság

A WPAD protokollt a szervezet összes böngészőjének egyidejű konfigurálásával együtt nagyon óvatosan kell használni – az egyszerű hibák megnyithatják a kaput a támadók előtt, hogy a felhasználói böngészőkön keresztül hajtsanak végre változtatásokat:

A hálózaton belüli támadó elindíthat egy DHCP-kiszolgálót , amely hamis PAC-szkriptet kínál.
Ha a szervezet domainje „company.co.uk”, és a http://wpad.company.co.uk/wpad.dat fájl nem létezik, a böngészők megpróbálják elérni a http://wpad.co.uk/wpad .dat. A böngésző maga nem tudja meghatározni, hogy mikor hagyja el a szervezet domainjét. Egy szemléltető példa – http://wpad.com/ Archivált 2006. július 19-én a Wayback Machine -nél
Ugyanez vonatkozik a http://wpad.org.uk webhelyre is. Ha például egy ilyen webhelyről származó wpad.dat fájlt használja, az összes felhasználói forgalmat átirányíthatja egy online aukciós webhelyre.
A DNS-eltérítési technikákat használó internetszolgáltatók leállíthatják a WPAD DNS-lekérdezést, ha a felhasználókat nem proxy-helyre irányítják át.

A WPAD-fájlon keresztül a támadó átirányíthatja a felhasználók böngészőit a saját proxyjára, elfoghatja az átvitelt, és módosíthatja az összes www-forgalmat. Annak ellenére, hogy 2005-ben egyszerű Windows-módosítást hajtott végre a WPAD kezelésében, ez csak a .com tartomány használatával kapcsolatos problémák ellen véd. A Kiwicon cselekmény-bemutatója megmutatja, milyen figyelmetlenségbe torkollhat egy kis sebezhetőség tekintetében is, amikor egy egyszerű új-zélandi domaint regisztráltak tesztekre, és néhány másodpercen belül megérkeztek hozzá a proxy kérések a világ minden tájáról.

Természetesen az adminisztrátornak meg kell bizonyosodnia arról, hogy a felhasználók megbízhatnak a szervezet összes DHCP-kiszolgálójában, és hogy a szervezet összes lehetséges WPAD-tartománya ellenőrzés alatt áll.

Ezen túlmenően, ha a wpad-domain nincs beállítva a szervezet számára, akkor a felhasználók egy külső, következő wpad-domainhez léphetnek, és használhatják azt saját beállításra. Egy ilyen aldomain regisztrálása egy adott országban lehetővé teszi a középső támadások végrehajtását az egész ország internetes forgalmának nagy részén, ha emellett telepít egy proxyszervert, és az összes forgalmat arra csomagolja.

És végül meg kell említeni, hogy a WPAD metódus valójában megkeresi és letölti a JavaScript fájlt, majd ezt követően végrehajtja azt a böngészőben, ahol azonban a JavaScript már letiltható a beállításokban.

Jegyzetek

↑ Navigátor proxy automatikus konfigurációs fájlformátuma . Netscape Navigator dokumentáció (1996. március). Letöltve: 2009. szeptember 29. Az eredetiből archiválva : 2006. december 18.. (határozatlan)
↑ Gauthier, Paul; Josh Cohen , Martin Dunsmuir , Charles Perkins . INTERNET-DRAFT Web Proxy Auto-Discovery Protocol . IETF (99.07.28.). Hozzáférés dátuma: 2009. október 15. Az eredetiből archiválva : 2012. április 23. (határozatlan)

Linkek

Stefan Pouseele. Az ISA Server 2004 webproxy és tűzfalkliens automatikus konfigurálási folyamatának megértése (holt hivatkozás) . Red Line Software (2005. június 11.). Letöltve: 2010. május 14. Az eredetiből archiválva : 2016. március 13. (Orosz)
de Boyne Pollard, Jonathan Automatikus proxy HTTP-kiszolgáló konfiguráció webböngészőkben . Gyakran adott válaszok (2004). Archiválva az eredetiből 2012. április 23-án. (határozatlan)
Chris Paget. WPAD – Attacking the Proxy (2007). Archiválva az eredetiből 2012. április 23-án. (határozatlan)
David W. Hankins. HOGYAN: WPAD (2008). Archiválva az eredetiből 2012. április 23-án. (határozatlan)

IETF 1999: Web Proxy Auto-Discovery Protocol Az eredetiről archiválva 2012. április 23-án. — Lejárt internetes tervezet.
http://wpad.com/ Archivált 2006. július 19-én a Wayback Machine -nél – ahová a .com tartományokból származó összes páratlan WPAD-forgalom irányul.
Waikato Linux Users Group Wiki 2004: WPAD
FindProxyForURL.com archiválva 2010. április 12-én a Wayback Machine -nél – A proxy automatikus konfigurációs erőforrásai (PAC-fájl és WPAD-példák)
Proxy konfigurációs megjegyzések a Konquerorhoz
AutoProxy Windowshoz Teljesen automatikus proxykonfigurációs eszköz az Internet Explorerhez és a Firefoxhoz hálózati helyprofilokon alapuló (ingyenes szoftver)
Navigátor proxy automatikus – konfigurációs fájlformátum _