www.wikidata.de-de.nina.az

Proxy Rechnernetz Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen beispielsweise Einzelnach

Proxy (Rechnernetz)

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

Ein Proxy (von englisch proxy representative „Stellvertreter“, von lateinisch Procuratorem „für etwas Sorge tragen“) ist eine Kommunikationsschnittstelle in einem Netzwerk aus Rechnern in Form eines physischen Computers (z. B. Server oder seltener auch Personal Computer). Er arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen.

Schematische Darstellung eines Proxys (in der Bildmitte), der die Datenübertragung zwischen den beiden äußeren Rechnern weiterreicht

Wird der Proxy als Netzwerkkomponente eingesetzt, bleibt einerseits die tatsächliche Adresse eines Kommunikationspartners dem jeweils anderen Kommunikationspartner verborgen, was eine gewisse Anonymität schafft. Als (mögliches) Verbindungsglied zwischen unterschiedlichen Netzwerken kann er andererseits eine Verbindung zwischen Kommunikationspartnern selbst dann realisieren, wenn deren Adressen zueinander inkompatibel sind und eine direkte Verbindung nicht möglich ist.

Im Unterschied zu einer einfachen Adressumsetzung (NAT) kann ein Proxy-Server, auch Dedicated Proxy genannt, die Kommunikation selbst führen und beeinflussen, statt die Pakete ungesehen durchzureichen. Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. HTTP oder FTP, kann er die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird. Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut vom Ziel anfordern zu müssen. Auf einem einzigen Gerät kommen oft mehrere Dedicated Proxies parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.

Ein Generischer Proxy, auch Circuit Level Proxy genannt, wird als protokollunabhängiger Filter als Teil einer Firewall angewandt. Er realisiert dort ein port- und adressbasiertes Filtermodul, welches zudem eine (mögliche) Authentifizierung für den Verbindungsaufbau unterstützt. Daneben kann er für eine einfache Weiterleitung genutzt werden, indem er auf einem Port einer Netzwerkschnittstelle lauscht und die Daten auf einen anderen Netzwerkschnittstelle weitergibt. Dabei kann er die Kommunikation weder einsehen noch sie selbst führen oder beeinflussen, da er das Kommunikationsprotokoll nicht kennt.

Arbeitsweise und Abgrenzung Bearbeiten

Der Unterschied zu einem NAT-Gerät Bearbeiten

Technisch gesehen arbeitet ein typischer Proxy als ein in den Verkehr eingreifender Kommunikationspartner auf der OSI-Schicht 7, wobei die Verbindungen auf beiden Seiten terminiert werden (es handelt sich somit um zwei eigenständige Verbindungen), statt die Pakete wie ein NAT-Gerät einfach durchzureichen. Ein solcher Dedicated Proxy ist also ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt, und wird daher auch Proxy-Server genannt: Als aktiver Vermittler verhält er sich dem anfragenden Client gegenüber wie ein Server, der anderen Seite, dem Zielsystem, gegenüber wie ein Client.

Überschneidungen zu NAT gibt es allerdings bei dem generischen, auf den OSI-Schichten 3 und 4 operierenden Circuit Level Proxy, der unter Umständen auf die Technik der einfachen Adressumsetzung zurückgreift. Dessen ungeachtet nimmt NAT eine kaum beachtete Rolle unter den Proxys ein. Daher wird im Folgenden von der erstbeschriebenen Variante ausgegangen, wenn allgemein von einem (typischen) Proxy die Rede ist.

Überblick Bearbeiten

Sichtbarkeiten Bearbeiten

Ein konventioneller Proxy tritt beiden Seiten selbst als Kommunikationspartner gegenüber. Er wird von ihnen also bewusst angesprochen (adressiert). Hier bittet der Client den Proxy, stellvertretend für ihn die Kommunikation mit dem Zielsystem zu übernehmen. So wird z. B. der Webbrowser derart konfiguriert, dass er sämtliche Anfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet.

Daneben gibt es den transparenten Proxy als spezielle Netzwerkkomponente, der sich einer der beiden Seiten gegenüber transparent (nahezu unsichtbar) verhält. Diese Seite adressiert direkt das Ziel und nicht den Proxy. Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage automatisch über den Proxy dorthin geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann. Für die andere Seite aber stellt der Proxy weiterhin den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird.

Somit tritt ein Proxy generell für wenigstens eine der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung.

Lage Bearbeiten

Ein Proxy als separate Netzwerkkomponente befindet sich physisch zwischen dem Quell- und Zielsystem. Innerhalb eines IP-Netzes nimmt er eine Übersetzung der IP-Adresse vor, sobald die Datenpakete durch das Netz hindurch auf ihrem Weg zum Ziel den Proxy passieren. Dadurch lassen sich die wahre IP-Adresse des tatsächlichen Kommunikationspartners verbergen und einzelne Teilnehmer eines Netzes oder gar ganze Netzwerke selbst dann miteinander verbinden, wenn sie adressierungstechnisch inkompatibel zueinander sind. Letzteres wird durch eine Netzwerkadressübersetzung ermöglicht, die es einem Proxy z. B. gestattet, ein privates (in sich geschlossenes) Netz über eine einzige offizielle IP-Adresse mit dem Internet zu verbinden. Da das Zielsystem nicht den Client, sondern nur den Proxy sieht, sind mögliche Angriffe von dort an den dafür prädestinierten Proxy gerichtet und treffen nicht direkt den Client.

Der lokale Proxy läuft dagegen direkt auf dem Quell- oder Zielsystem und befindet sich zwischen dem zu kontaktierenden Netzwerkdienst und dem anfragenden Client. Er wird meist als Filter oder Konverter eingesetzt. Da er vor Ort in Aktion tritt, also noch bevor die Pakete in das Netz geleitet werden (lokaler Proxy auf dem Quellsystem), oder nachdem die Pakete das Zielsystem erreicht haben (lokaler Proxy auf dem Zielsystem), ist dieser Proxy nicht in der Lage, die wahre IP-Adresse des Kommunikationssystems zu verbergen. Das unterscheidet ihn maßgeblich von anderen Proxys eines IP-Netzwerkes. Allerdings kann ein lokaler Proxy auf dem Quellsystem durchaus dabei behilflich sein, die Netzwerkanfrage automatisiert über einen externen Proxy zu schicken, wobei der lokale Proxy diese Art der Umleitung dann verwaltet und somit seinen Teil zur Anonymisierung der eigenen IP-Adresse beiträgt.

