Zum Inhalt springen

Proxy-Server: Unterschied zwischen den Versionen

Aus Foxwiki
Die 5 zuletzt angesehenen Seiten:  Sync » Address Resolution » Proxy-Server
Die Seite wurde neu angelegt: „== Proxy-Server == {| style="border-spacing:0;margin:auto;width:17.501cm;" |- || Ein Proxy (von [http://de.wikipedia.org/wiki/Englische_Sprache englisch] proxy representative ‚Stellvertreter‘, von [http://de.wikipedia.org/wiki/Latein lateinisch] proximus ‚der Nächste‘) ist eine [http://de.wikipedia.org/wiki/Schnittstelle Kommunikationsschnittstelle] in einem [http://de.wikipedia.org/wiki/Rechnernetz Netzwerk]. * Er arbeitet als Vermittler, der a…“
 
K Textersetzung - „–“ durch „-“
 
(53 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Proxy-Server ==
'''Proxy-Server''' - Vermittler für Kommunikationsprotokolle
{| style="border-spacing:0;margin:auto;width:17.501cm;"
[[Datei:Schematic Proxy Server.svg|300px|mini|Schematische Darstellung eines Proxys]]
|-
|| Ein Proxy (von [http://de.wikipedia.org/wiki/Englische_Sprache englisch] proxy representative ‚Stellvertreter‘, von [http://de.wikipedia.org/wiki/Latein lateinisch] proximus ‚der Nächste‘) ist eine [http://de.wikipedia.org/wiki/Schnittstelle Kommunikationsschnittstelle] in einem [http://de.wikipedia.org/wiki/Rechnernetz Netzwerk].
* Er arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen.
| align=right| [[Image:Grafik17.png|right|middle]]
|-
|}
Wird der [http://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Lage Proxy als Netzwerkkomponente] eingesetzt, bleibt einerseits die tatsächliche Adresse eines Kommunikationspartners dem jeweils anderen Kommunikationspartner verborgen, was eine gewisse Anonymität schafft.
* Als (mögliches) Verbindungsglied zwischen unterschiedlichen Netzwerken kann er andererseits eine Verbindung zwischen Kommunikationspartnern selbst dann realisieren, wenn deren Adressen zueinander inkompatibel sind und eine direkte Verbindung nicht möglich ist.


Im Unterschied zu einer einfachen Adressumsetzung ([http://de.wikipedia.org/wiki/Network_Address_Translation NAT]) ist ein Proxy-Server, auch [http://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Dedicated_Proxy_.28Proxy-Server.29 Dedicated Proxy] genannt, dabei in der Lage, die Kommunikation selbst zu führen und zu beeinflussen, statt die Pakete ungesehen durchzureichen.
=== Beschreibung ===
* Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie z. B. [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] oder [http://de.wikipedia.org/wiki/File_Transfer_Protocol FTP], kann er die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen [http://de.wikipedia.org/wiki/Client Client] weitergereicht wird.
; Kommunikationsschnittstelle in einem [[Computernetzwerk]]
Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen


Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut vom Ziel anfordern zu müssen.
Die Datenübertragung zwischen den beiden äußeren Rechnern weiterreicht
* Auf einem einzigen Gerät kommen oft mehrere Dedicated Proxys parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können.


Ein Generischer Proxy, auch [http://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Circuit_Level_Proxy Circuit Level Proxy] genannt, findet als protokollunabhängiger Filter auf einer [http://de.wikipedia.org/wiki/Firewall Firewall] Anwendung.
; Begriff
* Er realisiert dort ein port- und adressbasiertes Filtermodul, welches zudem eine (mögliche) Authentifizierung für den Verbindungsaufbau unterstützt.
* Lateinisch: ''proximus'' ‚der Nächste‘
* Daneben kann er für eine einfache Weiterleitung genutzt werden, indem er auf einem [http://de.wikipedia.org/wiki/Port_%28Protokoll%29 Port] eines [http://de.wikipedia.org/wiki/Netzwerkkarte Netzwerkadapters] lauscht und die Daten auf einen anderen Netzwerkadapter und Port weitergibt.
* Englisch: ''proxy representative''
* Dabei ist er nicht in der Lage, die Kommunikation einzusehen, sie selbst zu führen und zu beeinflussen, da er das Kommunikationsprotokoll nicht kennt.
* Deutsch: ''Stellvertreter''


=== Arbeitsweise und Abgrenzung  ===
Wird der [https://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Lage Proxy als Netzwerk/Hardware] eingesetzt, bleibt einerseits die tatsächliche Adresse eines Kommunikationspartners dem jeweils anderen Kommunikationspartner verborgen, was eine gewisse Anonymität schafft
==== Erklärung anhand einer Analogie  ====
* Als (mögliches) Verbindungsglied zwischen unterschiedlichen Netzwerken kann er andererseits eine Verbindung zwischen Kommunikationspartnern selbst dann realisieren, wenn deren Adressen zueinander inkompatibel sind und eine direkte Verbindung nicht möglich ist
Freunde kommen zu Besuch.
* Sie wollen Pizza essen.
* Der Gastgeber nimmt zunächst eine Liste mit den Bestellungen auf.
* Dann ruft er den Pizzaservice an, gibt die Bestellungen durch, nimmt die Pakete an der Tür entgegen und reicht sie danach an seine Freunde weiter.
* Der Gastgeber hat sich dabei wie ein Proxy verhalten:


Er hat stellvertretend für seine Freunde den Kontakt mit dem Pizzaservice aufgenommen.  
Im Unterschied zu einer einfachen Adressumsetzung ([https://de.wikipedia.org/wiki/Network_Address_Translation NAT]) ist ein Proxy-Server, auch [https://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Dedicated_Proxy_.28Proxy-Server.29 Dedicated Proxy] genannt, dabei in der Lage, die Kommunikation selbst zu führen und zu beeinflussen, statt die Pakete ungesehen durchzureichen
* Ehe der Gastgeber die Ware anhand der Liste weiterreicht, kann er sie auf eine korrekte Lieferung hin überprüfen und er kann, wenn er will, die Pizzen zusätzlich garnieren oder unerwünschten Belag entfernen (die Pakete verändern).
* Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie beispielsweise [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] oder [https://de.wikipedia.org/wiki/File_Transfer_Protocol FTP], kann er die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen [https://de.wikipedia.org/wiki/Client Client] weitergereicht wird


Der Pizzabote mag sich zwar denken, dass sein Kunde all die Pizzen nicht alleine verspeisen wird, jedoch hat er nie die Leute gesehen, für die die Pizzen tatsächlich bestimmt waren.
Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut vom Ziel anfordern zu müssen
* Für ihn war einzig und alleine der Gastgeber der Ansprechpartner (ein Stellvertreter).
* Auf einem einzigen Gerät kommen oft mehrere Dedicated Proxys parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können


==== Der Unterschied zu einem NAT-Gerät  ====
Ein Generischer Proxy, auch [https://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Circuit_Level_Proxy Circuit Level Proxy] genannt, findet als protokollunabhängiger Filter auf einer [https://de.wikipedia.org/wiki/Firewall Firewall] Anwendung
Oberflächlich betrachtet verhält sich ein [http://de.wikipedia.org/wiki/Network_Address_Translation NAT]-Gerät ähnlich und funktioniert doch anders als ein typischer Proxy: Auf das vorherige Beispiel bezogen, lässt sich das NAT-Gerät besser mit einem ausgeklügelten Schienensystem hinter dem Türschlitz vergleichen, welches die vom Pizzaboten hindurch geschobenen Pizzen direkt zum wirklichen Empfänger gleiten lässt.
* Er realisiert dort ein port- und adressbasiertes Filtermodul, welches zudem eine (mögliche) Authentifizierung für den Verbindungsaufbau unterstützt
* Obgleich NAT ebenfalls die Identität der wirklichen Empfänger verbirgt, ist dort eine Manipulation und Analyse der Paketinhalte nicht möglich.
* Daneben kann er für eine einfache Weiterleitung genutzt werden, indem er auf einem [https://de.wikipedia.org/wiki/Port_%28Protokoll%29 Port] eines [https://de.wikipedia.org/wiki/Netzwerkkarte Netzwerkadapters] lauscht und die Daten auf einen anderen Netzwerkadapter und Port weitergibt
* Dabei ist er nicht in der Lage, die Kommunikation einzusehen, sie selbst zu führen und zu beeinflussen, da er das Kommunikationsprotokoll nicht kennt


Technisch gesehen arbeitet ein typischer Proxy als ein in den Verkehr eingreifender Kommunikationspartner auf der [http://de.wikipedia.org/wiki/OSI-Modell OSI-Schicht] 7, wobei die Verbindungen auf beiden Seiten terminiert werden (es handelt sich somit um zwei eigenständige Verbindungen), statt die Pakete wie ein NAT-Gerät einfach durchzureichen.
=== Arbeitsweise und Abgrenzung ===
==== Erklärung anhand einer Analogie ====
Freunde kommen zu Besuch
* Sie wollen Pizza essen
* Der Gastgeber nimmt zunächst eine Liste mit den Bestellungen auf
* Dann ruft er den Pizzaservice an, gibt die Bestellungen durch, nimmt die Pakete an der Tür entgegen und reicht sie danach an seine Freunde weiter
* Der Gastgeber hat sich dabei wie ein Proxy verhalten


Ein solcher Dedicated Proxy ist also ein [http://de.wikipedia.org/wiki/Dienstprogramm Dienstprogramm] für [http://de.wikipedia.org/wiki/Rechnernetz Computernetze], das im Datenverkehr vermittelt, und wird daher auch Proxy-Server genannt: Als aktiver Vermittler verhält er sich dem anfragenden [http://de.wikipedia.org/wiki/Client Client] gegenüber wie ein [http://de.wikipedia.org/wiki/Server_%28Software%29 Server], der anderen Seite, dem Zielsystem, gegenüber wie ein Client.
Er hat stellvertretend für seine Freunde den Kontakt mit dem Pizzaservice aufgenommen
* Ehe der Gastgeber die Ware anhand der Liste weiterreicht, kann er sie auf eine korrekte Lieferung hin überprüfen und er kann, wenn er will, die Pizzen zusätzlich garnieren oder unerwünschten Belag entfernen (die Pakete verändern)


Überschneidungen zu NAT gibt es allerdings bei dem generischen, auf den OSI-Schichten 3 und 4 operierenden Circuit Level Proxy, der unter Umständen auf die Technik der einfachen Adressumsetzung zurückgreift.
Der Pizzabote mag sich zwar denken, dass sein Kunde all die Pizzen nicht alleine verspeisen wird, jedoch hat er nie die Leute gesehen, für die die Pizzen tatsächlich bestimmt waren
* Dessen ungeachtet nimmt NAT eine kaum beachtete Rolle unter den Proxys ein.
* Für ihn war einzig und alleine der Gastgeber der Ansprechpartner (ein Stellvertreter)
* Daher wird im Folgenden von der erstbeschriebenen Variante ausgegangen, wenn allgemein von einem (typischen) Proxy die Rede ist.


=== Überblick  ===
==== Der Unterschied zu einem NAT-Gerät ====
==== Sichtbarkeiten  ====
Oberflächlich betrachtet verhält sich ein [https://de.wikipedia.org/wiki/Network_Address_Translation NAT]-Gerät ähnlich und funktioniert doch anders als ein typischer Proxy: Auf das vorherige Beispiel bezogen, lässt sich das NAT-Gerät besser mit einem ausgeklügelten Schienensystem hinter dem Türschlitz vergleichen, welches die vom Pizzaboten hindurch geschobenen Pizzen direkt zum wirklichen Empfänger gleiten lässt
Ein konventioneller Proxy tritt beiden Seiten selbst als Kommunikationspartner gegenüber.
* Obgleich NAT ebenfalls die Identität der wirklichen Empfänger verbirgt, ist dort eine Manipulation und Analyse der Paketinhalte nicht möglich
* Er wird von ihnen also bewusst angesprochen (adressiert).
* Hier bittet der Client den Proxy, stellvertretend für ihn die Kommunikation mit dem Zielsystem zu übernehmen.
* So wird z. B.
* der Internetbrowser [http://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Die_Internetzugriffe_des_Browsers_.C3.BCber_einen_Proxy_leiten derart konfiguriert], dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet.


