proxy چیست

www.websecurity.ir

www.weblog.iransecurity.com

1

در شبکه

Proxy کاربرد

www.ircert.com

منبع : گروه امداد امنیت کامپیوتری ایران

در این مقاله به این مطلب می پردازیم که از دیدگاه امنیتی پراکسی چیست « پراکسی سرور » بعد از آشنایی با پراکسی در مقاله. البته قبل از پرداختن.

پراکسی چیست؟

برای خیلی چیزها استفاده می کنند

دیتای اینترنتی را در مسیر دریافت می کند، آن دیتا را می سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می دهد

پراکسی به معنی پروسه ای یاد می شود که در راه ترافیک شبکه ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می گیرد و

آن را می سنجد تا ببیند با سیاست های امنیتی شما مطابقت دارد و سپس مشخص می کند که آیا به آن اجازه عبور از فایروال را

بدهد یا خیر

. اما عموماً، پراکسی ابزار است که بسته های « پراکسی » در دنیای امنیت شبکه، افراد از عبارت. در اینجا از. بسته های مورد قبول به سرور مورد نظر ارسال و بسته های ردشده دور ریخته می شوند.

پراکسی چه چیزی نیست؟

که البته هر

کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد

«Stateful packet filter و Packet filter» پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می شوند.

www.websecurity.ir

www.weblog.iransecurity.com

2

تفاوت دارد

Packet filter پراکسی با

این نوع فیلتر بود

ترافیک دیتایی که بین آنها عبور می کند، پیمایش می کند

فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد می شود

،

تمام آن چیزی است که سنجیده می شود

آسیب رسان اجازه عبور از فایروال را می دهد

ارتباط را دنبال نمی کند

. این نوع فیلتر بین دو یا بیشتر رابط شبکه TCP/IP ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس. اطلاعاتی که این نوع IP header قرار می گیرد و اطلاعات آدرس را در. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساسheader قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی بیند و به محتوای. بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت. (State)

تفاوت دارد

Stateful packet filter پراکسی با

این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه

شناخته می شود

. (State) نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت

TCP/IP

در

می فرستد و به این

برای نشان دادن آخرین بسته در یک ارتباط را نیز

می دهد

به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP پروتکل ارتباطیB ارتباط را برقرار کند. کامپیوتر B به کامپیوتر SYN (synchronize) سعی می کند با ارسال یک بسته A عادی، کامپیوترB به کامپیوتر ACK یک A برمی گرداند، و کامپیوتر ((Acknowledgement SYN/ACK جواب یک بسته(finish) FIN اجازه وضعیتهای دیگر، مثلاً TCP . ترتیب ارتباط برقرار می شود.

هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند

به سیستمی که تقاضایی نکرده، می

به این ترتیب، به هکر نشان می

دهد که وجود دارد، و آمادگی برقراری ارتباط دارد

را که

ردگیری نمی کند و نمی تواند انجام دهد

می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد،

. یک روش معمول ارسال یک(Reply) بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ. “I don’t understand” فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید. بعلاوه، قالب پاسخ می تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای“Reply” را می فهمد و می تواند یک TCP/IP منطق یک ارتباط Stateful packet یک هکر گامی به جلو باشد. یک فیلتر. فیلترهای packet پاسخ به یک تقاضا نیست، مسدود کند آنچه که یک فیلترStateful packet

برای پذیرش یا رد بسته بعدی تعیین کنند

کارایی می شود

نوع فیلتر اضافه می کند

. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از. نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این.

www.websecurity.ir

www.weblog.iransecurity.com

3

Application Gateways

پراکسی ها یا

که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از

Application Gateways

فایروال ها هستند

می سنجد

ها را می سنجند، در حالیکه پراکسی ها

و

پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می سنجند

حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با

دیتای بسیار زیاد است

پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند

. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده،. پراکسی بار واقعی تمام بسته های عبوری بین سرور و کلاینت را می سنجد، و می تواند چیزهایی را که سیاستهای امنیتیheader را نقض می کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط... غربال می کنند. ActiveX ، محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا. برای مثال، بعضی اَشکال. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه،. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور

«

بودن یک عبارت نسبی است

کندتر » ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال.

آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست

اینترنت گلوگاه سرعت هر شبکه ای است

سرعت دریافت کاربران نمی شوند

. معمولاً خود اتصال. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی. در شماره بعد بیشتر به پراکسی خواهیم پرداخت.

در مقایسه فایروال ها، ما مفهومی از پراکسی ارائه می دهیم و پراکسی را از فیلترکننده بسته ها متمایز می کنیم

پراکسی در شماره قبل بیان کردیم، م یتوانیم در اینجا مزایای پراکسی ها بعنوان ابزاری برای امنیت را لیست کنیم

. با پیش زمینه ای که از:

با مسدود کردن روش های معمول مورد استفاده در حمل هها، هک کردن شبکه شما را مشکل تر می کنند

. ·

با پنهان کردن جزئیات سرورهای شبکه شما از اینترنت عمومی، هک کردن شبکه شما را مشک لتر می کنند

. ·

با جلوگیری از ورود محتویات ناخواسته و نامناسب به شبکه شما، استفاده از پهنای باند شبکه را بهبود می بخشند

. ·

با ممانعت از یک هکر برای استفاده از شبکه شما بعنوان نقطه شروعی برای حمله دیگر، از میزان این نوع مشارکت می کاهند

. ·

با فراهم آوردن ابزار و پیش فرض هایی برای مدیر شبکه شما که می توانند بطور گسترده ای استفاده شوند، می توانند مدیریت

·

شبکه شما را آسان سازند

.

بطور مختصر م یتوان این مزایا را اینگونه بیان کرد؛ پراکسی ها به شما کمک می کنند که شبکه تان را با امنیت بیشتر، موثرتر و

اقتصادی تر مورد استفاده قرار دهید

می طلبند

. بهرحال در ارزیابی یک فایروال، این مزایا به فواید اساسی تبدیل می شوند که توجه جدی را.

www.websecurity.ir

www.weblog.iransecurity.com

4

برخی انواع پراکسی

تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم

متفاوتی از ترافیک اینترنت سروکار دارند

حمله ای مقاومت م یکند

. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع. در بخش بعد به چند نوع آن اشاره م یکنیم و شرح می دهیم که هرکدام در مقابل چه نوع.

البته پراکسی ها تنظیمات و ویژگ یهای زیادی دارند

کنترل امنیت شبکه تا بیشترین جزئیات را م یدهد

. ترکیب پراکسی ها و سایر ابزار مدیریت فایروال ها به مدیران شبکه شما قدرت. در ادامه به پراکسی های زیر اشاره خواهیم کرد:

SMTP Proxy

HTTP Proxy

FTP Proxy

DNS Proxy

www.websecurity.ir

www.weblog.iransecurity.com

5

SMTP Proxy

محتویات ایمیل های وارد شونده و خارج شونده را برای محافظت از

شبکه شما در مقابل خطر بررسی م یکند

(Simple Mail Transport Protocol) SMTP پراکسی. بعضی از تواناییهای آن اینها هستند:

مشخص کردن بیشترین تعداد دریافت کنندگان پیام

: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها ·

یا حتی هزاران دریافت کننده ارسال می شود

.

مشخص کردن بزرگترین اندازه پیام

: این به سرور ایمیل کمک م یکند تا از بار اضافی و حملات بمباران توسط ایمیل ·

جلوگیری کند و با این ترتیب می توانید به درستی از پهنای باند و منابع سرور استفاده کنید

.

اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است

: ·

چنانچه قبلاً اشاره شد، بعضی حمله ها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد

شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد

. پراکسی می تواند طوری تنظیم.

فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجرایی

: معمول ترین روش ارسال ویروس، کرم و اسب تروا ·

می تواند این حمله ها را در یک ایمیل از طریق نام

و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند

SMTP فرستادن آنها در پیوست های به ظاهر بی ضرر ایمیل است. پراکسی.