Mögliche Funktionen eines Proxys Bearbeiten

Der Proxy als Netzwerkkomponente Bearbeiten

Um zu verstehen wie es einem solchen Gerät gelingen kann, die Identität der wahren Kommunikationspartner zu verbergen, kann es hilfreich sein, wenn man sich den Proxy als automatisiertes Postfach vorstellt: Wird von der verdeckten (internen) Adresse aus ein Paket durch den Proxy hindurch in das externe Netz geschickt, verbindet sich der Proxy selbst mit dem Zielsystem und versieht so die ausgehenden Pakete automatisch mit seiner eigenen Absenderadresse.

Das Zielsystem schickt seine Antwortpakete nun zurück zum Postfach (Proxy), welcher die empfangenen Pakete ggf. analysiert und danach an den internen Client weiterreicht. Auf diese Weise leitet der Proxy alle aus dem externen Netz eingehenden Antwortpakete an den tatsächlichen Empfänger aus dem internen Netz weiter, ohne dass der Absender die tatsächliche (interne) Adresse des Empfängers kennt.

Der lokale Proxy Bearbeiten

Auch bei einer lokal auf dem Quell- oder Zielsystem installierten Proxy-Software wird intern eine Adresskonvertierung vorgenommen. Das ist Teil ihrer internen Arbeitsweise und kann sich auf eine Umleitung des Ports beschränken, bezieht sich oft aber auf eine Umsetzung zu Localhost (der sogenannten Loopback-Schnittstelle 127.0.0.1).

Auf dem Quellsystem Bearbeiten

Als Beispiel könnte eine Anwendung ihre Internetanfragen nicht mehr direkt zum Zielsystem, sondern an ihr eigenes System zum Port der dort installierten Proxysoftware schicken. Dafür muss die Anwendung entsprechend konfiguriert werden. Die Proxy-Software ermittelt nun die Adresse des gewünschten Zielsystems und leitet die Anfrage stellvertretend für die Anwendung dorthin. Dabei wird als Absender die Adresse des Quellsystems nebst Rückgabeport der Proxy-Software angegeben, damit die Antwortpakete wieder den lokalen Proxy erreichen, der sie dann an die ursprüngliche Anwendung durchreichen kann. Auf diese Weise kann ein solcher Proxy ausgehende Anforderungen genauso analysieren (und ggf. filtern) wie die Antworten des Zielsystems. Polipo ist so eine freie Proxy-Software für das Hypertext Transfer Protocol (HTTP) mit Caching- und Filterfunktionalität, z. B. für den Laptop oder das Netbook. Ein anderes Beispiel für einen lokalen Proxy ist Proxomitron, der unter anderem verhindert, dass JavaScripte die Browseridentität und dessen Versionsnummer auflösen und das Betriebssystem auslesen. Auch der Spam-Filter SpamPal wird mit einem lokalen Proxy installiert, zumindest für gewisse Mailclients wie Vivian Mail.

Auf dem Zielsystem Bearbeiten

Hierbei schickt die Anwendung auf dem Quellsystem ihre Anfragen direkt zum Zielsystem. Ohne dass es dem Quellsystem bewusst sein muss, verbirgt sich jedoch hinter dem adressierten Port des Zielsystems nicht der begehrte Netzwerkdienst, sondern eine Proxy-Software.

Die Proxy-Software nimmt somit Anfragen aus dem Netz entgegen und stellt dann stellvertretend für das Quellsystem eine Verbindung zum tatsächlichen Netzwerkdienst seines eigenen Systems her. Dieser beantwortet die Anfrage und schickt die Antwort zurück zur Proxy-Software, welche sie nun analysieren und beliebig verändern oder auch nur statistisch auswerten kann, bevor sie sie zum tatsächlichen Client weiterleitet.

Proxybezeichnungen Bearbeiten

Dedicated Proxy (Proxy-Server) Bearbeiten

Ein Dedicated Proxy ist ein Dienstprogramm, das im Datenverkehr zwischen dem anfragenden Client und dem Zielsystem vermittelt. Er ist auf das Kommunikationsprotokoll spezialisiert, das der Dienst verwendet, und kann daher die Kommunikation analysieren und bei Bedarf deren Inhalt manipulieren. Darüber hinaus kann er eigenständig Anfragen an den Kommunikationspartner senden und mitunter als Zwischenspeicher fungieren (also von sich aus auf eine Anfrage antworten, ohne sie erneut vom tatsächlichen Zielsystem anfordern zu müssen).

Manchmal wird er lokal auf dem Quell- oder Zielsystem installiert, um dort die entsprechende Aufgabe vor Ort umzusetzen. Demgegenüber kann es sich hierbei auch um ein aktiv in die Kommunikation eingreifendes Filtermodul handeln, das auf einer Proxy-Firewall aufgesetzt wird. Unter anderem kommen Dedicated Proxys als (z. B. SMTP-) Virenscanner oder (z. B. FTP-) Verbindungs- und Befehlsfilter zum Einsatz.

Auf einem einzigen Gerät können mehrere Dedicated Proxys parallel laufen, um unterschiedliche Protokolle bedienen zu können. Da er in die Pakete hineinsehen muss, verrichtet ein Dedicated Proxy seine Arbeit auf der OSI-Schicht 7.

Häufig werden Dedicated Proxys für die folgenden Protokolle verwendet:

Circuit Level Proxy (generischer Proxy) Bearbeiten

Als Circuit Level Proxy (auch Generischer Proxy genannt) wird ein Paketfiltermodul bezeichnet, mit dem man auf einer Firewall beliebige IP-Adressen und Ports sperren bzw. freischalten kann, ohne jedoch die Möglichkeit zu haben, die Paketinhalte damit zu analysieren.

Ein solcher Proxy, der auf den OSI-Schichten 3 und 4 operiert, reicht die Pakete mitunter einfach durch, ohne die Verbindungen selbst zu terminieren. Der Circuit Level Proxy realisiert die Adressumsetzung dann mithilfe von NAT auf der OSI-Schicht 3. Während die Adressfilterung ebenfalls auf der dritten OSI-Schicht angesiedelt ist, realisiert er zudem eine Port-Filterung auf der vierten OSI-Schicht.

Es gibt auch Circuit Level Proxys, die dank einem speziellen Protokoll eine Authentifizierung auf der OSI-Schicht 5 realisieren können. Der Client holt sich so eine Verbindungsgenehmigung z. B. per Eingabe einer Kennung nebst Passwort. Dieses spezielle Authentifizierungsprotokoll muss der Client allerdings kennen, weshalb ein derart befähigter Circuit Level Proxy weniger generisch ist (er funktioniert nur mit Anwendungen auf dem Client zusammen, die entsprechend erweitert wurden). Als Beispiel für ein solches Authentifizierungsprotokoll sei SOCKS genannt. Solch ein erweiterter Circuit Level Proxy greift nicht zwangsläufig auf NAT zurück. Einige von ihnen machen dies gar vom Protokoll abhängig; so wird z. B. die TCP-Verbindung terminiert, während eine UDP-Verbindung schlicht weitergereicht wird.