Daneben gibt es den transparenten Proxy als spezielle Netzwerkkomponente, der sich einer der beiden Seiten gegenüber transparent (nahezu unsichtbar) verhält.
Technisch gesehen arbeitet ein typischer Proxy als ein in den Verkehr eingreifender Kommunikationspartner auf der [https://de.wikipedia.org/wiki/OSI-Modell OSI-Schicht] 7, wobei die Verbindungen auf beiden Seiten terminiert werden (es handelt sich somit um zwei eigenständige Verbindungen), statt die Pakete wie ein NAT-Gerät einfach durchzureichen
* Diese Seite adressiert direkt das Ziel und nicht den Proxy.
* Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über den Proxy geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann.
* Für die andere Seite aber stellt der Proxy weiterhin den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird.


Somit tritt ein Proxy generell für wenigstens eine der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung.
Ein solcher Dedicated Proxy ist also ein [https://de.wikipedia.org/wiki/Dienstprogramm Dienstprogramm] für [https://de.wikipedia.org/wiki/Rechnernetz Computernetze], das im Datenverkehr vermittelt, und wird daher auch Proxy-Server genannt: Als aktiver Vermittler verhält er sich dem anfragenden [https://de.wikipedia.org/wiki/Client Client] gegenüber wie ein [https://de.wikipedia.org/wiki/Server_%28Software%29 Server], der anderen Seite, dem Zielsystem, gegenüber wie ein Client


==== Lage  ====
Überschneidungen zu NAT gibt es allerdings bei dem generischen, auf den OSI-Schichten 3 und 4 operierenden Circuit Level Proxy, der unter Umständen auf die Technik der einfachen Adressumsetzung zurückgreift
Ein Proxy als separate Netzwerkkomponente befindet sich [http://de.wikipedia.org/wiki/Physisch physisch] zwischen dem Quell- und Zielsystem.
* Dessen ungeachtet nimmt NAT eine kaum beachtete Rolle unter den Proxys ein
* Innerhalb eines [http://de.wikipedia.org/wiki/Internet_Protocol IP]-Netzes nimmt er eine Konvertierung der [http://de.wikipedia.org/wiki/IP-Adresse IP-Adresse] vor, sobald die Pakete durch das Netz hindurch auf ihrem Weg zum Ziel den Proxy passieren.
* Daher wird im Folgenden von der erstbeschriebenen Variante ausgegangen, wenn allgemein von einem (typischen) Proxy die Rede ist


Dadurch lassen sich die wahre IP-Adresse des tatsächlichen Kommunikationspartners verbergen und einzelne Teilnehmer eines Netzes oder gar ganze Netzwerke selbst dann miteinander verbinden, wenn sie adressierungstechnisch inkompatibel zueinander sind.
=== Überblick ===
==== Sichtbarkeiten ====
Ein konventioneller Proxy tritt beiden Seiten selbst als Kommunikationspartner gegenüber
* Er wird von ihnen also bewusst angesprochen (adressiert)
* Hier bittet der Client den Proxy, stellvertretend für ihn die Kommunikation mit dem Zielsystem zu übernehmen
* So wird beispielsweise der Internetbrowser [https://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Die_Internetzugriffe_des_Browsers_.C3.BCber_einen_Proxy_leiten derart konfiguriert], dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet


Letzteres wird durch eine spezielle [http://de.wikipedia.org/wiki/Port_%28Protokoll%29 Port]-Verwaltung ermöglicht (ähnlich der [http://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Ein_Erkl.C3.A4rungsversuch_der_Arbeitsweise_anhand_einer_einfachen_Analogie in der Analogie] erwähnten „Liste der Bestellungen“), die es einem Proxy z.
Daneben gibt es den transparenten Proxy als spezielle Netzwerk/Hardware, der sich einer der beiden Seiten gegenüber transparent (nahezu unsichtbar) verhält
* B.
* Diese Seite adressiert direkt das Ziel und nicht den Proxy
* gestattet, ein komplettes privates (in sich geschlossenes) Netz über eine einzige offizielle IP-Adresse mit dem Internet zu verbinden.
* Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über den Proxy geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann
* Da das Zielsystem nicht den Client, sondern nur den Proxy sieht, sind mögliche Angriffe von dort an den dafür prädestinierten Proxy gerichtet und treffen nicht direkt den Client.
* Für die andere Seite aber stellt der Proxy weiterhin den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird


Der lokale Proxy läuft dagegen direkt auf dem Quell- oder Zielsystem und befindet sich in der [http://de.wikipedia.org/wiki/Logisch logischen] Anordnung zwischen dem zu kontaktierenden Netzwerkdienst und dem anfragenden Client.
Somit tritt ein Proxy generell für wenigstens eine der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung
* Er wird meist als Filter oder Konverter eingesetzt.


Da er vor Ort in Aktion tritt, also noch bevor die Pakete in das Netz geleitet werden (lokaler Proxy auf dem Quellsystem), oder nachdem die Pakete das Zielsystem erreicht haben (lokaler Proxy auf dem Zielsystem), ist dieser Proxy nicht in der Lage, die wahre IP-Adresse des Kommunikationssystems zu verbergen.
==== Lage ====
Ein Proxy als separate Netzwerk/Hardware befindet sich [https://de.wikipedia.org/wiki/Physisch physisch] zwischen dem Quell- und Zielsystem
* Innerhalb eines [https://de.wikipedia.org/wiki/Internet_Protocol IP]-Netzes nimmt er eine Konvertierung der [https://de.wikipedia.org/wiki/IP-Adresse IP-Adresse] vor, sobald die Pakete durch das Netz hindurch auf ihrem Weg zum Ziel den Proxy passieren


Das unterscheidet ihn maßgeblich von anderen Proxys eines IP-Netzwerkes.
Dadurch lassen sich die wahre IP-Adresse des tatsächlichen Kommunikationspartners verbergen und einzelne Teilnehmer eines Netzes oder gar ganze Netzwerke selbst dann miteinander verbinden, wenn sie adressierungstechnisch inkompatibel zueinander sind
* Allerdings kann ein lokaler Proxy auf dem Quellsystem durchaus dabei behilflich sein, die Netzwerkanfrage automatisiert über einen externen Proxy zu schicken, wobei der lokale Proxy diese Art der Umleitung dann verwaltet und somit seinen Teil zur Anonymisierung der eigenen IP-Adresse beiträgt.


==== Mögliche Funktionen eines Proxys  ====
Letzteres wird durch eine spezielle [https://de.wikipedia.org/wiki/Port_%28Protokoll%29 Port]-Verwaltung ermöglicht (ähnlich der [https://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Ein_Erkl.C3.A4rungsversuch_der_Arbeitsweise_anhand_einer_einfachen_Analogie in der Analogie] erwähnten "Liste der Bestellungen"), die es einem Proxy beispielsweise gestattet, ein komplettes privates (in sich geschlossenes) Netz über eine einzige offizielle IP-Adresse mit dem Internet zu verbinden
===== Schutz der Clients =====
* Da das Zielsystem nicht den Client, sondern nur den Proxy sieht, sind mögliche Angriffe von dort an den dafür prädestinierten Proxy gerichtet und treffen nicht direkt den Client
Der Proxy kann eine Schnittstelle zwischen dem privaten Netz und dem öffentlichen Netz bilden.
* Die Clients des privaten Netzes greifen so über den Proxy beispielsweise auf Webserver des öffentlichen Netzes zu.


Da das kontaktierte Zielsystem aus dem öffentlichen Netz seine Antwortpakete nicht direkt an den Client schickt, sondern an den Proxy sendet, kann dieser die Verbindung aktiv kontrollieren.
Der lokale Proxy läuft dagegen direkt auf dem Quell- oder Zielsystem und befindet sich in der [https://de.wikipedia.org/wiki/Logisch logischen] Anordnung zwischen dem zu kontaktierenden Netzwerkdienst und dem anfragenden Client
* Ein unerwünschter Fernzugriff auf den Client (der über die Antwortpakete hinausgeht) wird somit unterbunden oder wenigstens erschwert.
* Er wird meist als Filter oder Konverter eingesetzt
* Entsprechende Sicherungsmaßnahmen und deren fortwährende Kontrolle beschränken sich so auf einen einzelnen oder einige wenige Proxys, statt auf eine Vielzahl von Clients.


Sie lassen sich in einem vorgeschalteten [http://de.wikipedia.org/wiki/Bastion_Host Bastionsnetz] auch einfacher und zuverlässiger realisieren.
Da er vor Ort in Aktion tritt, also noch bevor die Pakete in das Netz geleitet werden (lokaler Proxy auf dem Quellsystem), oder nachdem die Pakete das Zielsystem erreicht haben (lokaler Proxy auf dem Zielsystem), ist dieser Proxy nicht in der Lage, die wahre IP-Adresse des Kommunikationssystems zu verbergen
* So sind zusätzlich eigene Server besser geschützt, die selbst keinen Zugriff auf das Internet benötigen, aber im selben Segment stehen, wie die durch den Proxy abgeschirmten Clients.
* Damit bleibt das interne Netz auch bei einer Kompromitierung des Proxys zunächst geschützt und verschafft so der IT-Abteilung zusätzliche Zeit für geeignete Reaktionen auf einen eventuellen Angriff von außen.


===== Schutz der Server  =====
Das unterscheidet ihn maßgeblich von anderen Proxys eines IP-Netzwerkes
Ein Proxyserver kann allgemein dazu verwendet werden, den eigentlichen Server in ein geschütztes [http://de.wikipedia.org/wiki/Rechnernetz Netz] zu stellen, wodurch er vom externen Netz aus nur durch den Proxy erreichbar wird.
* Allerdings kann ein lokaler Proxy auf dem Quellsystem durchaus dabei behilflich sein, die Netzwerkanfrage automatisiert über einen externen Proxy zu schicken, wobei der lokale Proxy diese Art der Umleitung dann verwaltet und somit seinen Teil zur Anonymisierung der eigenen IP-Adresse beiträgt


Auf diese Weise versucht man den Server vor Angriffen zu schützen.
==== Mögliche Funktionen eines Proxys ====
* Die Proxy-Software ist weniger komplex und bietet daher weniger Angriffspunkte.
===== Schutz der Clients =====
* Diese Lösung wird zum Beispiel bei [http://de.wikipedia.org/wiki/Elektronischer_Handel Online-Shops] angewendet: Der Webserver befindet sich samt Proxy im Internet und greift auf die Datenbank mit Kundendaten hinter einer Firewall zu.
Der Proxy kann eine Schnittstelle zwischen dem privaten Netz und dem öffentlichen Netz bilden
* Die Clients des privaten Netzes greifen so über den Proxy beispielsweise auf Webserver des öffentlichen Netzes zu


===== [http://de.wikipedia.org/wiki/Bandbreitenkontrolle Bandbreitenkontrolle]  =====
Da das kontaktierte Zielsystem aus dem öffentlichen Netz seine Antwortpakete nicht direkt an den Client schickt, sondern an den Proxy sendet, kann dieser die Verbindung aktiv kontrollieren
<div style="margin-left:1cm;margin-right:0cm;">Der Proxy teilt verschiedenen Benutzern und Gruppen je nach Auslastung unterschiedliche Ressourcen zu.
* Ein unerwünschter Fernzugriff auf den Client (der über die Antwortpakete hinausgeht) wird somit unterbunden oder wenigstens erschwert
* Der Proxy-Server [http://de.wikipedia.org/wiki/Squid Squid] beherrscht dieses Verfahren, wobei er ebenso zum Schutz des Servers beitragen kann und Methoden unterstützt, die zu besserer Verfügbarkeit beitragen. </div>
* Entsprechende Sicherungsmaßnahmen und deren fortwährende Kontrolle beschränken sich so auf einen einzelnen oder einige wenige Proxys, statt auf eine Vielzahl von Clients


===== Verfügbarkeit  =====
Sie lassen sich in einem vorgeschalteten [https://de.wikipedia.org/wiki/Bastion_Host Bastionsnetz] auch einfacher und zuverlässiger realisieren
<div style="margin-left:1cm;margin-right:0cm;">Über einen [http://de.wikipedia.org/w/index.php?title=Proxyverbund&action=edit&redlink=1 Proxyverbund] lassen sich mit relativ geringem Aufwand [http://de.wikipedia.org/wiki/Serverlastverteilung Lastverteilung] und Verfügbarkeit erreichen. </div>
* So sind zusätzlich eigene Server besser geschützt, die selbst keinen Zugriff auf das Internet benötigen, aber im selben Segment stehen, wie die durch den Proxy abgeschirmten Clients
* Damit bleibt das interne Netz auch bei einer Kompromitierung des Proxys zunächst geschützt und verschafft so der IT-Abteilung zusätzliche Zeit für geeignete Reaktionen auf einen eventuellen Angriff von außen