فیلترکردن الگوهای آدرس برای ایمیل های مقبول

\مردود: هر ایمیل شامل آدرسی است که نشا ندهنده منبع آن است. ·

اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی می تواند هر چیزی از آن

آدرس اینترنتی را محدود کند

است

ایمیل جعلی را مسدود کند

. در بسیاری موارد، پراکسی می تواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی م یتواند طوری تنظیم شود که بطور خودکار.

ها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و

Header : های ایمیل Header فیلترکردن ·

برای حمله به سرورهای ایمیل یافته اند

های

تغییرشکل داده را مردود می کنند

مسدود کند

. پراکسی Header غیره هستند. هکرها راه های زیادی برای دستکاری اطلاعاتheader ها با پروتکل های اینترنتی صحیح تناسب دارند و ایمیل های دربردارنده Header مطمئن می شود که. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، می تواند برخی حمله های آتی را نیز.

های پیام ها

: ایمیل هایی که شما می فرستید نیز مانند آنهایی که دریافت ID تغییردادن یا پنهان کردن نامهای دامنه و ·

هستند

می تواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات

کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ می گردند

. این دیتا بیش از آنچه شما می خواهید دیگران درباره امور داخلی شبکه شما header می کنید، دربردارنده دیتایSMTP بدانند، اطلاعات دربردارند. پراکسی.

www.websecurity.ir

www.weblog.iransecurity.com

6

HTTP Proxy

World Wide Web

ایجاد شده، نظارت می کند

محتوا را فیلتر می کند

را که نسخه سیستم عامل، نام و

این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به. این پراکسی برای مراقبت از کلاینت های وب شما و سایر برنامه ها که به دسترسی به وب از طریق. بعضی از قابلیتهای آن اینها هستند: ،HTML اینترنت متکی هستند و نیز حملات برپایهheader برداشتن اطلاعات اتصال کلاینت: این پراکسی می تواند آن قسمت از دیتای ·

نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می کند، بردارد

چرا فاش شوند؟

. در بعضی موارد، این اطلاعات حساس است، بنابراین

تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب

: در بسیاری از حمله ها، هکرها بسته های تغییرشکل ·

داده شده را ارسال می کنند که باعث دستکاری عناصر دیگر صفحه وب می شوند، یا بصورتی دیگر با استفاده از رویکردی که

این اطلاعات بی معنی را نمی پذیرد

باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می کند

. ترافیک وب HTTP ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می شوند. پراکسی.

به مرورگر وب کمک می کنند تا بداند چگونه محتوا را تفسیر کند

MIME الگوهای : MIME فیلترکردن محتوای از نوع ·

فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره

خود دروغ می گویند یا الگوی آن را مشخص نمی کنند

این فعالیت مشکوک را تشخیص می دهد و چنین ترافیک دیتایی را متوقف می کند

برای ایجاد برنامه های کوچک بهره می

. .wav تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا. MIME بسیاری حمله های وب بسته هایی هستند که در مورد الگوی. HTTP پراکسیActiveX و Java برنامه نویسان از :ActiveX و Java فیلترکردن کنترلهای ·

گیرند تا در درون یک مرورگر وب اجراء شوند

روی آن صفحه می تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید

تواند این برنامه ها را مسدود کند و به این ترتیب جلوی بسیاری از حمله ها را بگیرد

(مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می کند، یک). پراکسی می ActiveX اسکریپت.

می تواند جلوی ورود تمام کوکی ها را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ

HTTP برداشتن کوکی ها: پراکسی ·

کند

.

که از استاندارد پیروی نمی کنند، ممانعت

HTTP های header از ، HTTP های ناشناس: پراکسی Header برداشتن ·

بعمل می آورد

قاعده باشد، دور می ریزد

. یعنی که، بجای مجبور بودن به تشخیص حمله های برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از. این رویکرد ساده از شما در مقابل تکنیک های حمله های ناشناس دفاع می کند.

فیلترکردن محتوا

: دادگاه ها مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی ·

سیاست

امنیتی شرکت شما را وادار می کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاریتان است و چه هنگام استفاده

می تواند سستی ناشی از

HTTP عملیات تجاری نشان می دهد که بعضی موارد روی وب جایگاهی در شبکه های شرکت ها ندارند. پراکسیHTTP نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می شود. بعلاوه، پراکسی

www.websecurity.ir

www.weblog.iransecurity.com

7

فضای سایبر را کم کند

غیرقابل دسترس شوند

. گروه های مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می شود، می توانند.