Ein generischer Proxy kann auch für eine einfache Weiterleitung genutzt werden. Der denkbar einfachste Proxy ist das Linux-Programm Redir, das auf einer Schnittstelle und einem Port lauscht und die Daten auf ein anderes Interface und Port weitergibt. Dies ist auch mit dem iptables-Kommando unter Linux möglich und wird beispielsweise verwendet, um den Exit-Datenverkehr eines Tor-Servers über mehrere Proxys zu leiten, um so den Tor-Server zu schützen.

Proxy-Firewall Bearbeiten

Eine Proxy-Firewall ist eine Firewall, die auf Dedicated Proxys oder Circuit Level Proxys als Filtermodule zurückgreift. Diese Filtermodule setzen Regeln um, indem sie entscheiden, welche Daten an den tatsächlichen Kommunikationspartner weitergeleitet werden und welche nicht. Auf diese Weise versucht die Proxy-Firewall das eigene Netz(segment) vor unerlaubten Zugriffen zu schützen. Sie kann darüber hinaus aber auch eine Konvertierung der Daten vornehmen, bestimmte Inhalte zwischenspeichern und sämtliche weiteren Funktionen ausüben, die einem Proxy eigen sind.

Dedicated Proxys auf einer Stateful Inspection Firewall Bearbeiten

Einige Hersteller bieten für ihre Stateful Inspection Firewall (SIF) ebenfalls Dedicated Proxys an. Definitionstechnisch ist das allerdings ein wenig problematisch: Da dieser Firewalltyp nach dem ursprünglichen Konzept von Checkpoint lediglich auf einem generischen Paketfilter basiert, und sich so ausschließlich auf Paketfilter-Regeln konzentriert, wird eine SIF ganz klar als Paketfilter-Firewall klassifiziert. Wird dort allerdings ein Dedicated Proxy aktiviert, so ist die SIF tatsächlich keine Paketfilter-Firewall mehr, sondern gehört dann der Kategorie Proxy-Firewall an, die eine Stateful Packet Inspection durchführt. Diese exakte Unterscheidung wird in der Fachwelt jedoch selten vorgenommen, weshalb eine als SIF klassifizierte Firewall in der Praxis nur zum Teil der Definition einer Paketfilter-Firewall gerecht wird.

Transparenter Proxy Bearbeiten

Ein Transparenter Proxy besteht grundsätzlich aus zwei Komponenten. Zunächst werden am Router die gewünschten Ports der Protokolle abgegriffen (beispielsweise über Iptables unter Einsatz eines Redirects) und dann an einen Proxy weitergeleitet. Für den Anwender ist die Verbindung über einen transparenten Proxy in der Benutzung nicht von einer direkten Verbindung über den Router zu unterscheiden. Das Vorhandensein eines transparenten Proxys bietet aber den Vorteil, dass eine Konfiguration der Proxyeinstellungen am einzelnen PC unterbleiben kann (siehe Abschnitt Sichtbarkeiten).

Reverse Proxy Bearbeiten

Ein Reverse Proxy, der Anfragen vom Internet übernimmt und sie zu anderen Servern im internen Netzwerk weiterleitet. Die Anfragenden verbinden sich zum Proxy, und es mag sein, dass sie vom internen Netzwerk nicht Bescheid wissen.

Ein Proxy tritt im Falle des Reverse Proxys als vermeintliches Zielsystem in Erscheinung, wobei die Adressumsetzung dann in der entgegengesetzten Richtung vorgenommen wird und so dem Client die wahre Adresse des Zielsystems verborgen bleibt. Während ein typischer Proxy dafür verwendet werden kann, mehreren Clients eines internen (privaten – in sich geschlossenen) Netzes den Zugriff auf ein externes Netz zu gewähren, funktioniert ein Reverse Proxy genau andersherum.

Die Internetzugriffe des Browsers über einen Proxy leiten Bearbeiten

Es gibt mehrere Möglichkeiten, die Zugriffe des Browsers über einen Proxy zu leiten:

Mögliche Probleme bei der Verwendung eines Proxys Bearbeiten

Gefahren Bearbeiten

Ein schlecht konfigurierter Proxy kann eine Gefahr darstellen, da er Dritten erlaubt, über die Adresse des Proxys im Internet zu agieren. Als Beispiel könnte der Proxy für einen Angriff oder – ähnlich einem offenen Mail-Relay – zum Versenden von Spam missbraucht werden. Bei einem Missbrauch wird dann als Quelle der Proxy ermittelt, was unter Umständen unangenehme Folgen für den Betreiber haben kann.

Statistik für Zugriffe Bearbeiten

Besonders kommerzielle Server, die Werbeflächen vermieten, begründen ihre Attraktivität für Werbung mit Zugriffszahlen, deren Statistik vom Webserver erzeugt wird. Proxy-Server und Filter beeinflussen diese Zahlen natürlich negativ, da aus dem Cache gelieferte Inhalte dort nicht erscheinen und ein Teil der Werbung erst gar nicht geladen wird. Manche Anbieter von Webseiten bemühen sich daher, ihre Inhalte schlecht oder gar nicht cache-fähig zu gestalten.

Proxy-Protokolldateien können anwenderspezifisch ausgewertet werden. So können Statistiken über Benutzer (oder IP-Adressen), deren besuchte Webseiten und Verweildauer auf den Webseiten erstellt werden.

Proxy als Anonymisierungsdienst Bearbeiten

In verschiedenen Internetforen, und auch der Wikipedia, wird das Anlegen oder Verändern von Beiträgen über offene Proxy-Server oft durch Sperrung der entsprechenden IP-Adressen verhindert, um eine anonyme Teilnahme zu erschweren. Sinnvollerweise wird dies oft nur für nicht angemeldete Anwender vorgenommen.

Zu bedenken bleibt, dass der Betreiber eines offenen Proxys nahezu die volle Kontrolle über die Sitzung hat, dabei Daten aufzeichnen und beliebige Webinhalte fälschen kann, ohne dass der Anwender davon etwas bemerkt.