===== Aufbereitung von Daten  =====
===== Schutz der Server =====
Proxy-Server können auch gewisse Applikationsfunktionen übernehmen, beispielsweise Daten in ein standardisiertes Format bringen.
Ein Proxyserver kann allgemein dazu verwendet werden, den eigentlichen Server in ein geschütztes [https://de.wikipedia.org/wiki/Rechnernetz Netz] zu stellen, wodurch er vom externen Netz aus nur durch den Proxy erreichbar wird


===== Inhaltliche Kontrolle häufig verwendeter Protokolle  =====
Auf diese Weise versucht man den Server vor Angriffen zu schützen
<div style="margin-left:1cm;margin-right:0cm;">Auf ein bestimmtes [http://de.wikipedia.org/wiki/Netzwerkprotokoll Kommunikationsprotokoll] spezialisiert kann ein Proxy die Pakete des jeweiligen Protokolls analysieren und dabei als Verbindungs- und Befehlsfilter fungieren. </div>
* Die Proxy-Software ist weniger komplex und bietet daher weniger Angriffspunkte
* Diese Lösung wird zum Beispiel bei [https://de.wikipedia.org/wiki/Elektronischer_Handel Online-Shops] angewandt: Der Webserver befindet sich samt Proxy im Internet und greift auf die Datenbank mit Kundendaten hinter einer Firewall zu


===== Funktionserweiterung eines Netzwerkdienstes  =====
===== [https://de.wikipedia.org/wiki/Bandbreitenkontrolle Bandbreitenkontrolle] =====
Ein Reverse-Proxy kann den üblichen Funktionsumfang eines Dienstes erweitern, indem er dank der Analyse des Protokolls z.&nbsp;B.
<div style="margin-left:1cm;margin-right:0cm;">Der Proxy teilt verschiedenen Benutzern und Gruppen je nach Auslastung unterschiedliche Ressourcen zu
* spezielle Statistiken erstellt, die der Dienst normalerweise nicht anbietet.
* Der Proxy-Server [https://de.wikipedia.org/wiki/Squid Squid] beherrscht dieses Verfahren, wobei er ebenso zum Schutz des Servers beitragen kann und Methoden unterstützt, die zu besserer Verfügbarkeit beitragen. </div>
* Da er in der Lage ist, Anfragen selbst zu beantworten, sind beliebige weitere funktionelle Erweiterungen denkbar.


===== Protokollierung  =====
===== Verfügbarkeit =====
Viele Proxys erlauben es, Verbindungen, die über sie laufen, zu protokollieren.  
<div style="margin-left:1cm;margin-right:0cm;">Über einen [https://de.wikipedia.org/w/index.php?title=Proxyverbund&action=edit&redlink=1 Proxyverbund] lassen sich mit relativ geringem Aufwand [https://de.wikipedia.org/wiki/Serverlastverteilung Lastverteilung] und Verfügbarkeit erreichen. </div>
* Das ermöglicht statistische Auswertungen und Erkennen ungewollter Verbindungen.


===== Offener Proxy  =====
===== Aufbereitung von Daten =====
<div style="margin-left:1cm;margin-right:0cm;">Als offenen Proxy oder Open Proxy bezeichnet man einen Proxy, der von jedem ohne Anmeldung (offen) benutzt werden kann.
Proxy-Server können auch gewisse Applikationsfunktionen übernehmen, beispielsweise Daten in ein standardisiertes Format bringen
* Einerseits entstehen sie unwissentlich durch falsche Konfiguration oder durch [http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29 trojanisierte] PCs (siehe auch: [http://de.wikipedia.org/wiki/Botnet Botnet]).
* Gleichzeitig werden aber auch viele offene Proxy-Server bewusst aufgesetzt, um eine weitgehende [http://de.wikipedia.org/wiki/Anonymität Anonymität] zu ermöglichen; solche Proxys sind häufig mit zusätzlichen Funktionen zur Anonymisierung versehen. </div>


===== Proxy als Anonymisierungsdienst  =====
===== Inhaltliche Kontrolle häufig verwendeter Protokolle =====
Der [http://de.wikipedia.org/wiki/Anonymisierung_und_Pseudonymisierung Anonymisierungs]-Proxy (z.&nbsp;B. [http://de.wikipedia.org/wiki/Anonymizer Anonymizer], [http://de.wikipedia.org/wiki/Tor_%28Netzwerk%29 Tor]) leitet die Daten des Clients zum Server weiter, wodurch der Server die [http://de.wikipedia.org/wiki/IP-Adresse IP-Adresse] des Clients nicht mehr direkt auslesen kann (siehe auch: [http://de.wikipedia.org/wiki/Anonymität_im_Internet Anonymität im Internet]).
<div style="margin-left:1cm;margin-right:0cm;">Auf ein bestimmtes [https://de.wikipedia.org/wiki/Netzwerkprotokoll Kommunikationsprotokoll] spezialisiert kann ein Proxy die Pakete des jeweiligen Protokolls analysieren und dabei als Verbindungs- und Befehlsfilter fungieren. </div>


Sie werden verwendet, um die Herkunft eines Clients zu verschleiern.
===== Funktionserweiterung eines Netzwerkdienstes =====
* So können Internetnutzer versuchen, sich vor staatlicher oder anderer Verfolgung bzw.
Ein Reverse-Proxy kann den üblichen Funktionsumfang eines Dienstes erweitern, indem er dank der Analyse des Protokolls beispielsweise
* Kontrolle zu schützen.
* spezielle Statistiken erstellt, die der Dienst normalerweise nicht anbietet
* In einem anderen Szenarium werden Proxys angeboten – teils frei verfügbar – bei denen man unter der [http://de.wikipedia.org/wiki/Uniform_Resource_Locator URL] des Proxys beliebige Webseiten anfordern kann.
* Da er in der Lage ist, Anfragen selbst zu beantworten, sind beliebige weitere funktionelle Erweiterungen denkbar


Diese Proxys können dazu verwendet werden, um beispielsweise Einschränkungen von Firmen- oder Schulnetzen zu umgehen (manchmal werden allerdings diese, wenn es der Betreiber merkt, gesperrt).
===== Protokollierung =====
* Sie sind insofern anonym, als der Zielserver nur die URL des Anbieters sieht.
Viele Proxys erlauben es, Verbindungen, die über sie laufen, zu protokollieren
* Das ermöglicht statistische Auswertungen und Erkennen ungewollter Verbindungen


===== Translating Proxy =====
===== Offener Proxy =====
<div style="margin-left:1cm;margin-right:0cm;">Manche Proxys übersetzen ein Protokoll in ein anderes.
<div style="margin-left:1cm;margin-right:0cm;">Als offenen Proxy oder Open Proxy bezeichnet man einen Proxy, der von jedem ohne Anmeldung (offen) benutzt werden kann
* Diese heißen dann [http://de.wikipedia.org/wiki/Gateway_%28Computer%29 Gateway], Transport, Agent.
* Einerseits entstehen sie unwissentlich durch falsche Konfiguration oder durch [https://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29 trojanisierte] PCs (siehe auch: [https://de.wikipedia.org/wiki/Botnet Botnet])
* Ein Cern Proxy kommuniziert beispielsweise mit dem Client über [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP], während er eine Verbindung zum Server über [http://de.wikipedia.org/wiki/File_Transfer_Protocol FTP] oder [http://de.wikipedia.org/wiki/Gopher Gopher] aufbaut.
* Gleichzeitig werden aber auch viele offene Proxy-Server bewusst aufgesetzt, um eine weitgehende [https://de.wikipedia.org/wiki/Anonymität Anonymität] zu ermöglichen; solche Proxys sind häufig mit zusätzlichen Funktionen zur Anonymisierung versehen. </div>
* Auch [http://de.wikipedia.org/wiki/XMPP-Transport XMPP-Transports] liegt dieses Konzept zu Grunde. </div>


=== Proxy als Netzwerkkomponente  ===
===== Proxy als Anonymisierungsdienst =====
Um zu verstehen, wie es einem solchen Gerät gelingen kann, die Identität der wahren Kommunikationspartner zu verbergen, kann es hilfreich sein, wenn man sich den Proxy als automatisiertes Postfach vorstellt: Wird von der verdeckten (internen) Adresse aus ein Paket durch den Proxy hindurch in das externe Netz geschickt, verbindet sich der Proxy selbst mit dem Zielsystem und versieht so die ausgehenden Pakete automatisch mit seiner eigenen Absenderadresse.
Der [https://de.wikipedia.org/wiki/Anonymisierung_und_Pseudonymisierung Anonymisierungs]-Proxy (beispielsweise [https://de.wikipedia.org/wiki/Anonymizer Anonymizer], [https://de.wikipedia.org/wiki/Tor_%28Netzwerk%29 Tor]) leitet die Daten des Clients zum Server weiter, wodurch der Server die [https://de.wikipedia.org/wiki/IP-Adresse IP-Adresse] des Clients nicht mehr direkt auslesen kann (siehe auch: [https://de.wikipedia.org/wiki/Anonymität_im_Internet Anonymität im Internet])


Das Zielsystem schickt seine Antwortpakete nun zurück zum Postfach (Proxy), welcher die empfangenen Pakete ggf.
Sie werden verwendet, um die Herkunft eines Clients zu verschleiern
* analysiert und danach an den internen Client weiterreicht.
* So können Internetnutzer versuchen, sich vor staatlicher oder anderer Verfolgung bzw
* Auf diese Weise leitet der Proxy alle aus dem externen Netz eingehenden Antwortpakete an den tatsächlichen Empfänger aus dem internen Netz weiter, ohne dass der Absender die tatsächliche (interne) Adresse des Empfängers kennt.
* Kontrolle zu schützen
* In einem anderen Szenarium werden Proxys angeboten - teils frei verfügbar - bei denen man unter der [https://de.wikipedia.org/wiki/Uniform_Resource_Locator URL] des Proxys beliebige Webseiten anfordern kann


=== Der lokale Proxy  ===
Diese Proxys können dazu verwendet werden, um beispielsweise Einschränkungen von Firmen- oder Schulnetzen zu umgehen (manchmal werden allerdings diese, wenn es der Betreiber merkt, gesperrt)
Auch bei einer lokal auf dem Quell- oder Zielsystem installierten Proxysoftware wird intern eine Adresskonvertierung vorgenommen.
* Sie sind insofern anonym, als der Zielserver nur die URL des Anbieters sieht
* Das ist Teil ihrer internen Arbeitsweise und kann sich auf eine Umleitung des Ports beschränken, bezieht sich oft aber auf eine Umsetzung zu localhost (der so genannten Loopback-Schnittstelle 127.0.0.1).


