Protocolul de descoperire automată proxy web

Web Proxy Auto-Discovery Protocol (WPAD) este o metodă utilizată de clienți pentru a determina locația (URL-ul) unui fișier de configurare folosind tehnologiile DHCP și/sau DNS. Odată ce locația fișierului de configurare este determinată și fișierul în sine este obținut, clientul îl folosește pentru a determina ce proxy să folosească pentru fiecare URL particular. Protocolul WPAD definește doar un mecanism de căutare a fișierelor de configurare și, odată cu acesta, cel mai frecvent utilizat format de fișier de configurare a fost dezvoltat de Netscape în 1996 pentru Netscape Navigator 2.0 . [1] Protocolul WPAD a fost descris pentru prima dată de un consorțiu al Inktomi Corporation , Microsoft Corporation , RealNetworks, Inc. și Sun Microsystems, Inc. . Protocolul WPAD a fost ulterior documentat oficial în INTERNET-DRAFT, care s-a încheiat în decembrie 1999. [2] Protocolul WPAD este acceptat doar de browserele mai vechi. Și pentru prima dată a fost folosit în Internet Explorer 5.0.

Descriere

Pentru ca toate browserele dintr-o organizație să fie configurate fără a configura manual fiecare browser, trebuie să funcționeze următoarele două tehnologii:

• Standard de configurare automată proxy PAC): Un fișier de configurare trebuie creat și pus la Diverse detalii despre aceasta sunt acoperite în diverse articole;
• Standardul Web Proxy Autodiscovery Protocol ( WPAD ): trebuie să vă asigurați că toate browserele din organizația dvs. pot găsi acest fișier fără a specifica manual locația acestuia. Acest articol descrie acest proces.

Standardul WPAD descrie două metode alternative de distribuire a informațiilor despre locația fișierului de configurare către administratorii de sistem utilizând Protocolul de configurare dinamică a gazdei (DHCP) sau Sistemul de nume de domeniu (DNS).

Înainte ca prima pagină să fie încărcată, browserul folosește această tehnologie pentru a trimite o solicitare DHCPINFORM către serverul DHCP local și folosește URL-ul rezultat din opțiunea de răspuns a serverului WPAD. Dacă serverul DHCP nu poate furniza informațiile necesare, atunci este utilizat DNS. Dacă, de exemplu, numele DNS al computerului este pc.department.branch.example.com , browserul va încerca să acceseze următoarele adrese URL pentru a găsi fișierul de configurare:

• http://wpad.department.branch.example.com/wpad.dat
• http://wpad.branch.example.com/wpad.dat
• http://wpad.example.com/wpad.dat
• http://wpad.com/wpad.dat (rețineți nota de securitate)

(Acestea sunt doar exemple de adrese URL)

Note

• DHCP are prioritate față de DNS: dacă DHCP oferă o adresă URL WPAD, DNS nu este utilizat. Firefox nu folosește DHCP, ci doar DNS .
• Interogarea DNS elimină prima parte a numelui de domeniu (care descrie numele clientului) și o înlocuiește cu wpad . Apoi are loc o „mișcare în sus” în ierarhia numelor de domenii până când se găsește adresa locației fișierului de configurare sau se părăsește domeniul organizației.
• Browserul încearcă să determine domeniul organizației și încearcă să înlocuiască nume de domenii precum „company.com” sau „university.edu”, dar nu „company.co.uk” (rețineți nota de securitate).
• Interogarea DNS presupune că numele fișierului de configurare este întotdeauna wpad.dat . Când utilizați protocolul DHCP, poate fi utilizată orice adresă URL validă. Din punct de vedere istoric, fișierul PAC este de obicei numit proxy.pac (desigur, acest nume este ignorat atunci când se folosește metoda DNS).
• Tipul MIME al fișierului de configurare trebuie să fie exact „application/x-ns-proxy-autoconfig”. Vă rugăm să citiți Auto-config proxy pentru detalii.
• În prezent, numai Internet Explorer și Konqueror acceptă ambele metode (DHCP și DNS), metoda DNS este acceptată de majoritatea browserelor moderne.

Cerințe

Pentru ca WPAD să funcționeze, trebuie îndeplinite următoarele condiții:

• Când se utilizează DHCP, serverul trebuie să furnizeze opțiunea 252 „site-local” („auto-proxy-config”) cu o valoare șir precum „http://xxx.yyy.zzz.qqq/wpad.dat” (fără ghilimele, desigur). ), unde xxx.yyy.zzz.qqq este adresa serverului web (sub orice formă: IP sau DNS ).
• Când utilizați DNS, este necesară o intrare de nume de gazdă WPAD.
• Gazda WPAD trebuie să poată servi pagini web .
• În ambele cazuri, serverul web trebuie configurat pentru a servi fișiere .dat cu tip MIME „application/x-ns-proxy-autoconfig” .
• Fișierul numit wpad.dat trebuie să fie localizat pe gazda WPAD în directorul rădăcină .
• Un exemplu de fișier PAC poate fi găsit în Proxy auto-config .
• Aveți grijă când configurați serverul WPAD într-un mediu de găzduire virtuală . Când are loc detectarea automată a proxy-ului, Internet Explorer trimite un antet precum „Gazdă: <adresă IP>”, iar Firefox trimite un antet precum „Gazdă: wpad”. Toate acestea pot duce la un comportament imprevizibil al serverului, de aceea este recomandat ca fișierul wpad.dat să fie localizat în gazda virtuală implicită.
• Internet Explorer versiunea 6.0.2900.2180.xpsp_sp2_rtm solicită serverului web „wpad.da” în loc de „wpad.dat”.
• Începând cu Windows 2008 și actualizările de securitate ulterioare, „MS09-008 pentru serverele DNS și WINS Windows Server 2003” utilizează  tehnologia listei de blocare a interogărilor globale . Arhivată la 1 iulie 2015 la Wayback Machine . Este interzisă forțat rezolvarea adreselor WPAD, ISATAP în DNS pentru a contracara atacurile de falsificare a serverului WPAD.