Um die Gefahr eines Missbrauchs des Anonymisierungsdienstes durch den Betreiber des Proxys einzugrenzen, könnten Konzepte wie F2F eine Lösung bieten: Bei einem F2F-Proxy werden die Daten durch einen „Freund“ geleitet; dies erhöht die Sicherheit, da keine unbekannten Proxy-Server genutzt werden. Das Friend-to-Friend-Netzwerk garantiert, dass ausschließlich private und geprüfte Verbindungen genutzt werden. Abhilfe können auch gängige Verschlüsselungs- und Zertifizierungsverfahren bieten, wie SSL/TLS mit dem Zielsystem hinter dem Proxy, beispielsweise durch die Nutzung einer HTTPS-Verbindung. Hierbei kann der Proxy keine Manipulation vornehmen, zumindest solange die Implementierung des genutzten Verfahrens nicht fehlerhaft ist und das Verfahren selbst nicht untergraben wird.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. Was ist ein Proxy-Server? Abgerufen am 10. Januar 2022.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen beispielsweise Einzelnachweisen ausgestattet Angaben ohne ausreichenden Beleg konnten demnachst entfernt werden Bitte hilf Wikipedia indem du die Angaben recherchierst und gute Belege einfugst Ein Proxy von englisch proxy representative Stellvertreter von lateinisch Procuratorem fur etwas Sorge tragen ist eine Kommunikationsschnittstelle in einem Netzwerk aus Rechnern in Form eines physischen Computers z B Server oder seltener auch Personal Computer Er arbeitet als Vermittler der auf der einen Seite Anfragen entgegennimmt um dann uber seine eigene Adresse eine Verbindung zur anderen Seite herzustellen Schematische Darstellung eines Proxys in der Bildmitte der die Datenubertragung zwischen den beiden ausseren Rechnern weiterreichtWird der Proxy als Netzwerkkomponente eingesetzt bleibt einerseits die tatsachliche Adresse eines Kommunikationspartners dem jeweils anderen Kommunikationspartner verborgen was eine gewisse Anonymitat schafft Als mogliches Verbindungsglied zwischen unterschiedlichen Netzwerken kann er andererseits eine Verbindung zwischen Kommunikationspartnern selbst dann realisieren wenn deren Adressen zueinander inkompatibel sind und eine direkte Verbindung nicht moglich ist Im Unterschied zu einer einfachen Adressumsetzung NAT kann ein Proxy Server auch Dedicated Proxy genannt die Kommunikation selbst fuhren und beeinflussen statt die Pakete ungesehen durchzureichen Auf ein bestimmtes Kommunikationsprotokoll spezialisiert wie z B HTTP oder FTP kann er die Daten zusammenhangend analysieren Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen aber auch entscheiden ob und in welcher Form die Antwort des Ziels an den tatsachlichen Client weitergereicht wird Mitunter dient er dazu bestimmte Antworten zwischenzuspeichern damit sie bei wiederkehrenden Anfragen schneller abrufbar sind ohne sie erneut vom Ziel anfordern zu mussen Auf einem einzigen Gerat kommen oft mehrere Dedicated Proxies parallel zum Einsatz um unterschiedliche Protokolle bedienen zu konnen Ein Generischer Proxy auch Circuit Level Proxy genannt wird als protokollunabhangiger Filter als Teil einer Firewall angewandt Er realisiert dort ein port und adressbasiertes Filtermodul welches zudem eine mogliche Authentifizierung fur den Verbindungsaufbau unterstutzt Daneben kann er fur eine einfache Weiterleitung genutzt werden indem er auf einem Port einer Netzwerkschnittstelle lauscht und die Daten auf einen anderen Netzwerkschnittstelle weitergibt Dabei kann er die Kommunikation weder einsehen noch sie selbst fuhren oder beeinflussen da er das Kommunikationsprotokoll nicht kennt Inhaltsverzeichnis 1 Arbeitsweise und Abgrenzung 1 1 Der Unterschied zu einem NAT Gerat 2 Uberblick 2 1 Sichtbarkeiten 2 2 Lage 2 3 Mogliche Funktionen eines Proxys 3 Der Proxy als Netzwerkkomponente 4 Der lokale Proxy 4 1 Auf dem Quellsystem 4 2 Auf dem Zielsystem 5 Proxybezeichnungen 5 1 Dedicated Proxy Proxy Server 5 2 Circuit Level Proxy generischer Proxy 5 3 Proxy Firewall 5 3 1 Dedicated Proxys auf einer Stateful Inspection Firewall 5 4 Transparenter Proxy 5 5 Reverse Proxy 6 Die Internetzugriffe des Browsers uber einen Proxy leiten 7 Mogliche Probleme bei der Verwendung eines Proxys 7 1 Gefahren 7 2 Statistik fur Zugriffe 7 3 Proxy als Anonymisierungsdienst 8 Weblinks 9 EinzelnachweiseArbeitsweise und Abgrenzung BearbeitenDer Unterschied zu einem NAT Gerat Bearbeiten Technisch gesehen arbeitet ein typischer Proxy als ein in den Verkehr eingreifender Kommunikationspartner auf der OSI Schicht 7 wobei die Verbindungen auf beiden Seiten terminiert werden es handelt sich somit um zwei eigenstandige Verbindungen statt die Pakete wie ein NAT Gerat einfach durchzureichen Ein solcher Dedicated Proxy ist also ein Dienstprogramm fur Computernetze das im Datenverkehr vermittelt und wird daher auch Proxy Server genannt Als aktiver Vermittler verhalt er sich dem anfragenden Client gegenuber wie ein Server der anderen Seite dem Zielsystem gegenuber wie ein Client Uberschneidungen zu NAT gibt es allerdings bei dem generischen auf den OSI Schichten 3 und 4 operierenden Circuit Level Proxy der unter Umstanden auf die Technik der einfachen Adressumsetzung zuruckgreift Dessen ungeachtet nimmt NAT eine kaum beachtete Rolle unter den Proxys ein Daher wird im Folgenden von der erstbeschriebenen Variante ausgegangen wenn allgemein von einem typischen Proxy die Rede ist Uberblick BearbeitenSichtbarkeiten Bearbeiten Ein konventioneller Proxy tritt beiden Seiten selbst als Kommunikationspartner gegenuber Er wird von ihnen also bewusst angesprochen adressiert Hier bittet der Client den Proxy stellvertretend fur ihn die Kommunikation mit dem Zielsystem zu ubernehmen So wird z B der Webbrowser derart konfiguriert dass er samtliche Anfragen nicht direkt zur Zieladresse schickt sondern als Anforderung formuliert zum Proxy sendet Daneben gibt es den transparenten Proxy als spezielle Netzwerkkomponente der sich einer der beiden Seiten gegenuber transparent nahezu unsichtbar verhalt Diese Seite adressiert direkt das Ziel und nicht den