==== Auf dem Quellsystem  ====
===== Translating Proxy =====
Als Beispiel könnte eine Anwendung ihre Internetanfragen nicht mehr direkt zum Zielsystem, sondern an sein eigenes System zum Port der dort installierten Proxysoftware schicken.  
<div style="margin-left:1cm;margin-right:0cm;">Manche Proxys übersetzen ein Protokoll in ein anderes
* Dafür muss die Anwendung entsprechend konfiguriert werden.
* Diese heißen dann [https://de.wikipedia.org/wiki/Gateway_%28Computer%29 Gateway], Transport, Agent
* Ein Cern Proxy kommuniziert beispielsweise mit dem Client über [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP], während er eine Verbindung zum Server über [https://de.wikipedia.org/wiki/File_Transfer_Protocol FTP] oder [https://de.wikipedia.org/wiki/Gopher Gopher] aufbaut
* Auch [https://de.wikipedia.org/wiki/XMPP-Transport XMPP-Transports] liegt dieses Konzept zu Grunde. </div>


Die Proxysoftware ermittelt nun die Adresse des gewünschten Zielsystems und leitet die Anfrage stellvertretend für die Anwendung dorthin.
=== Proxy als Netzwerk/Hardware ===
* Dabei wird als Absender die Adresse des Quellsystems nebst Rückgabeport der Proxysoftware angegeben, damit die Antwortpakete wieder den lokalen Proxy erreichen, die er dann an die ursprüngliche Anwendung durchreichen kann.
Um zu verstehen, wie es einem solchen Gerät gelingen kann, die Identität der wahren Kommunikationspartner zu verbergen, kann es hilfreich sein, wenn man sich den Proxy als automatisiertes Postfach vorstellt: Wird von der verdeckten (internen) Adresse aus ein Paket durch den Proxy hindurch in das externe Netz geschickt, verbindet sich der Proxy selbst mit dem Zielsystem und versieht so die ausgehenden Pakete automatisch mit seiner eigenen Absenderadresse


Auf diese Weise ist ein solcher Proxy in der Lage, ausgehende Anforderungen genauso zu analysieren (und ggf.
Das Zielsystem schickt seine Antwortpakete nun zurück zum Postfach (Proxy), welcher die empfangenen Pakete ggf
* zu filtern), wie die Antworten des Zielsystems. [http://de.wikipedia.org/wiki/Polipo Polipo] ist so eine freie Proxy-Software für das [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol Hypertext Transfer Protocol] (HTTP) mit [http://de.wikipedia.org/wiki/Cache Caching]- und [http://de.wikipedia.org/wiki/Contentfilter Filterfunktionalität], z.&nbsp;B.
* analysiert und danach an den internen Client weiterreicht
* für den Laptop oder das Netbook.
* Auf diese Weise leitet der Proxy alle aus dem externen Netz eingehenden Antwortpakete an den tatsächlichen Empfänger aus dem internen Netz weiter, ohne dass der Absender die tatsächliche (interne) Adresse des Empfängers kennt


Ein anderes Beispiel für einen lokalen Proxy ist [http://de.wikipedia.org/wiki/Proxomitron Proxomitron], der unter anderem verhindert, dass [http://de.wikipedia.org/wiki/JavaScript JavaScripte] die Browseridentität und dessen Versionsnummer, Auflösung und das Betriebssystem auslesen.
=== Lokaler Proxy ===
* Auch der Spam-Filter [http://de.wikipedia.org/wiki/SpamPal SpamPal] wird mit einem lokalen Proxy installiert, zumindest für gewisse Mailclients wie [http://de.wikipedia.org/w/index.php?title=Vivian_Mail&action=edit&redlink=1 Vivian Mail].
Auch bei einer lokal auf dem Quell- oder Zielsystem installierten Proxysoftware wird intern eine Adresskonvertierung vorgenommen
* Das ist Teil ihrer internen Arbeitsweise und kann sich auf eine Umleitung des Ports beschränken, bezieht sich oft aber auf eine Umsetzung zu localhost (der so genannten Loopback-Schnittstelle 127.0.0.1)


==== Auf dem Zielsystem  ====
==== Auf dem Quellsystem ====
Hierbei schickt die Anwendung auf dem Quellsystem ihre Anfragen direkt zum Zielsystem.
Als Beispiel könnte eine Anwendung ihre Internetanfragen nicht mehr direkt zum Zielsystem, sondern an sein eigenes System zum Port der dort installierten Proxysoftware schicken
* Ohne dass es dem Quellsystem bewusst sein muss, verbirgt sich jedoch hinter dem adressierten Port des Zielsystems nicht der begehrte Netzwerkdienst, sondern eine Proxysoftware.
* Dafür muss die Anwendung entsprechend konfiguriert werden


Die Proxysoftware nimmt somit Anfragen aus dem Netz entgegen und stellt dann stellvertretend für das Quellsystem eine Verbindung zum tatsächlichen Netzwerkdienst seines eigenen Systems her.
Die Proxysoftware ermittelt nun die Adresse des gewünschten Zielsystems und leitet die Anfrage stellvertretend für die Anwendung dorthin
* Dieser beantwortet die Anfrage und schickt die Antwort zurück zur Proxysoftware, welche sie nun analysieren und beliebig verändern oder auch nur statistisch auswerten kann, bevor er sie zum tatsächlichen Client weiterleitet.
* Dabei wird als Absender die Adresse des Quellsystems nebst Rückgabeport der Proxysoftware angegeben, damit die Antwortpakete wieder den lokalen Proxy erreichen, die er dann an die ursprüngliche Anwendung durchreichen kann


=== Proxybezeichnungen  ===
Auf diese Weise ist ein solcher Proxy in der Lage, ausgehende Anforderungen genauso zu analysieren (und ggf
==== Dedicated Proxy (Proxy-Server) ====
* zu filtern), wie die Antworten des Zielsystems. [https://de.wikipedia.org/wiki/Polipo Polipo] ist so eine freie Proxy-Software für das [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol Hypertext Transfer Protocol] (HTTP) mit [https://de.wikipedia.org/wiki/Cache Caching]- und [https://de.wikipedia.org/wiki/Contentfilter Filterfunktionalität], beispielsweise
Ein Dedicated Proxy ist ein Dienstprogramm, das im Datenverkehr zwischen dem anfragenden Client und dem Zielsystem vermittelt.  
* für den Laptop oder das Netbook
* Er ist auf das Kommunikationsprotokoll spezialisiert, welches der Dienst verwendet, und kann daher die Kommunikation analysieren und bei Bedarf deren Inhalt manipulieren.


Darüber hinaus ist er in der Lage, eigenständig Anfragen an den Kommunikationspartner zu senden und mitunter als Zwischenspeicher zu fungieren (also von sich aus auf eine Anfrage zu antworten, ohne sie erneut vom tatsächlichen Zielsystem anfordern zu müssen).
Ein anderes Beispiel für einen lokalen Proxy ist [https://de.wikipedia.org/wiki/Proxomitron Proxomitron], der unter anderem verhindert, dass [https://de.wikipedia.org/wiki/JavaScript JavaScripte] die Browseridentität und dessen Versionsnummer, Auflösung und das Betriebssystem auslesen
* Auch der Spam-Filter [https://de.wikipedia.org/wiki/SpamPal SpamPal] wird mit einem lokalen Proxy installiert, zumindest für gewisse Mailclients wie [https://de.wikipedia.org/w/index.php?title=Vivian_Mail&action=edit&redlink=1 Vivian Mail]


Manchmal wird er lokal auf dem Quell- oder Zielsystem installiert, um dort die entsprechende Aufgabe vor Ort umzusetzen.
==== Auf dem Zielsystem ====
* Demgegenüber kann es sich hierbei auch um ein aktiv in die Kommunikation eingreifendes Filtermodul handeln, das auf einer Proxy-Firewall aufgesetzt wird.
Hierbei schickt die Anwendung auf dem Quellsystem ihre Anfragen direkt zum Zielsystem
* Unter anderem kommen Dedicated Proxys als (z.&nbsp;B. [http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol SMTP]-) Virenscanner oder (z.&nbsp;B. [http://de.wikipedia.org/wiki/File_Transfer_Protocol FTP]-) Verbindungs- und Befehlsfilter zum Einsatz.
* Ohne dass es dem Quellsystem bewusst sein muss, verbirgt sich jedoch hinter dem adressierten Port des Zielsystems nicht der begehrte Netzwerkdienst, sondern eine Proxysoftware


Auf einem einzigen Gerät können mehrere Dedicated Proxys parallel laufen, um unterschiedliche Protokolle bedienen zu können.
Die Proxysoftware nimmt somit Anfragen aus dem Netz entgegen und stellt dann stellvertretend für das Quellsystem eine Verbindung zum tatsächlichen Netzwerkdienst seines eigenen Systems her
* Da er in die Pakete hineinsehen muss, verrichtet ein Dedicated Proxy seine Arbeit auf der [http://de.wikipedia.org/wiki/OSI-Modell OSI-Schicht] 7.
* Dieser beantwortet die Anfrage und schickt die Antwort zurück zur Proxysoftware, welche sie nun analysieren und beliebig verändern oder auch nur statistisch auswerten kann, bevor er sie zum tatsächlichen Client weiterleitet


Häufig werden Dedicated Proxys für die folgenden [http://de.wikipedia.org/wiki/Protokoll Protokolle] verwendet:
=== Proxy-Bezeichnungen ===
==== Dedicated Proxy (Proxy-Server) ====
Ein Dedicated Proxy ist ein Dienstprogramm, das im Datenverkehr zwischen dem anfragenden Client und dem Zielsystem vermittelt
* Er ist auf das Kommunikationsprotokoll spezialisiert, welches der Dienst verwendet, und kann daher die Kommunikation analysieren und bei Bedarf deren Inhalt manipulieren


===== [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP]/[http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]  =====
Darüber hinaus ist er in der Lage, eigenständig Anfragen an den Kommunikationspartner zu senden und mitunter als Zwischenspeicher zu fungieren (also von sich aus auf eine Anfrage zu antworten, ohne sie erneut vom tatsächlichen Zielsystem anfordern zu müssen)
Die meisten Provider bieten ihren Kunden die Verwendung eines solchen Proxys an.
* Er kann folgende Funktionen erfüllen:


===== SSL-Terminierung  =====
Manchmal wird er lokal auf dem Quell- oder Zielsystem installiert, um dort die entsprechende Aufgabe vor Ort umzusetzen
Eine [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]-Verbindung kann mittels Webproxy aufgebrochen (terminiert) werden, um auch dessen Inhalt auf Schädlinge zu überprüfen.
* Demgegenüber kann es sich hierbei auch um ein aktiv in die Kommunikation eingreifendes Filtermodul handeln, das auf einer Proxy-Firewall aufgesetzt wird
* Die weitere Verschlüsselung zum Client (Browser) erfolgt dann mit einem vom Proxy angebotenen Zertifikat.
* Unter anderem kommen Dedicated Proxys als (beispielsweise [https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol SMTP]-) Virenscanner oder (beispielsweise [https://de.wikipedia.org/wiki/File_Transfer_Protocol FTP]-) Verbindungs- und Befehlsfilter zum Einsatz


Problem dabei ist, dass der Benutzer des Browsers nicht mehr das Originalzertifikat des Webservers zu sehen bekommt und dem Proxy-Server vertrauen muss, dass er eine Gültigkeitsprüfung des Webserver-Zertifikats übernommen hat.
Auf einem einzigen Gerät können mehrere Dedicated Proxys parallel laufen, um unterschiedliche Protokolle bedienen zu können
* Da er in die Pakete hineinsehen muss, verrichtet ein Dedicated Proxy seine Arbeit auf der [https://de.wikipedia.org/wiki/OSI-Modell OSI-Schicht] 7


===== Zwischenspeicher ([http://de.wikipedia.org/wiki/Cache Cache])  =====
Häufig werden Dedicated Proxys für die folgenden [https://de.wikipedia.org/wiki/Protokoll Protokolle] verwendet
Der Proxy kann gestellte Anfragen bzw.
* deren Ergebnis speichern.
* Wird die gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet werden, ohne zuerst den [http://de.wikipedia.org/wiki/Webserver Webserver] zu fragen.
* Der Proxy stellt sicher, dass die von ihm ausgelieferten Informationen nicht allzu veraltet sind.