FTP Proxy

بسیاری از سازمان ها از اینترنت برای انتقال فایل های دیتای بزرگ از جایی به جایی دیگر استفاده می کنند

. در حالیکه فایل های

(File Transfer Protocol) FTP

فضایی را برای ذخیره فایل ها آماده می کنند، هکرها علاقه زیادی به دسترسی به این

معمولاً این امکانات را دارد

این عمل به شما اجازه می دهد که فایل ها را در دسترس عموم قرار

کوچک تر می توانند بعنوان پیوست های ایمیل منتقل شوند، فایل های بزرگ تر توسطFTP فرستاده می شوند. بدلیل اینکه سرورهای: FTP سرورها دارند. پراکسی:« فقط خواندنی » محدودکردن ارتباطات از بیرون به ·

دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید

.

FTP

خارج از شبکه داخلی توسط کاربران جلوگیری می کند

.

Idle

ارتباط را قطع کند

. request

این از حمله هایی جلوگیری می کند که طی آن هکر فضایی از سرور شما را تسخیر می

: FTP SITE ازکارانداختن فرمان ·

کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می کند

.

www.websecurity.ir

www.weblog.iransecurity.com

8

DNS Proxy

شناخته شده نیست، اما چیزی است که به شما این

SMTP یا HTTP شاید به اندازه (Domain Name Server) DNS

در مرورگر وب خود تایپ کنید و وارد این سایت شوید

توجه به اینکه از کجای دنیا به اینترنت متصل شده اید

هایی که کامپیوترها قادر به درک آن هستند، تبدیل

– بدون http://www.ircert.com امکان را می دهد که نامی را مانند. بمنظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می کنید،IP نام های دامنه هایی را که می توانیم براحتی بخاطر بسپاریم به آدرس DNS

می کند

. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام دامنه ها فهرست شده است.

بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به

هنوز خیلی شناخته شده

نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند

می تواند موارد زیر باشد

را که تقاضاها و پاسخ های

DNS هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می دهد. حمله های برپایه. بهرحال، بعضی تکنیک های هک که: DNS میشناسیم باعث می شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت های پراکسیTransport تضمین انطباق پروتکلی: یک کلاس تکنیکی بالای اکسپلویت می تواند لایه ·

را انتقال می دهد به یک ابزار خطرناک تبدیل کند

. این نوع از حمله ها بسته هایی تغییرشکل داده شده بمنظور انتقال کد DNS

را بررسی می کند و بسته هایی را که بصورت

ناصحیح ساخته شده اند دور می ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می گیرد

DNS های بسته های header ،DNS آسیب رسان ایجاد می کنند. پراکسی.

در سال

1984 ایجاد شده و از آن موقع بهبود یافته است. بعضی DNS : ها بصورت گزینشی header فیلترکردن محتوای ·

تقاضاهای

غیرعادی دارند، مسدود کند

header می تواند محتوای DNS بر ویژگی هایی تکیه می کنند که هنوز تایید نشده اند. پراکسی DNS از حمله های. header را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول DNS

www.websecurity.ir

www.weblog.iransecurity.com

9

نتیجه گیری

با مطالعه این مجموعه مقالات، تا حدی با پراکسی ها آشنا شدیم

که با سایر امنیت سنج ها

. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالیست، هنگامی! مانند ضدویروس های استاندارد، نرم افزارهای امنیتی سرور و سیستم های امنیتی فیزیکی بکار برده شود.مشخص کردن زمانی ثانیه های انقضای زمانی: این عمل به سرور شما اجازه می دهد که قبل از حالت تعلیق و یا ·این عمل از نوشتن فایل های محرمانه شرکت به سرورهای :« فقط خواندنی » محدود کردن ارتباطات به بیرون به ·····

و چه چیزی نیست، از چه نوع حملاتی جلوگیری می کند و به مشخصات بعضی انواع پراکسی پرداخته می شود

به پراکسی بعنوان ابزار امنیتی، بیشتر با فیلترها آشنا خواهیم شد