Proxy Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage automatisch uber den Proxy dorthin geleitet ohne dass der Absender dies bemerkt oder gar beeinflussen kann Fur die andere Seite aber stellt der Proxy weiterhin den zu adressierenden Kommunikationspartner dar der stellvertretend fur den tatsachlichen Kommunikationspartner angesprochen wird Somit tritt ein Proxy generell fur wenigstens eine der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung Lage Bearbeiten Ein Proxy als separate Netzwerkkomponente befindet sich physisch zwischen dem Quell und Zielsystem Innerhalb eines IP Netzes nimmt er eine Ubersetzung der IP Adresse vor sobald die Datenpakete durch das Netz hindurch auf ihrem Weg zum Ziel den Proxy passieren Dadurch lassen sich die wahre IP Adresse des tatsachlichen Kommunikationspartners verbergen und einzelne Teilnehmer eines Netzes oder gar ganze Netzwerke selbst dann miteinander verbinden wenn sie adressierungstechnisch inkompatibel zueinander sind Letzteres wird durch eine Netzwerkadressubersetzung ermoglicht die es einem Proxy z B gestattet ein privates in sich geschlossenes Netz uber eine einzige offizielle IP Adresse mit dem Internet zu verbinden Da das Zielsystem nicht den Client sondern nur den Proxy sieht sind mogliche Angriffe von dort an den dafur pradestinierten Proxy gerichtet und treffen nicht direkt den Client Der lokale Proxy lauft dagegen direkt auf dem Quell oder Zielsystem und befindet sich zwischen dem zu kontaktierenden Netzwerkdienst und dem anfragenden Client Er wird meist als Filter oder Konverter eingesetzt Da er vor Ort in Aktion tritt also noch bevor die Pakete in das Netz geleitet werden lokaler Proxy auf dem Quellsystem oder nachdem die Pakete das Zielsystem erreicht haben lokaler Proxy auf dem Zielsystem ist dieser Proxy nicht in der Lage die wahre IP Adresse des Kommunikationssystems zu verbergen Das unterscheidet ihn massgeblich von anderen Proxys eines IP Netzwerkes Allerdings kann ein lokaler Proxy auf dem Quellsystem durchaus dabei behilflich sein die Netzwerkanfrage automatisiert uber einen externen Proxy zu schicken wobei der lokale Proxy diese Art der Umleitung dann verwaltet und somit seinen Teil zur Anonymisierung der eigenen IP Adresse beitragt Mogliche Funktionen eines Proxys Bearbeiten Schutz der Clients Forward Proxy Der Proxy kann eine Schnittstelle zwischen dem privaten Netz und dem offentlichen Netz bilden Die Clients des privaten Netzes greifen so uber den Proxy beispielsweise auf Webserver des offentlichen Netzes zu Da das kontaktierte Zielsystem aus dem offentlichen Netz seine Antwortpakete nicht direkt an den Client schickt sondern an den Proxy sendet kann dieser die Verbindung aktiv kontrollieren 1 Ein unerwunschter Fernzugriff auf den Client der uber die Antwortpakete hinausgeht wird somit unterbunden oder wenigstens erschwert Entsprechende Sicherungsmassnahmen und deren fortwahrende Kontrolle beschranken sich so auf einen einzelnen oder einige wenige Proxys statt auf eine Vielzahl von Clients Sie lassen sich in einem vorgeschalteten Bastionsnetz auch einfacher und zuverlassiger realisieren So sind zusatzlich eigene Server besser geschutzt die selbst keinen Zugriff auf das Internet benotigen aber im selben Segment stehen wie die durch den Proxy abgeschirmten Clients Damit bleibt das interne Netz auch bei einer Kompromittierung des Proxys zunachst geschutzt und verschafft so der IT Abteilung zusatzliche Zeit fur geeignete Reaktionen auf einen eventuellen Angriff von aussen Schutz der Server Reverse Proxy Ein Proxyserver kann allgemein dazu verwendet werden den eigentlichen Server in ein geschutztes Netz zu stellen wodurch er vom externen Netz aus nur durch den Proxy erreichbar wird Auf diese Weise versucht man den Server vor Angriffen zu schutzen 1 Die Proxy Software ist weniger komplex und bietet daher weniger Angriffspunkte Diese Losung wird zum Beispiel bei Online Shops angewendet Der Webserver befindet sich samt Proxy im Internet und greift auf die Datenbank mit Kundendaten hinter einer Firewall zu Bandbreitenkontrolle Der Proxy teilt verschiedenen Benutzern und Gruppen je nach Auslastung unterschiedliche Ressourcen zu Der Proxy Server Squid beherrscht dieses Verfahren wobei er ebenso zum Schutz des Servers beitragen kann und Methoden fur bessere Verfugbarkeit unterstutzt Verfugbarkeit Uber einen Proxyverbund lassen sich mit relativ geringem Aufwand Lastverteilung und Verfugbarkeit erreichen Aufbereitung von Daten Proxy Server konnen auch gewisse Applikationsfunktionen ubernehmen beispielsweise Daten in ein standardisiertes Format bringen Inhaltliche Kontrolle haufig verwendeter Protokolle Auf ein bestimmtes Netzwerkprotokoll spezialisiert kann ein Proxy die Pakete des jeweiligen Protokolls analysieren und dabei als Verbindungs und Befehlsfilter fungieren Funktionserweiterung eines Netzwerkdienstes Ein Reverse Proxy kann den ublichen Funktionsumfang eines Dienstes erweitern indem er dank der Analyse des Protokolls z B spezielle Statistiken erstellt die der Dienst normalerweise nicht anbietet Da er Anfragen selbst beantworten kann sind beliebige weitere funktionelle Erweiterungen denkbar Protokollierung Viele Proxys erlauben es Verbindungen die uber sie laufen zu protokollieren Das ermoglicht statistische Auswertungen und Erkennen ungewollter Verbindungen Offener Proxy Als offenen Proxy oder Open Proxy englisch open proxy bezeichnet man einen Proxy der von jedem ohne Anmeldung offen bzw offentlich benutzt werden kann Einerseits entstehen sie unwissentlich durch falsche Konfiguration oder durch trojanisierte PCs siehe auch Botnet andererseits werden aber auch viele offene Proxy Server absichtlich aufgesetzt um eine weitgehende Anonymitat zu ermoglichen wie beispielsweise im Freifunk Netz solche Proxys sind haufig mit zusatzlichen Funktionen zur Anonymisierung versehen Proxy als Anonymisierungsdienst Der Anonymisierungs Proxy z B Anonymizer Tor leitet die Daten des Clients zum Server weiter wodurch der Server die