Eine vollständige [http://de.wikipedia.org/wiki/Aktualität Aktualität] wird in der Regel nicht gewährleistet.
===== [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP]/[https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS] =====
* Durch das Zwischenspeichern können Anfragen schneller beantwortet werden und es wird gleichzeitig die [http://de.wikipedia.org/wiki/Netzlast Netzlast] verringert.
Die meisten Provider bieten ihren Kunden die Verwendung eines solchen Proxys an
* Beispielsweise vermittelt ein derartiger Proxy eines Unternehmens den gesamten Datenverkehr der Computer der Mitarbeiter mit dem [http://de.wikipedia.org/wiki/Internet Internet].
* Er kann folgende Funktionen erfüllen


===== [http://de.wikipedia.org/wiki/Zensur_%28Informationskontrolle%29 Zensur]/[http://de.wikipedia.org/wiki/Zugriffskontrolle Zugriffssteuerung] =====
===== SSL-Terminierung =====
Mittels Proxy können bestimmte Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden.
Eine [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]-Verbindung kann mittels Webproxy aufgebrochen (terminiert) werden, um auch dessen Inhalt auf Schädlinge zu überprüfen
* Es kann auch der Inhalt auf schädliche Programme durchsucht werden ([http://de.wikipedia.org/wiki/Computervirus Viren], [http://de.wikipedia.org/wiki/Malware Malware], Skripte, etc.).
* Die weitere Kryptografie zum Client (Browser) erfolgt dann mit einem vom Proxy angebotenen Zertifikat
 
Problem dabei ist, dass der Benutzer des Browsers nicht mehr das Originalzertifikat des Webservers zu sehen bekommt und dem Proxy-Server vertrauen muss, dass er eine Gültigkeitsprüfung des Webserver-Zertifikats übernommen hat
 
===== Zwischenspeicher ([https://de.wikipedia.org/wiki/Cache Cache]) =====
Der Proxy kann gestellte Anfragen bzw
* deren Ergebnis speichern
* Wird die gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet werden, ohne zuerst den [https://de.wikipedia.org/wiki/Webserver Webserver] zu fragen
* Der Proxy stellt sicher, dass die von ihm ausgelieferten Informationen nicht allzu veraltet sind
 
Eine vollständige [https://de.wikipedia.org/wiki/Aktualität Aktualität] wird in der Regel nicht gewährleistet
* Durch das Zwischenspeichern können Anfragen schneller beantwortet werden und es wird gleichzeitig die [https://de.wikipedia.org/wiki/Netzlast Netzlast] verringert
* Beispielsweise vermittelt ein derartiger Proxy eines Unternehmens den gesamten Datenverkehr der Computer der Mitarbeiter mit dem [https://de.wikipedia.org/wiki/Internet Internet]
 
===== [https://de.wikipedia.org/wiki/Zensur_%28Informationskontrolle%29 Zensur]/[https://de.wikipedia.org/wiki/Zugriffskontrolle Zugriffssteuerung] =====
Mittels Proxy können bestimmte Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden
* Es kann auch der Inhalt auf schädliche Programme durchsucht werden ([https://de.wikipedia.org/wiki/Computervirus Viren], [https://de.wikipedia.org/wiki/Malware Malware], Skripte, und weitere)
* S
* S


omit ist ein Proxy meist Teil eines [http://de.wikipedia.org/wiki/Firewall Firewall]-Konzepts.
omit ist ein Proxy meist Teil eines [https://de.wikipedia.org/wiki/Firewall Firewall]-Konzepts
* Vor allem Schulen oder öffentliche Einrichtungen, aber auch Firmen verhindern auf diese Weise den Zugriff aus ihrem Netz auf beliebige Webseiten, um beispielsweise das Herunterladen von Musikdateien wegen der damit verbundenen rechtlichen Probleme zu unterbinden.
* Vor allem Schulen oder öffentliche Einrichtungen, aber auch Firmen verhindern auf diese Weise den Zugriff aus ihrem Netz auf beliebige Webseiten, um beispielsweise das Herunterladen von Musikdateien wegen der damit verbundenen rechtlichen Probleme zu unterbinden


Zudem sind Schutzbefohlene vor gefährlichen Webseiten (Pornographie, rassistische Webseiten, o.ä.) zu schützen.
Zudem sind Schutzbefohlene vor gefährlichen Webseiten (Pornographie, rassistische Webseiten, o.ä.) zu schützen
* Mittels Benutzerauthentisierung können einzelnen Benutzern oder Benutzergruppen unterschiedliche Webfilterungen zugewiesen werden.
* Mittels Benutzerauthentisierung können einzelnen Benutzern oder Benutzergruppen unterschiedliche Webfilterungen zugewiesen werden


===== Ausfiltern von Werbung =====
===== Ausfiltern von Werbung =====
Werbung kann erhebliche Mengen an Datenverkehr erzeugen viele Werbeflächen laden sich z.&nbsp;B.
Werbung kann erhebliche Mengen an Datenverkehr erzeugen - viele Werbeflächen laden sich beispielsweise
* regelmäßig neu.
* regelmäßig neu
* Was für den Privatanwender an einer ADSL-Leitung unproblematisch ist, kann beispielsweise für ein Netz von mehreren Dutzend Anwendern an dieser Leitung zum Problem werden.
* Was für den Privatanwender an einer ADSL-Leitung unproblematisch ist, kann beispielsweise für ein Netz von mehreren Dutzend Anwendern an dieser Leitung zum Problem werden


===== [http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol SMTP] =====
===== [https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol SMTP] =====
Manche Firewalls bieten einen SMTP-Proxy an, der den Mailverkehr zwischen Internet und Mailserver überwacht und bestimmte gefährliche bzw.
Manche Firewalls bieten einen SMTP-Proxy an, der den Mailverkehr zwischen Internet und Mailserver überwacht und bestimmte gefährliche bzw
* unerwünschte Befehle ausfiltert.
* unerwünschte Befehle ausfiltert
* Durch das Design des SMTP-Protokolls ist jeder SMTP-Server auch als SMTP-Proxy verwendbar.
* Durch das Design des SMTP-Protokolls ist jeder SMTP-Server auch als SMTP-Proxy verwendbar


===== [http://de.wikipedia.org/wiki/Internet_Message_Access_Protocol IMAP-Proxy] =====
===== [https://de.wikipedia.org/wiki/Internet_Message_Access_Protocol IMAP-Proxy] =====
Holt z.&nbsp;B.
Holt beispielsweise
* automatisch E-Mails vom zentralem IMAP-Server auf eine lokale Maschine, von der die Clients dann die E-Mail abholen.
* automatisch E-Mails vom zentralem IMAP-Server auf eine lokale Maschine, von der die Clients dann die E-Mail abholen


===== [http://de.wikipedia.org/wiki/Internet_Relay_Chat IRC-Proxy] =====
===== [https://de.wikipedia.org/wiki/Internet_Relay_Chat IRC-Proxy] =====
Ein solcher Proxy vermittelt IRC-Verbindungen und kann diese aufrechterhalten, auch wenn der Client abgeschaltet ist.
Ein solcher Proxy vermittelt IRC-Verbindungen und kann diese aufrechterhalten, auch wenn der Client abgeschaltet ist


===== [http://de.wikipedia.org/wiki/Network_News_Transfer_Protocol NNTP-Proxy] =====
===== [https://de.wikipedia.org/wiki/Network_News_Transfer_Protocol NNTP-Proxy] =====
<div style="margin-left:1cm;margin-right:0cm;">Der Proxy (z.&nbsp;B. [http://de.wikipedia.org/w/index.php?title=Leafnode&action=edit&redlink=1 Leafnode]) kann für News verwendet werden und erlaubt es z.&nbsp;B.
<div style="margin-left:1cm;margin-right:0cm;">Der Proxy (beispielsweise [https://de.wikipedia.org/w/index.php?title=Leafnode&action=edit&redlink=1 Leafnode]) kann für News verwendet werden und erlaubt es beispielsweise
* Filter für unerwünschte Gruppen zu definieren. </div>
* Filter für unerwünschte Gruppen zu definieren. </div>


===== [http://de.wikipedia.org/wiki/Exchange Exchange]-Frontend-Server =====
===== [https://de.wikipedia.org/wiki/Exchange Exchange]-Frontend-Server =====
<div style="margin-left:1cm;margin-right:0cm;">Er stellt eine Proxy-Funktion zur Verfügung, der das [http://de.wikipedia.org/wiki/Remote_Procedure_Call RPC]-Protokoll über HTTP(S) [http://de.wikipedia.org/wiki/Tunnel_%28Rechnernetz%29 tunnelt]. </div>
<div style="margin-left:1cm;margin-right:0cm;">Er stellt eine Proxy-Funktion zur Verfügung, der das [https://de.wikipedia.org/wiki/Remote_Procedure_Call RPC]-Protokoll über HTTP(S) [https://de.wikipedia.org/wiki/Tunnel_%28Rechnernetz%29 tunnelt]. </div>


===== [http://de.wikipedia.org/w/index.php?title=Citrix_Secure_Gateway&action=edit&redlink=1 Citrix Secure Gateway] =====
===== [https://de.wikipedia.org/w/index.php?title=Citrix_Secure_Gateway&action=edit&redlink=1 Citrix Secure Gateway] =====
<div style="margin-left:1cm;margin-right:0cm;">Hier wird das [http://de.wikipedia.org/wiki/Independent_Computing_Architecture ICA-Protokoll] über HTTP(S) getunnelt. </div>
<div style="margin-left:1cm;margin-right:0cm;">Hier wird das [https://de.wikipedia.org/wiki/Independent_Computing_Architecture ICA-Protokoll] über HTTP(S) getunnelt. </div>


==== Circuit Level Proxy (generischer Proxy) ====
==== Circuit Level Proxy (generischer Proxy) ====
Als Circuit Level Proxy (auch Generischer Proxy genannt) wird ein Paketfiltermodul bezeichnet, mit dem man auf einer Firewall beliebige IP-Adressen und Ports sperren bzw.
Als Circuit Level Proxy (auch Generischer Proxy genannt) wird ein Paketfiltermodul bezeichnet, mit dem man auf einer Firewall beliebige IP-Adressen und Ports sperren bzw
* freischalten kann, ohne jedoch die Möglichkeit zu haben, die Paketinhalte damit zu analysieren.
* freischalten kann, ohne jedoch die Möglichkeit zu haben, die Paketinhalte damit zu analysieren


Ein solcher Proxy, der auf den OSI-Schichten 3 und 4 operiert, reicht die Pakete mitunter einfach durch, ohne die Verbindungen selbst zu terminieren.
Ein solcher Proxy, der auf den OSI-Schichten 3 und 4 operiert, reicht die Pakete mitunter einfach durch, ohne die Verbindungen selbst zu terminieren
* Der Circuit Level Proxy realisiert die Adressumsetzung dann mithilfe von [http://de.wikipedia.org/wiki/Network_Address_Translation NAT] auf der OSI-Schicht 3.
* Der Circuit Level Proxy realisiert die Adressumsetzung dann mithilfe von [https://de.wikipedia.org/wiki/Network_Address_Translation NAT] auf der OSI-Schicht 3
* Während die Adressfilterung ebenfalls auf der dritten OSI-Schicht angesiedelt ist, realisiert er zudem eine Port-Filterung auf der vierten OSI-Schicht.
* Während die Adressfilterung ebenfalls auf der dritten OSI-Schicht angesiedelt ist, realisiert er zudem eine Port-Filterung auf der vierten OSI-Schicht


Es gibt auch Circuit Level Proxys, die dank eines speziellen Protokolls in der Lage sind, eine Authentifizierung auf der OSI-Schicht 5 zu realisieren.
Es gibt auch Circuit Level Proxys, die dank eines speziellen Protokolls in der Lage sind, eine Authentifizierung auf der OSI-Schicht 5 zu realisieren
* Der Client holt sich so eine Verbindungsgenehmigung z.&nbsp;B.
* Der Client holt sich so eine Verbindungsgenehmigung beispielsweise
* per Eingabe einer Kennung nebst Passwort.
* per Eingabe einer Kennung nebst Passwort


Dieses spezielle Authentifizierungsprotokoll muss der Client allerdings kennen, weshalb ein derart befähigter Circuit Level Proxy weniger generisch ist (er funktioniert nur mit Anwendungen auf dem Client zusammen, die entsprechend erweitert wurden).
Dieses spezielle Authentifizierungsprotokoll muss der Client allerdings kennen, weshalb ein derart befähigter Circuit Level Proxy weniger generisch ist (er funktioniert nur mit Anwendungen auf dem Client zusammen, die entsprechend erweitert wurden)
* Als Beispiel für ein solches Authentifizierungsprotokoll sei [http://de.wikipedia.org/wiki/SOCKS SOCKS] genannt.
* Als Beispiel für ein solches Authentifizierungsprotokoll sei [https://de.wikipedia.org/wiki/SOCKS SOCKS] genannt
* Solch ein erweiterter Circuit Level Proxy greift nicht zwangsläufig auf NAT zurück.
* Solch ein erweiterter Circuit Level Proxy greift nicht zwangsläufig auf NAT zurück
* Einige von ihnen machen dies gar vom Protokoll abhängig.
* Einige von ihnen machen dies gar vom Protokoll abhängig
* So wird z.&nbsp;B.
* So wird beispielsweise
* die TCP-Verbindung terminiert, während eine UDP-Verbindung schlicht weitergereicht wird.
* die TCP-Verbindung terminiert, während eine UDP-Verbindung schlicht weitergereicht wird