Securitate

Împreună cu capacitatea de a configura foarte ușor toate browserele dintr-o organizație simultan, protocolul WPAD trebuie utilizat cu mare atenție - greșelile simple pot deschide ușa atacatorilor pentru a face modificări prin browserele utilizatorilor:

• Un atacator din interiorul rețelei poate lansa un server DHCP care va oferi un script PAC fals.
• Dacă domeniul organizației este „company.co.uk” și fișierul http://wpad.company.co.uk/wpad.dat nu există, browserele vor încerca să acceseze http://wpad.co.uk/wpad .dat. Browserul în sine nu poate determina când părăsește domeniul organizației. Un exemplu ilustrativ - http://wpad.com/ Arhivat 19 iulie 2006 la Wayback Machine
• Același lucru este valabil și pentru http://wpad.org.uk. De exemplu, dacă utilizați fișierul wpad.dat de pe un astfel de site, puteți redirecționa tot traficul utilizatorilor către un site de licitații online.
• ISP -urile care folosesc tehnici de deturnare DNS pot opri o interogare DNS WPAD prin redirecționarea utilizatorilor către un site non-proxy.

Printr-un fișier WPAD, un atacator poate redirecționa browserele utilizatorilor către propriul proxy, poate intercepta transmisia și poate modifica tot traficul www. În ciuda faptului că a făcut o simplă modificare Windows la gestionarea WPAD în 2005, acesta protejează numai împotriva problemelor de utilizare a domeniului .com. Prezentarea complot- ului Kiwicon arată în ce neatenție se poate transforma chiar și în ceea ce privește o mică vulnerabilitate, când un domeniu simplu din Noua Zeelandă a fost înregistrat pentru teste și cererile de proxy din întreaga lume au început să ajungă la el în câteva secunde.

Desigur, administratorul trebuie să se asigure că utilizatorii pot avea încredere în toate serverele DHCP din organizație și că toate domeniile WPAD posibile pentru organizație sunt sub control.

Mai mult, dacă domeniul wpad nu este configurat pentru organizație, atunci utilizatorii pot merge la un domeniu extern, următorul wpad și îl pot folosi pentru auto-configurare. Înregistrarea unui astfel de subdomeniu într-o anumită țară va permite să se efectueze atacuri de tip man-in-the-middle pe o mare parte din traficul de internet al întregii țări, dacă instalați suplimentar un server proxy și închegeți tot traficul pe acesta.

Și în sfârșit, trebuie menționat că metoda WPAD caută și descarcă efectiv fișierul JavaScript, după care îl execută în browser, unde, însă, JavaScript poate fi deja dezactivat în setări.

Note

1. ↑ Navigator Proxy Auto-Config File Format . Documentația Netscape Navigator (martie 1996). Consultat la 29 septembrie 2009. Arhivat din original pe 18 decembrie 2006. (nedefinit)
2. ↑ Gauthier, Paul; Josh Cohen , Martin Dunsmuir , Charles Perkins . INTERNET-DRAFT Web Proxy Protocol de descoperire automată . IETF (28.07.99). Data accesului: 15 octombrie 2009. Arhivat din original la 23 aprilie 2012. (nedefinit)

Link -uri

• Stefan Pouseele. Înțelegerea procesului de configurare automată a clientului proxy web și firewall în ISA Server 2004 (link mort) . Red Line Software (11 iunie 2005). Consultat la 14 mai 2010. Arhivat din original la 13 martie 2016. (Rusă) 
• de Boyne Pollard, Jonathan Configurarea automată a serverului HTTP proxy în browserele web . Frequently Given Answers (2004). Arhivat din original pe 23 aprilie 2012. (nedefinit)
• Chris Paget. WPAD - Attacking the Proxy (2007). Arhivat din original pe 23 aprilie 2012. (nedefinit)
• David W. Hankins. HOWTO: WPAD (2008). Arhivat din original pe 23 aprilie 2012. (nedefinit)

• IETF 1999: Web Proxy Auto-Discovery Protocol Arhivat din original pe 23 aprilie 2012.  — Schiță de internet expirată.
• http://wpad.com/ Arhivat la 19 iulie 2006 la Wayback Machine — unde se duce tot traficul WPAD de neegalat de la domeniile .com.
• Waikato Linux Users Group Wiki 2004: WPAD
• FindProxyForURL.com Arhivat 12 aprilie 2010 la Wayback Machine  - Resurse de configurare automată proxy (Fișier PAC și Exemple WPAD)
• Note de configurare proxy pentru Konqueror
• AutoProxy pentru Windows Instrument de configurare proxy complet automat pentru Internet Explorer și Firefox, bazat pe profilurile de locație în rețea (gratuit)
• Navigator Proxy Auto - Format fișier de configurare