IP Adresse des Clients nicht mehr direkt auslesen kann siehe auch Anonymitat im Internet Sie werden verwendet um die Herkunft eines Clients zu verschleiern So konnen Internetnutzer versuchen sich vor staatlicher oder anderer Verfolgung bzw Kontrolle zu schutzen In einem anderen Szenario werden Proxys angeboten teils frei verfugbar bei denen man unter der URL des Proxys beliebige Webseiten anfordern kann Diese Proxys konnen dazu verwendet werden um beispielsweise Einschrankungen von Firmen oder Schulnetzen zu umgehen manchmal werden allerdings diese wenn es der Betreiber merkt gesperrt Sie sind insofern anonym als der Zielserver nur die URL des Anonymisierungsdienstes sieht Zugang zu gesperrten Inhalten Durch die Nutzung eines Proxy Servers in einem anderen Land kann Geoblocking umgangen werden Translating Proxy Manche Proxys ubersetzen ein Protokoll in ein anderes Diese heissen dann Gateway Transport Agent Ein Cern Proxy kommuniziert beispielsweise mit dem Client uber HTTP wahrend er eine Verbindung zum Server uber FTP oder Gopher aufbaut Auch XMPP Transports liegt dieses Konzept zu Grunde Der Proxy als Netzwerkkomponente BearbeitenUm zu verstehen wie es einem solchen Gerat gelingen kann die Identitat der wahren Kommunikationspartner zu verbergen kann es hilfreich sein wenn man sich den Proxy als automatisiertes Postfach vorstellt Wird von der verdeckten internen Adresse aus ein Paket durch den Proxy hindurch in das externe Netz geschickt verbindet sich der Proxy selbst mit dem Zielsystem und versieht so die ausgehenden Pakete automatisch mit seiner eigenen Absenderadresse Das Zielsystem schickt seine Antwortpakete nun zuruck zum Postfach Proxy welcher die empfangenen Pakete ggf analysiert und danach an den internen Client weiterreicht Auf diese Weise leitet der Proxy alle aus dem externen Netz eingehenden Antwortpakete an den tatsachlichen Empfanger aus dem internen Netz weiter ohne dass der Absender die tatsachliche interne Adresse des Empfangers kennt Der lokale Proxy BearbeitenAuch bei einer lokal auf dem Quell oder Zielsystem installierten Proxy Software wird intern eine Adresskonvertierung vorgenommen Das ist Teil ihrer internen Arbeitsweise und kann sich auf eine Umleitung des Ports beschranken bezieht sich oft aber auf eine Umsetzung zu Localhost der sogenannten Loopback Schnittstelle 127 0 0 1 Auf dem Quellsystem Bearbeiten Als Beispiel konnte eine Anwendung ihre Internetanfragen nicht mehr direkt zum Zielsystem sondern an ihr eigenes System zum Port der dort installierten Proxysoftware schicken Dafur muss die Anwendung entsprechend konfiguriert werden Die Proxy Software ermittelt nun die Adresse des gewunschten Zielsystems und leitet die Anfrage stellvertretend fur die Anwendung dorthin Dabei wird als Absender die Adresse des Quellsystems nebst Ruckgabeport der Proxy Software angegeben damit die Antwortpakete wieder den lokalen Proxy erreichen der sie dann an die ursprungliche Anwendung durchreichen kann Auf diese Weise kann ein solcher Proxy ausgehende Anforderungen genauso analysieren und ggf filtern wie die Antworten des Zielsystems Polipo ist so eine freie Proxy Software fur das Hypertext Transfer Protocol HTTP mit Caching und Filterfunktionalitat z B fur den Laptop oder das Netbook Ein anderes Beispiel fur einen lokalen Proxy ist Proxomitron der unter anderem verhindert dass JavaScripte die Browseridentitat und dessen Versionsnummer auflosen und das Betriebssystem auslesen Auch der Spam Filter SpamPal wird mit einem lokalen Proxy installiert zumindest fur gewisse Mailclients wie Vivian Mail Auf dem Zielsystem Bearbeiten Hierbei schickt die Anwendung auf dem Quellsystem ihre Anfragen direkt zum Zielsystem Ohne dass es dem Quellsystem bewusst sein muss verbirgt sich jedoch hinter dem adressierten Port des Zielsystems nicht der begehrte Netzwerkdienst sondern eine Proxy Software Die Proxy Software nimmt somit Anfragen aus dem Netz entgegen und stellt dann stellvertretend fur das Quellsystem eine Verbindung zum tatsachlichen Netzwerkdienst seines eigenen Systems her Dieser beantwortet die Anfrage und schickt die Antwort zuruck zur Proxy Software welche sie nun analysieren und beliebig verandern oder auch nur statistisch auswerten kann bevor sie sie zum tatsachlichen Client weiterleitet Proxybezeichnungen BearbeitenDedicated Proxy Proxy Server Bearbeiten Ein Dedicated Proxy ist ein Dienstprogramm das im Datenverkehr zwischen dem anfragenden Client und dem Zielsystem vermittelt Er ist auf das Kommunikationsprotokoll spezialisiert das der Dienst verwendet und kann daher die Kommunikation analysieren und bei Bedarf deren Inhalt manipulieren Daruber hinaus kann er eigenstandig Anfragen an den Kommunikationspartner senden und mitunter als Zwischenspeicher fungieren also von sich aus auf eine Anfrage antworten ohne sie erneut vom tatsachlichen Zielsystem anfordern zu mussen Manchmal wird er lokal auf dem Quell oder Zielsystem installiert um dort die entsprechende Aufgabe vor Ort umzusetzen Demgegenuber kann es sich hierbei auch um ein aktiv in die Kommunikation eingreifendes Filtermodul handeln das auf einer Proxy Firewall aufgesetzt wird Unter anderem kommen Dedicated Proxys als z B SMTP Virenscanner oder z B FTP Verbindungs und Befehlsfilter zum Einsatz Auf einem einzigen Gerat konnen mehrere Dedicated Proxys parallel laufen um unterschiedliche Protokolle bedienen zu konnen Da er in die Pakete hineinsehen muss verrichtet ein Dedicated Proxy seine Arbeit auf der OSI Schicht 7 Haufig werden Dedicated Proxys fur die folgenden Protokolle verwendet HTTP HTTPS Die meisten Provider bieten ihren Kunden die Verwendung eines solchen Proxys an Er kann folgende Funktionen erfullen SSL Terminierung Eine HTTPS Verbindung kann mittels Webproxy aufgebrochen terminiert werden um auch dessen Inhalt auf Schadlinge zu uberprufen Die weitere Verschlusselung zum Client Browser erfolgt dann mit einem vom Proxy angebotenen Zertifikat Das Problem dabei ist dass der Benutzer des Browsers nicht mehr das