Ein generischer Proxy kann auch für eine einfache Weiterleitung genutzt werden.
Ein generischer Proxy kann auch für eine einfache Weiterleitung genutzt werden
* Der denkbar einfachste Proxy ist das Linux-Programm Redir, das auf einer Schnittstelle und einem Port lauscht und die Daten auf ein anderes Interface und Port weitergibt.
* Der denkbar einfachste Proxy ist das Linux-Programm Redir, das auf einer Schnittstelle und einem Port lauscht und die Daten auf ein anderes Interface und Port weitergibt


Dies ist auch mit dem [http://de.wikipedia.org/wiki/Iptables iptables]-Kommando unter [http://de.wikipedia.org/wiki/Linux Linux] möglich und wird beispielsweise verwendet um den Exit-Datenverkehr eines [http://de.wikipedia.org/wiki/Tor_%28Netzwerk%29 TOR]-Servers über mehrere Proxys zu leiten, um so den TOR-Server zu schützen.
Dies ist auch mit dem [https://de.wikipedia.org/wiki/Iptables iptables]-Kommando unter [https://de.wikipedia.org/wiki/Linux Linux] möglich und wird beispielsweise verwendet um den Exit-Datenverkehr eines [https://de.wikipedia.org/wiki/Tor_%28Netzwerk%29 TOR]-Servers über mehrere Proxys zu leiten, um so den TOR-Server zu schützen


==== Proxy-Firewall ====
==== Proxy-Firewall ====
Eine Proxy-Firewall ist eine Firewall, die auf Dedicated Proxys und Circuit Level Proxys als Filtermodule zurückgreift.
Eine Proxy-Firewall ist eine Firewall, die auf Dedicated Proxys und Circuit Level Proxys als Filtermodule zurückgreift
* Diese Filtermodule setzen Regeln um, indem sie entscheiden, welche Daten an den tatsächlichen Kommunikationspartner weitergeleitet werden, und welche nicht.
* Diese Filtermodule setzen Regeln um, indem sie entscheiden, welche Daten an den tatsächlichen Kommunikationspartner weitergeleitet werden, und welche nicht


Auf diese Weise versucht die Proxy-Firewall das eigene Netz(segment) vor unerlaubten Zugriffen zu schützen.
Auf diese Weise versucht die Proxy-Firewall das eigene Netz(segment) vor unerlaubten Zugriffen zu schützen
* Sie kann darüber hinaus aber auch eine Konvertierung der Daten vornehmen, bestimmte Inhalte zwischenspeichern und sämtliche weiteren Funktionen ausüben, die einem Proxy eigen sind.
* Sie kann darüber hinaus aber auch eine Konvertierung der Daten vornehmen, bestimmte Inhalte zwischenspeichern und sämtliche weiteren Funktionen ausüben, die einem Proxy eigen sind


===== Dedicated Proxys auf einer Stateful Inspection Firewall =====
===== Dedicated Proxys auf einer Stateful Inspection Firewall =====
Einige Hersteller bieten für ihre Stateful Inspection Firewall (SIF) ebenfalls Dedicated Proxys an.
Einige Hersteller bieten für ihre Stateful Inspection Firewall (SIF) ebenfalls Dedicated Proxys an
* Definitionstechnisch ist das allerdings ein wenig problematisch: Da dieser Firewalltyp nach dem ursprünglichen Konzept von Checkpoint lediglich auf einem generischen Paketfilter basiert, und sich so ausschließlich auf Paketfilter-Regeln konzentriert, wird eine SIF ganz klar als Paketfilter-Firewall klassifiziert.
* Definitionstechnisch ist das allerdings ein wenig problematisch: Da dieser Firewalltyp nach dem ursprünglichen Konzept von Checkpoint lediglich auf einem generischen Paketfilter basiert, und sich so ausschließlich auf Paketfilter-Regeln konzentriert, wird eine SIF ganz klar als Paketfilter-Firewall klassifiziert


Wird dort allerdings ein Dedicated Proxy aktiviert, so ist die SIF tatsächlich keine Paketfilter-Firewall mehr sondern gehört dann der Kategorie Proxy-Firewall an, die eine [http://de.wikipedia.org/wiki/Stateful_Packet_Inspection Stateful Packet Inspection] durchführt.
Wird dort allerdings ein Dedicated Proxy aktiviert, so ist die SIF tatsächlich keine Paketfilter-Firewall mehr sondern gehört dann der Kategorie Proxy-Firewall an, die eine [https://de.wikipedia.org/wiki/Stateful_Packet_Inspection Stateful Packet Inspection] durchführt
* Diese exakte Unterscheidung wird in der Fachwelt jedoch selten vorgenommen, weshalb eine als SIF klassifizierte Firewall in der Praxis nur zum Teil der Definition einer Paketfilter-Firewall gerecht wird.
* Diese exakte Unterscheidung wird in der Fachwelt jedoch selten vorgenommen, weshalb eine als SIF klassifizierte Firewall in der Praxis nur zum Teil der Definition einer Paketfilter-Firewall gerecht wird


==== Transparenter Proxy ====
==== Transparenter Proxy ====
Ein Transparenter Proxy besteht grundsätzlich aus zwei Komponenten.
Ein Transparenter Proxy besteht grundsätzlich aus zwei Komponenten
* Zunächst werden am [http://de.wikipedia.org/wiki/Router Router] die gewünschten Ports der Protokolle abgegriffen (beispielsweise über [http://de.wikipedia.org/wiki/Iptables#Ziele_.28targets.29 Iptables] unter Einsatz eines Redirects) und dann an einen Proxy weitergeleitet.
* Zunächst werden am [https://de.wikipedia.org/wiki/Router Router] die gewünschten Ports der Protokolle abgegriffen (beispielsweise über [https://de.wikipedia.org/wiki/Iptables#Ziele_.28targets.29 Iptables] unter Einsatz eines Redirects) und dann an einen Proxy weitergeleitet


Für den Anwender ist die Verbindung über einen transparenten Proxy in der Benutzung nicht von einer direkten Verbindung über den Router zu unterscheiden.
Für den Anwender ist die Verbindung über einen transparenten Proxy in der Benutzung nicht von einer direkten Verbindung über den Router zu unterscheiden
* Das Vorhandensein eines transparenten Proxys bietet daher den Nutzen, dass eine Konfiguration der Proxyeinstellungen am einzelnen PC unterbleiben kann (siehe unter [http://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Sichtbarkeiten Sichtbarkeiten]).
* Das Vorhandensein eines transparenten Proxys bietet daher den Nutzen, dass eine Konfiguration der Proxyeinstellungen am einzelnen PC unterbleiben kann (siehe unter [https://de.wikipedia.org/w/index.php?title=Proxy_%28Rechnernetz%29&printable=yes#Sichtbarkeiten Sichtbarkeiten])


==== Reverse Proxy ====
==== Reverse Proxy ====
{| style="border-spacing:0;margin:auto;width:17.501cm;"
[[Datei:Reverse proxy h2g2bob.svg|mini|280px|alt=Ein Proxy-Server, der das Internet zu einem internen Netzwerk verbindet.|Ein Reverse Proxy, der Anfragen vom Internet übernimmt und sie zu anderen Servern im internen Netzwerk weiterleitet. Die Anfragenden verbinden sich zum Proxy, und es mag sein, dass sie vom internen Netzwerk nicht Bescheid wissen.]]
|-
 
|| Ein Reverse Proxy, der Anfragen vom Internet übernimmt und sie zu anderen Servern im internen Netzwerk weiterleitet.  
Ein Proxy tritt im Falle des Reverse Proxys als vermeintliches Zielsystem in Erscheinung, wobei die Adressumsetzung dann in der entgegengesetzten Richtung vorgenommen wird und so dem Client die wahre Adresse des Zielsystems verborgen bleibt
* Die Anfragenden verbinden sich zum Proxy und es mag sein, dass sie vom internen Netzwerk nicht Bescheid wissen.
* Während ein typischer Proxy dafür verwendet werden kann, mehreren Clients eines internen (privaten - in sich geschlossenen) Netzes den Zugriff auf ein externes Netz zu gewähren, funktioniert ein Reverse Proxy genau andersherum
|| [[Image:Grafik18.png|right|middle]]
|-
|}
Ein Proxy tritt im Falle des Reverse Proxys als vermeintliches Zielsystem in Erscheinung, wobei die Adressumsetzung dann in der entgegengesetzten Richtung vorgenommen wird und so dem Client die wahre Adresse des Zielsystems verborgen bleibt.
* Während ein typischer Proxy dafür verwendet werden kann, mehreren Clients eines internen (privaten in sich geschlossenen) Netzes den Zugriff auf ein externes Netz zu gewähren, funktioniert ein Reverse Proxy genau andersherum.


=== Internetzugriffe des Browsers ===
=== Internetzugriffe des Browsers ===
Es gibt mehrere Möglichkeiten, die Zugriffe des Browsers über einen Proxy zu leiten:
Es gibt mehrere Möglichkeiten, die Zugriffe des Browsers über einen Proxy zu leiten


===== Umgebungsvariable =====
===== Umgebungsvariable =====
<div style="margin-left:1cm;margin-right:0cm;">Einige Browser, zum Beispiel [http://de.wikipedia.org/wiki/Lynx_%28Browser%29 Lynx], werten eine Umgebungsvariable (in diesem Fall 'http_proxy=') aus und verwenden den dort eingetragenen Wert, wenn er nicht leer ist. </div>
<div style="margin-left:1cm;margin-right:0cm;">Einige Browser, zum Beispiel [https://de.wikipedia.org/wiki/Lynx_%28Browser%29 Lynx], werten eine Umgebungsvariable (in diesem Fall 'http_proxy=') aus und verwenden den dort eingetragenen Wert, wenn er nicht leer ist. </div>


===== Direkte Konfiguration =====
===== Direkte Konfiguration =====
Hier werden der Name (oder die IP-Adresse) des Proxy-Servers und der Port, auf welchen er hört, direkt im Browser eingetragen.
Hier werden der Name (oder die IP-Adresse) des Proxy-Servers und der Port, auf welchen er hört, direkt im Browser eingetragen
* Der Nachteil ist, dass man dies bei jedem Client manuell tun muss und Änderungen daran auf jeden Client einzeln nachzutragen sind.
* Der Nachteil ist, dass man dies bei jedem Client manuell tun muss und Änderungen daran auf jeden Client einzeln nachzutragen sind


===== Transparenter Proxy =====
===== Transparenter Proxy =====
Hier wird an den Clients nichts konfiguriert; sie richten ihre Anfragen an das Ziel auf die Ports 80 (HTTP), als ob sie eine direkte Verbindung zum Internet hätten.
Hier wird an den Clients nichts konfiguriert; sie richten ihre Anfragen an das Ziel auf die Ports 80 (HTTP), als ob sie eine direkte Verbindung zum Internet hätten
* Die Infrastruktur des Netzes sorgt dafür, dass ihre Anfragen an den Proxy geleitet werden.
* Die Infrastruktur des Netzes sorgt dafür, dass ihre Anfragen an den Proxy geleitet werden


===== Automatische Proxy-Konfiguration ([http://de.wikipedia.org/wiki/Proxy_Auto-Config Proxy Auto-Config]) =====
===== Automatische Proxy-Konfiguration ([https://de.wikipedia.org/wiki/Proxy_Auto-Config Proxy Auto-Config]) =====
Hier wird im Browser die URL einer JavaScript-Datei eingetragen, die Adresse und Port des Proxy-Servers enthält.
Hier wird im Browser die URL einer JavaScript-Datei eingetragen, die Adresse und Port des Proxy-Servers enthält
* Wenn diese Arbeit einmalig getan ist, können weitere Änderungen zentral im Skript erfolgen.
* Wenn diese Arbeit einmalig getan ist, können weitere Änderungen zentral im Skript erfolgen
* Das Skript kann auch auf einen Reverse-Proxy zuweisen.
* Das Skript kann auch auf einen Reverse-Proxy zuweisen