Originalzertifikat des Webservers zu sehen bekommt und dem Proxy Server vertrauen muss dass er eine Gultigkeitsprufung des Webserver Zertifikats ubernommen hat Zwischenspeicher Cache Der Proxy kann gestellte Anfragen bzw deren Ergebnis speichern Wird die gleiche Anfrage erneut gestellt kann diese aus dem Speicher beantwortet werden ohne zuerst den Webserver zu fragen Der Proxy stellt sicher dass die von ihm ausgelieferten Informationen nicht allzu veraltet sind Eine vollstandige Aktualitat wird in der Regel nicht gewahrleistet Durch das Zwischenspeichern konnen Anfragen schneller beantwortet werden und es wird gleichzeitig die Netzlast verringert Beispielsweise vermittelt ein derartiger Proxy eines Unternehmens den gesamten Datenverkehr der Computer der Mitarbeiter mit dem Internet Zensur Zugriffssteuerung Mittels Proxy konnen bestimmte Webseiten fur den Benutzer gesperrt oder Zugriffe darauf protokolliert werden Es kann auch der Inhalt auf schadliche Programme durchsucht werden Viren Malware Skripte etc Somit ist ein Proxy meist Teil eines Firewall Konzepts Vor allem Schulen oder offentliche Einrichtungen aber auch Firmen verhindern auf diese Weise den Zugriff aus ihrem Netz auf beliebige Webseiten um beispielsweise das Herunterladen von Musikdateien wegen der damit verbundenen rechtlichen Probleme zu unterbinden Zudem konnen Schutzbefohlene so vor fur sie gefahrlichen Webseiten Pornographie rassistische Webseiten oder ahnlichem geschutzt werden Mittels Benutzerauthentisierung konnen einzelnen Benutzern oder Benutzergruppen ausserdem unterschiedliche Webfilterungen zugewiesen werden Ausfiltern von Werbung Werbung kann erhebliche Mengen an Datenverkehr erzeugen viele Werbeflachen laden sich z B regelmassig neu Was fur den Privatanwender an einer Breitband Leitung unproblematisch ist kann beispielsweise fur ein Netz von mehreren Dutzend Anwendern an dieser Leitung zum Problem werden dd SMTP Manche Firewalls bieten einen SMTP Proxy an der den Mailverkehr zwischen Internet und Mailserver uberwacht und bestimmte gefahrliche bzw unerwunschte Befehle ausfiltert Durch das Design des SMTP Protokolls ist jeder SMTP Server auch als SMTP Proxy verwendbar IMAP Proxy Holt z B automatisch E Mails vom zentralen IMAP Server auf eine lokale Maschine von der die Clients dann die E Mail abholen IRC Proxy Ein solcher Proxy vermittelt IRC Verbindungen und kann diese aufrechterhalten auch wenn der Client abgeschaltet ist NNTP Proxy Der Proxy z B Leafnode kann fur News verwendet werden und erlaubt es z B Filter fur unerwunschte Gruppen zu definieren Exchange Frontend Server Er stellt eine Proxy Funktion zur Verfugung der das RPC Protokoll uber HTTP S tunnelt Citrix Secure Gateway Hier wird das ICA Protokoll uber HTTP S getunnelt Circuit Level Proxy generischer Proxy Bearbeiten Als Circuit Level Proxy auch Generischer Proxy genannt wird ein Paketfiltermodul bezeichnet mit dem man auf einer Firewall beliebige IP Adressen und Ports sperren bzw freischalten kann ohne jedoch die Moglichkeit zu haben die Paketinhalte damit zu analysieren Ein solcher Proxy der auf den OSI Schichten 3 und 4 operiert reicht die Pakete mitunter einfach durch ohne die Verbindungen selbst zu terminieren Der Circuit Level Proxy realisiert die Adressumsetzung dann mithilfe von NAT auf der OSI Schicht 3 Wahrend die Adressfilterung ebenfalls auf der dritten OSI Schicht angesiedelt ist realisiert er zudem eine Port Filterung auf der vierten OSI Schicht Es gibt auch Circuit Level Proxys die dank einem speziellen Protokoll eine Authentifizierung auf der OSI Schicht 5 realisieren konnen Der Client holt sich so eine Verbindungsgenehmigung z B per Eingabe einer Kennung nebst Passwort Dieses spezielle Authentifizierungsprotokoll muss der Client allerdings kennen weshalb ein derart befahigter Circuit Level Proxy weniger generisch ist er funktioniert nur mit Anwendungen auf dem Client zusammen die entsprechend erweitert wurden Als Beispiel fur ein solches Authentifizierungsprotokoll sei SOCKS genannt Solch ein erweiterter Circuit Level Proxy greift nicht zwangslaufig auf NAT zuruck Einige von ihnen machen dies gar vom Protokoll abhangig so wird z B die TCP Verbindung terminiert wahrend eine UDP Verbindung schlicht weitergereicht wird Ein generischer Proxy kann auch fur eine einfache Weiterleitung genutzt werden Der denkbar einfachste Proxy ist das Linux Programm Redir das auf einer Schnittstelle und einem Port lauscht und die Daten auf ein anderes Interface und Port weitergibt Dies ist auch mit dem iptables Kommando unter Linux moglich und wird beispielsweise verwendet um den Exit Datenverkehr eines Tor Servers uber mehrere Proxys zu leiten um so den Tor Server zu schutzen Proxy Firewall Bearbeiten Hauptartikel Firewall Eine Proxy Firewall ist eine Firewall die auf Dedicated Proxys oder Circuit Level Proxys als Filtermodule zuruckgreift Diese Filtermodule setzen Regeln um indem sie entscheiden welche Daten an den tatsachlichen Kommunikationspartner weitergeleitet werden und welche nicht Auf diese Weise versucht die Proxy Firewall das eigene Netz segment vor unerlaubten Zugriffen zu schutzen Sie kann daruber hinaus aber auch eine Konvertierung der Daten vornehmen bestimmte Inhalte zwischenspeichern und samtliche weiteren Funktionen ausuben die einem Proxy eigen sind Dedicated Proxys auf einer Stateful Inspection Firewall Bearbeiten Einige Hersteller bieten fur ihre Stateful Inspection Firewall SIF ebenfalls Dedicated Proxys an Definitionstechnisch ist das allerdings ein wenig problematisch Da dieser Firewalltyp nach dem ursprunglichen Konzept von Checkpoint lediglich auf einem generischen Paketfilter basiert und sich so ausschliesslich auf Paketfilter Regeln konzentriert wird eine SIF ganz klar als Paketfilter Firewall klassifiziert Wird dort allerdings ein Dedicated Proxy aktiviert so ist die SIF tatsachlich keine Paketfilter Firewall mehr sondern gehort dann der Kategorie Proxy Firewall an die eine Stateful Packet Inspection durchfuhrt Diese