===== [http://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol Web Proxy Autodiscovery Protocol] (WPAD) =====
===== [https://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol Web Proxy Autodiscovery Protocol] (WPAD) =====
<div style="margin-left:1cm;margin-right:0cm;">Dies ist ein Protokoll mit dem Web-Clients wie ein Browser automatisiert zu verwendende Web-Proxys innerhalb eines Computernetzwerkes finden können, indem eine [http://de.wikipedia.org/wiki/Proxy_Auto-Config Proxy Auto-Config] (PAC-Datei) unter einer erratbaren URL gespeichert wird, beispielsweise: <tt>http://wpad.example.com/wpad.dat</tt> </div>
<div style="margin-left:1cm;margin-right:0cm;">Dies ist ein Protokoll mit dem Web-Clients wie ein Browser automatisiert zu verwendende Web-Proxys innerhalb eines Computernetzwerkes finden können, indem eine [https://de.wikipedia.org/wiki/Proxy_Auto-Config Proxy Auto-Config] (PAC-Datei) unter einer erratbaren URL gespeichert wird, beispielsweise: <tt>https://wpad.example.com/wpad.dat</tt> </div>


=== Mögliche Probleme ===
=== Mögliche Probleme ===
==== Gefahren ====
==== Gefahren ====
Ein schlecht konfigurierter Proxy kann eine Gefahr darstellen, da er Dritten erlaubt, über die Adresse des Proxys im Internet zu agieren.
Ein schlecht konfigurierter Proxy kann eine Gefahr darstellen, da er Dritten erlaubt, über die Adresse des Proxys im Internet zu agieren


Als Beispiel könnte der Proxy für eine Attacke oder ähnlich einem [http://de.wikipedia.org/wiki/Offenes_Mail-Relay offenen Mail-Relay] zum Versenden von [http://de.wikipedia.org/wiki/Spam Spam] missbraucht werden.
Als Beispiel könnte der Proxy für eine Attacke oder - ähnlich einem [https://de.wikipedia.org/wiki/Offenes_Mail-Relay offenen Mail-Relay] - zum Versenden von [https://de.wikipedia.org/wiki/Spam Spam] missbraucht werden
* Bei einem Missbrauch wird dann als Quelle der Proxy ermittelt, was unter Umständen unangenehme Folgen für den Betreiber haben kann.
* Bei einem Missbrauch wird dann als Quelle der Proxy ermittelt, was unter Umständen unangenehme Folgen für den Betreiber haben kann


==== Statistik für Zugriffe ====
==== Statistik für Zugriffe ====
Besonders kommerzielle Server, die Werbeflächen vermieten, begründen ihre Attraktivität für Werbung mit Zugriffszahlen, deren Statistik vom Webserver erzeugt wird.
Besonders kommerzielle Server, die Werbeflächen vermieten, begründen ihre Attraktivität für Werbung mit Zugriffszahlen, deren Statistik vom Webserver erzeugt wird
* Proxy-Server und Filter beeinflussen diese Zahlen natürlich negativ, da aus dem Cache gelieferte Inhalte dort nicht erscheinen und ein Teil der Werbung erst gar nicht geladen wird.
* Proxy-Server und Filter beeinflussen diese Zahlen natürlich negativ, da aus dem Cache gelieferte Inhalte dort nicht erscheinen und ein Teil der Werbung erst gar nicht geladen wird
* Manche Anbieter von Webseiten bemühen sich daher, ihre Inhalte schlecht oder gar nicht cachebar zu gestalten.
* Manche Anbieter von Webseiten bemühen sich daher, ihre Inhalte schlecht oder gar nicht cachebar zu gestalten


Bei Wikipedia selbst sieht man dies daran, dass als IP-Adresse desjenigen, der einen Artikel bearbeitet, die IP-Adresse des letzten Proxy-Servers gespeichert wird, und die IP-Adresse des betreffenden Anschlusses in Headern wie [http://de.wikipedia.org/wiki/X-Forwarded-For X-FORWARDED-FOR], X_BLUECOAT_PROXY_VIA, CACHE_CONTROL, CLIENT_IP oder anderen ignoriert wird.
Bei Wikipedia selbst sieht man dies daran, dass als IP-Adresse desjenigen, der einen Artikel bearbeitet, die IP-Adresse des letzten Proxy-Servers gespeichert wird, und die IP-Adresse des betreffenden Anschlusses in Headern wie [https://de.wikipedia.org/wiki/X-Forwarded-For X-FORWARDED-FOR], X_BLUECOAT_PROXY_VIA, CACHE_CONTROL, CLIENT_IP oder anderen ignoriert wird


==== Proxy als Anonymisierungsdienst ====
==== Proxy als Anonymisierungsdienst ====
In verschiedenen [http://de.wikipedia.org/wiki/Internetforum Internetforen], und auch der Wikipedia, wird das Anlegen oder Verändern von Beiträgen über offene Proxy-Server oft durch Sperrung der entsprechenden IP-Adressen verhindert, um eine anonyme Teilnahme zu erschweren.
In verschiedenen [https://de.wikipedia.org/wiki/Internetforum Internetforen], und auch der Wikipedia, wird das Anlegen oder Verändern von Beiträgen über offene Proxy-Server oft durch Sperrung der entsprechenden IP-Adressen verhindert, um eine anonyme Teilnahme zu erschweren
* Sinnvollerweise wird dies oft nur für nicht angemeldete Anwender vorgenommen.
* Sinnvollerweise wird dies oft nur für nicht angemeldete Anwender vorgenommen


Zu bedenken bleibt, dass der Betreiber eines offenen Proxys nahezu die volle Kontrolle über die Sitzung hat, dabei Daten aufzeichnen und beliebige Webinhalte fälschen kann, ohne dass der Anwender davon etwas bemerkt.
Zu bedenken bleibt, dass der Betreiber eines offenen Proxys nahezu die volle Kontrolle über die Sitzung hat, dabei Daten aufzeichnen und beliebige Webinhalte fälschen kann, ohne dass der Anwender davon etwas bemerkt


Um die Gefahr eines Missbrauchs des Anonymisierungsdienstes durch den Betreiber des Proxys einzugrenzen, könnten Konzepte wie [http://de.wikipedia.org/wiki/Friend-to-friend F2F] eine Lösung bieten:
Um die Gefahr eines Missbrauchs des Anonymisierungsdienstes durch den Betreiber des Proxys einzugrenzen, könnten Konzepte wie [https://de.wikipedia.org/wiki/Friend-to-friend F2F] eine Lösung bieten


Bei einem F2F-Proxy werden die Daten durch einen „Freund“ geleitet; dieses erhöht die Sicherheit, da keine unbekannten Proxy-Server genutzt werden.
Bei einem F2F-Proxy werden die Daten durch einen "Freund" geleitet; dieses erhöht die Sicherheit, da keine unbekannten Proxy-Server genutzt werden
* Das Friend-to-Friend-Netzwerk garantiert, dass ausschließlich private und geprüfte Verbindungen genutzt werden.
* Das Friend-to-Friend-Netzwerk garantiert, dass ausschließlich private und geprüfte Verbindungen genutzt werden
* Abhilfe können auch gängige Verschlüsselungs- und Zertifizierungsverfahren bieten, wie [http://de.wikipedia.org/wiki/Transport_Layer_Security SSL/TLS] mit dem Zielsystem hinter dem Proxy, beispielsweise durch die Nutzung einer [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]-Verbindung.
* Abhilfe können auch gängige Kryptografie- und Zertifizierungsverfahren bieten, wie [https://de.wikipedia.org/wiki/Transport_Layer_Security SSL/TLS] mit dem Zielsystem hinter dem Proxy, beispielsweise durch die Nutzung einer [https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS]-Verbindung


Hierbei kann der Proxy keine Manipulation vornehmen, zumindest so lange die Implementierung des genutzten Verfahrens nicht fehlerhaft ist und das Verfahren selbst nicht untergraben wird.
Hierbei kann der Proxy keine Manipulation vornehmen, zumindest so lange die Implementierung des genutzten Verfahrens nicht fehlerhaft ist und das Verfahren selbst nicht untergraben wird
=== Contentfilter ===
=== Contentfilter ===
[[Image:Grafik19.png|right]]Ein Contentfilter (von [http://de.wikipedia.org/wiki/Englische_Sprache engl.] content „Inhalt“) wird zur Filterung bestimmter Inhalte in einem [http://de.wikipedia.org/wiki/Netzwerk Netzwerk] oder einem [http://de.wikipedia.org/wiki/Computer Computer] eingesetzt.
[[Datei:Screenshot-whitehouse com.png|mini|Der Zugang zur Webseite ''whitehouse.com'', blockiert durch ein Contentfilter&shy;programm (DansGuardian)]]
* Diese Filter kommen vor allem in Unternehmens[http://de.wikipedia.org/wiki/Netzwerk netzwerken] und bei [http://de.wikipedia.org/wiki/Internetdienstanbieter Internetprovidern] zum Einsatz.
* Meist wird dadurch versucht, illegale, anstößige oder [http://de.wikipedia.org/wiki/Jugendschutz jugendgefährdende] [http://de.wikipedia.org/wiki/Website Websites] zu sperren.
 
==== Eigenschaften und Funktionen  ====
Ein detailliert einstellbarer Contentfilter erleichtert die Kontrolle über die betrachteten Inhalte.
* Zum Teil unbemerkt für den Anwender blockiert oder filtert dieses System beispielsweise [http://de.wikipedia.org/wiki/Webseite Webseiten] und/oder [http://de.wikipedia.org/wiki/E-Mail E-Mails] hinsichtlich einzelner Wörter, typischer Phrasen, Bilder oder Links.


Meist werden diese Bereiche mittels einer Kategorisierung konfiguriert, Dabei werden Listen ([http://de.wikipedia.org/wiki/Datenbank Datenbanken]) benutzt, so die ablehnende [http://de.wikipedia.org/wiki/Blacklist Blacklist] oder eine [http://de.wikipedia.org/wiki/Whitelist Whitelist], die den Zugriff trotzdem gestattet.
Ein Contentfilter (von [https://de.wikipedia.org/wiki/Englische_Sprache engl.] content "Inhalt") wird zur Filterung bestimmter Inhalte in einem [https://de.wikipedia.org/wiki/Netzwerk Netzwerk] oder einem [https://de.wikipedia.org/wiki/Computer Computer] eingesetzt
* Typische Beispiele für vordefinierte Kategorien sind [http://de.wikipedia.org/wiki/Pornografie Pornografie] oder [http://de.wikipedia.org/wiki/Rechtsextremismus Rechtsextremismus].
* Diese Filter kommen vor allem in Unternehmens[https://de.wikipedia.org/wiki/Netzwerk netzwerken] und bei [https://de.wikipedia.org/wiki/Internetdienstanbieter Internetprovidern] zum Einsatz
* Meist wird dadurch versucht, illegale, anstößige oder [https://de.wikipedia.org/wiki/Jugendschutz jugendgefährdende] [https://de.wikipedia.org/wiki/Website Websites] zu sperren


===== Einfache Contentfilter  =====
==== Eigenschaften und Funktionen ====
Einfache Filter überprüfen nur das Vorkommen bestimmter Auswahlkriterien.
Ein detailliert einstellbarer Contentfilter erleichtert die Kontrolle über die betrachteten Inhalte
* Nachteilig ist bei Einsatz von sehr einfachen Content-Filtern, dass jede Seite mit entsprechenden Wörtern gesperrt wird.
* Zum Teil unbemerkt für den Anwender blockiert oder filtert dieses System beispielsweise [https://de.wikipedia.org/wiki/Webseite Webseiten] und/oder [https://de.wikipedia.org/wiki/E-Mail E-Mails] hinsichtlich einzelner Wörter, typischer Phrasen, Bilder oder Links
* Dabei können auch Seiten gefiltert werden, die gesperrte Wörter in einem anderen Kontext nutzen.