exakte Unterscheidung wird in der Fachwelt jedoch selten vorgenommen weshalb eine als SIF klassifizierte Firewall in der Praxis nur zum Teil der Definition einer Paketfilter Firewall gerecht wird Transparenter Proxy Bearbeiten Ein Transparenter Proxy besteht grundsatzlich aus zwei Komponenten Zunachst werden am Router die gewunschten Ports der Protokolle abgegriffen beispielsweise uber Iptables unter Einsatz eines Redirects und dann an einen Proxy weitergeleitet Fur den Anwender ist die Verbindung uber einen transparenten Proxy in der Benutzung nicht von einer direkten Verbindung uber den Router zu unterscheiden Das Vorhandensein eines transparenten Proxys bietet aber den Vorteil dass eine Konfiguration der Proxyeinstellungen am einzelnen PC unterbleiben kann siehe Abschnitt Sichtbarkeiten Reverse Proxy Bearbeiten Hauptartikel Reverse Proxy nbsp Ein Reverse Proxy der Anfragen vom Internet ubernimmt und sie zu anderen Servern im internen Netzwerk weiterleitet Die Anfragenden verbinden sich zum Proxy und es mag sein dass sie vom internen Netzwerk nicht Bescheid wissen Ein Proxy tritt im Falle des Reverse Proxys als vermeintliches Zielsystem in Erscheinung wobei die Adressumsetzung dann in der entgegengesetzten Richtung vorgenommen wird und so dem Client die wahre Adresse des Zielsystems verborgen bleibt Wahrend ein typischer Proxy dafur verwendet werden kann mehreren Clients eines internen privaten in sich geschlossenen Netzes den Zugriff auf ein externes Netz zu gewahren funktioniert ein Reverse Proxy genau andersherum Die Internetzugriffe des Browsers uber einen Proxy leiten BearbeitenEs gibt mehrere Moglichkeiten die Zugriffe des Browsers uber einen Proxy zu leiten Umgebungsvariable Einige Browser zum Beispiel Lynx werten eine Umgebungsvariable in diesem Fall http proxy aus und verwenden den dort eingetragenen Wert wenn er nicht leer ist Direkte Konfiguration Hier werden der Name oder die IP Adresse des Proxy Servers und der Port auf welchen er hort direkt im Browser eingetragen Der Nachteil ist dass man dies bei jedem Client manuell tun muss und Anderungen daran auf jeden Client einzeln nachzutragen sind Transparenter Proxy Hier wird an den Clients nichts konfiguriert sie richten ihre Anfragen an das Ziel auf die Ports 80 HTTP als ob sie eine direkte Verbindung zum Internet hatten Die Infrastruktur des Netzes sorgt dafur dass ihre Anfragen an den Proxy geleitet werden Automatische Proxy Konfiguration Proxy Auto Config Hier wird im Browser die URL einer JavaScript Datei eingetragen die Adresse und Port des Proxy Servers enthalt Wenn diese Arbeit einmalig getan ist konnen weitere Anderungen zentral im Skript erfolgen Das Skript kann auch auf einen Reverse Proxy zuweisen Web Proxy Autodiscovery Protocol WPAD Dies ist ein Protokoll mit dem Web Clients wie ein Browser automatisiert zu verwendende Web Proxys innerhalb eines Rechnernetzes finden konnen indem eine Proxy Auto Config PAC Datei unter einer erratbaren URL gespeichert wird beispielsweise http wpad example com wpad datMogliche Probleme bei der Verwendung eines Proxys BearbeitenGefahren Bearbeiten Ein schlecht konfigurierter Proxy kann eine Gefahr darstellen da er Dritten erlaubt uber die Adresse des Proxys im Internet zu agieren Als Beispiel konnte der Proxy fur einen Angriff oder ahnlich einem offenen Mail Relay zum Versenden von Spam missbraucht werden Bei einem Missbrauch wird dann als Quelle der Proxy ermittelt was unter Umstanden unangenehme Folgen fur den Betreiber haben kann Statistik fur Zugriffe Bearbeiten Besonders kommerzielle Server die Werbeflachen vermieten begrunden ihre Attraktivitat fur Werbung mit Zugriffszahlen deren Statistik vom Webserver erzeugt wird Proxy Server und Filter beeinflussen diese Zahlen naturlich negativ da aus dem Cache gelieferte Inhalte dort nicht erscheinen und ein Teil der Werbung erst gar nicht geladen wird Manche Anbieter von Webseiten bemuhen sich daher ihre Inhalte schlecht oder gar nicht cache fahig zu gestalten Proxy Protokolldateien konnen anwenderspezifisch ausgewertet werden So konnen Statistiken uber Benutzer oder IP Adressen deren besuchte Webseiten und Verweildauer auf den Webseiten erstellt werden Proxy als Anonymisierungsdienst Bearbeiten In verschiedenen Internetforen und auch der Wikipedia wird das Anlegen oder Verandern von Beitragen uber offene Proxy Server oft durch Sperrung der entsprechenden IP Adressen verhindert um eine anonyme Teilnahme zu erschweren Sinnvollerweise wird dies oft nur fur nicht angemeldete Anwender vorgenommen Zu bedenken bleibt dass der Betreiber eines offenen Proxys nahezu die volle Kontrolle uber die Sitzung hat dabei Daten aufzeichnen und beliebige Webinhalte falschen kann ohne dass der Anwender davon etwas bemerkt Um die Gefahr eines Missbrauchs des Anonymisierungsdienstes durch den Betreiber des Proxys einzugrenzen konnten Konzepte wie F2F eine Losung bieten Bei einem F2F Proxy werden die Daten durch einen Freund geleitet dies erhoht die Sicherheit da keine unbekannten Proxy Server genutzt werden Das Friend to Friend Netzwerk garantiert dass ausschliesslich private und geprufte Verbindungen genutzt werden Abhilfe konnen auch gangige Verschlusselungs und Zertifizierungsverfahren bieten wie SSL TLS mit dem Zielsystem hinter dem Proxy beispielsweise durch die Nutzung einer HTTPS Verbindung Hierbei kann der Proxy keine Manipulation vornehmen zumindest solange die Implementierung des genutzten Verfahrens nicht fehlerhaft ist und das Verfahren selbst nicht untergraben wird Weblinks BearbeitenLinkkatalog zum Thema Proxy software and scripts bei curlie org ehemals DMOZ Linkkatalog zum Thema Free web based proxy services bei curlie org ehemals DMOZ Linkkatalog zum Thema Free http proxy servers bei curlie org ehemals DMOZ Proxy einrichten unter Chrome Internet Explorer Android und iOSEinzelnachweise Bearbeiten a b Was ist ein Proxy Server Abgerufen am 10 Januar 2022 Abgerufen von https de wikipedia org w index php title Proxy Rechnernetz amp oldid 235800057