Wenn beispielsweise das Wort „Sex“ in jeder Form gesperrt ist, wird nicht nur allgemein jede Seite, die dieses Wort – auch in unverfänglichem Zusammenhang – verwendet, sondern unter Umständen auch die Seite der Ortschaft [http://de.wikipedia.org/wiki/Sexten Sexten] oder die Wikipedia-Einträge [http://de.wikipedia.org/wiki/Rechtsextremismus Rechtsextremismus] und [http://de.wikipedia.org/wiki/Zufallsexperiment Zufallsexperimente] gefiltert.
Meist werden diese Bereiche mittels einer Kategorisierung konfiguriert, Dabei werden Listen ([https://de.wikipedia.org/wiki/Datenbank Datenbanken]) benutzt, so die ablehnende [https://de.wikipedia.org/wiki/Blacklist Blacklist] oder eine [https://de.wikipedia.org/wiki/Whitelist Whitelist], die den Zugriff trotzdem gestattet
* Typische Beispiele für vordefinierte Kategorien sind [https://de.wikipedia.org/wiki/Pornografie Pornografie] oder [https://de.wikipedia.org/wiki/Rechtsextremismus Rechtsextremismus]


===== Intelligente Contentfilter =====
===== Einfache Contentfilter =====
Um Nachteile einfacher Filtermethoden zu umgehen, arbeiten intelligente Contentfilter mit [http://de.wikipedia.org/wiki/Wichtung Gewichten] und weisen eine Seite erst dann zurück, wenn eine bestimmte Relevanz überschritten wird.
Einfache Filter überprüfen nur das Vorkommen bestimmter Auswahlkriterien
* Daneben verwenden sie auch [http://de.wikipedia.org/wiki/Heuristik heuristische] Verfahren, und bei E-Mails [http://de.wikipedia.org/wiki/Greylist Greylists].
* Nachteilig ist bei Einsatz von sehr einfachen Content-Filtern, dass jede Seite mit entsprechenden Wörtern gesperrt wird
* Dabei können auch Seiten gefiltert werden, die gesperrte Wörter in einem anderen Kontext nutzen


Ein intelligenter Contentfilter ist im Gegensatz zu einem URL-Filter mit hoher Trefferwahrscheinlichkeit in der Lage, Webseiten oder E-Mails korrekt zu beurteilen.  
Wenn beispielsweise das Wort "Sex" in jeder Form gesperrt ist, wird nicht nur allgemein jede Seite, die dieses Wort - auch in unverfänglichem Zusammenhang - verwendet, sondern unter Umständen auch die Seite der Ortschaft [https://de.wikipedia.org/wiki/Sexten Sexten] oder die Wikipedia-Einträge [https://de.wikipedia.org/wiki/Rechtsextremismus Rechtsextremismus] und [https://de.wikipedia.org/wiki/Zufallsexperiment Zufallsexperimente] gefiltert
* Ebenfalls können für gut befundene URLs eine bestimmte Zeit lang [http://de.wikipedia.org/wiki/Cache gecacht] werden, um das zeitraubende Prüfen bei wiederholter Anforderung zu vermeiden.


==== Einschränkungen  ====
===== Intelligente Contentfilter =====
Einfache Contentfilter können nur [http://de.wikipedia.org/wiki/Uniform_Resource_Locator URLs], Texte und Bilder, die nach bestimmten Standards klassifiziert sind, prüfen.
Um Nachteile einfacher Filtermethoden zu umgehen, arbeiten intelligente Contentfilter mit [https://de.wikipedia.org/wiki/Wichtung Gewichten] und weisen eine Seite erst dann zurück, wenn eine bestimmte Relevanz überschritten wird
* Texte, die in Bildform dargestellt werden, können nur geprüft werden, wenn der Contentfilter gleichzeitig eine Unterstützung für OCR-[http://de.wikipedia.org/wiki/Texterkennung Texterkennung] aufweist.
* Daneben verwenden sie auch [https://de.wikipedia.org/wiki/Heuristik heuristische] Verfahren, und bei E-Mails [https://de.wikipedia.org/wiki/Greylist Greylists]
* Natürlich ist es auch nur begrenzt möglich, Blacklists aller unerwünschten Seiten zu führen.


Fortschrittliche Systeme kombinieren ebenfalls ein [http://de.wikipedia.org/wiki/Antivirenprogramm Antivirenprogramm] mit dem Contentfilter, um auch hierüber eingeschleuste [http://de.wikipedia.org/wiki/Malware Malware], die beispielsweise über [http://de.wikipedia.org/wiki/Skriptsprache Scripte] oder Bilder auf den [http://de.wikipedia.org/wiki/Client Client] gelangen wollen, zu erkennen.
Ein intelligenter Contentfilter ist im Gegensatz zu einem URL-Filter mit hoher Trefferwahrscheinlichkeit in der Lage, Webseiten oder E-Mails korrekt zu beurteilen
* Ebenfalls können für gut befundene URLs eine bestimmte Zeit lang [https://de.wikipedia.org/wiki/Cache gecacht] werden, um das zeitraubende Prüfen bei wiederholter Anforderung zu vermeiden


=== Einfachen Firewallumgebung  ===
==== Einschränkungen ====
<div style="text-align:center;">[[Image:Grafik67.png]]</div>
Einfache Contentfilter können nur [https://de.wikipedia.org/wiki/Uniform_Resource_Locator URLs], Texte und Bilder, die nach bestimmten Standards klassifiziert sind, prüfen
* Texte, die in Bildform dargestellt werden, können nur geprüft werden, wenn der Contentfilter gleichzeitig eine Unterstützung für OCR-[https://de.wikipedia.org/wiki/Texterkennung Texterkennung] aufweist
* Natürlich ist es auch nur begrenzt möglich, Blacklists aller unerwünschten Seiten zu führen


<div style="text-align:center;">Beispiel einer Firewall zwischen lokalem Netz und Internet</div>
Fortschrittliche Systeme kombinieren ebenfalls ein [https://de.wikipedia.org/wiki/Antivirenprogramm Antivirenprogramm] mit dem Contentfilter, um auch hierüber eingeschleuste [https://de.wikipedia.org/wiki/Malware Malware], die beispielsweise über [https://de.wikipedia.org/wiki/Skriptsprache Scripte] oder Bilder auf den [https://de.wikipedia.org/wiki/Client Client] gelangen wollen, zu erkennen


Ein einfacher Firewall-Aufbau soll die Materie verdeutlichen: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen.
<noinclude>
* Man entscheidet sich für eine Firewall, und aufgrund der Viren- und Würmergefahr dürfen die Arbeitsplatz-PCs nicht auf Webseiten zugreifen.


Damit auch eine Recherche im Internet möglich ist, gibt es einen dedizierten Surf-Rechner, der über einen [http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29 Proxy]-Zugriff zu Webseiten erhält.
== Anhang ==
* Der Surf-Rechner wird zusätzlich dadurch geschützt, dass [http://de.wikipedia.org/wiki/ActiveX ActiveX] aus den angeforderten HTML-Seiten aus Sicherheitsgründen herausgefiltert wird.
=== Siehe auch ===
* Die Arbeitsplatz-PCs dürfen nur Verbindungen zu dem Mail-Server der Firma aufbauen.
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
=== Links ===
==== Projekt ====
==== Weblinks ====
# https://de.wikipedia.org/wiki/Proxy_(Rechnernetz)


Sonstige Zugriffe von außen auf das Firmennetz sollen einfach blockiert werden.
[[Kategorie:Proxy-Server]]
* Wichtig ist, dass in dieser Konstellation die Arbeitsplatzrechner selbst keinerlei direkte Verbindung zum Internet aufbauen können.
[[Kategorie:Apache/HTTP/Proxy]]
* Damit können einmal eingeschleuste Schadprogramme sich nur weiterverbreiten oder weitere Schädlinge aus dem Internet nachladen, wenn sie über den Proxy oder den Mailserver einen Weg finden.


Das [http://de.wikipedia.org/wiki/Firewall-Regelwerk Firewall-Regelwerk] eines Systems mit [http://de.wikipedia.org/wiki/Stateful_Packet_Inspection Stateful Inspection] würde in diesem Beispiel folgendermaßen aussehen:# Die Quellen 10.0.0.2 und 10.0.0.3 (Arbeitsplatzrechner) dürfen zum Ziel „Mailprovider“ per [http://de.wikipedia.org/wiki/Internet_Message_Access_Protocol IMAP] (Mails abholen) und [http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol SMTP] (Mails senden) zugreifen
</noinclude>
# Quelle 10.0.0.1 (Surfrechner) darf über den Proxy auf beliebige Ziele mit den Diensten [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP] (Webseiten herunterladen) und [http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure HTTPS] zugreifen (ActiveX wird dabei gefiltert)
# Alle anderen Kommunikationsversuche werden verworfen
# Weitere Beispiele finden sich im Artikel [http://de.wikipedia.org/wiki/Demilitarized_Zone Demilitarized Zone]

Aktuelle Version vom 11. Mai 2025, 20:58 Uhr

Proxy-Server - Vermittler für Kommunikationsprotokolle

Schematische Darstellung eines Proxys

Beschreibung

Kommunikationsschnittstelle in einem Computernetzwerk

Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen

Die Datenübertragung zwischen den beiden äußeren Rechnern weiterreicht

Begriff
  • Lateinisch: proximus ‚der Nächste‘
  • Englisch: proxy representative
  • Deutsch: Stellvertreter

Wird der Proxy als Netzwerk/Hardware eingesetzt, bleibt einerseits die tatsächliche Adresse eines Kommunikationspartners dem jeweils anderen Kommunikationspartner verborgen, was eine gewisse Anonymität schafft

  • Als (mögliches) Verbindungsglied zwischen unterschiedlichen Netzwerken kann er andererseits eine Verbindung zwischen Kommunikationspartnern selbst dann realisieren, wenn deren Adressen zueinander inkompatibel sind und eine direkte Verbindung nicht möglich ist

Im Unterschied zu einer einfachen Adressumsetzung (NAT) ist ein Proxy-Server, auch Dedicated Proxy genannt, dabei in der Lage, die Kommunikation selbst zu führen und zu beeinflussen, statt die Pakete ungesehen durchzureichen

  • Auf ein bestimmtes Kommunikationsprotokoll spezialisiert, wie beispielsweise HTTP oder FTP, kann er die Daten zusammenhängend analysieren, Anfragen filtern und bei Bedarf beliebige Anpassungen vornehmen, aber auch entscheiden, ob und in welcher Form die Antwort des Ziels an den tatsächlichen Client weitergereicht wird

Mitunter dient er dazu, bestimmte Antworten zwischenzuspeichern, damit sie bei wiederkehrenden Anfragen schneller abrufbar sind, ohne sie erneut vom Ziel anfordern zu müssen

  • Auf einem einzigen Gerät kommen oft mehrere Dedicated Proxys parallel zum Einsatz, um unterschiedliche Protokolle bedienen zu können

Ein Generischer Proxy, auch Circuit Level Proxy genannt, findet als protokollunabhängiger Filter auf einer Firewall Anwendung

  • Er realisiert dort ein port- und adressbasiertes Filtermodul, welches zudem eine (mögliche) Authentifizierung für den Verbindungsaufbau unterstützt
  • Daneben kann er für eine einfache Weiterleitung genutzt werden, indem er auf einem Port eines Netzwerkadapters lauscht und die Daten auf einen anderen Netzwerkadapter und Port weitergibt
  • Dabei ist er nicht in der Lage, die Kommunikation einzusehen, sie selbst zu führen und zu beeinflussen, da er das Kommunikationsprotokoll nicht kennt

Arbeitsweise und Abgrenzung

Erklärung anhand einer Analogie

Freunde kommen zu Besuch

  • Sie wollen Pizza essen
  • Der Gastgeber nimmt zunächst eine Liste mit den Bestellungen auf
  • Dann ruft er den Pizzaservice an, gibt die Bestellungen durch, nimmt die Pakete an der Tür entgegen und reicht sie danach an seine Freunde weiter
  • Der Gastgeber hat sich dabei wie ein Proxy verhalten

Er hat stellvertretend für seine Freunde den Kontakt mit dem Pizzaservice aufgenommen

  • Ehe der Gastgeber die Ware anhand der Liste weiterreicht, kann er sie auf eine korrekte Lieferung hin überprüfen und er kann, wenn er will, die Pizzen zusätzlich garnieren oder unerwünschten Belag entfernen (die Pakete verändern)

Der Pizzabote mag sich zwar denken, dass sein Kunde all die Pizzen nicht alleine verspeisen wird, jedoch hat er nie die Leute gesehen, für die die Pizzen tatsächlich bestimmt waren

  • Für ihn war einzig und alleine der Gastgeber der Ansprechpartner (ein Stellvertreter)

Der Unterschied zu einem NAT-Gerät

Oberflächlich betrachtet verhält sich ein NAT-Gerät ähnlich und funktioniert doch anders als ein typischer Proxy: Auf das vorherige Beispiel bezogen, lässt sich das NAT-Gerät besser mit einem ausgeklügelten Schienensystem hinter dem Türschlitz vergleichen, welches die vom Pizzaboten hindurch geschobenen Pizzen direkt zum wirklichen Empfänger gleiten lässt

  • Obgleich NAT ebenfalls die Identität der wirklichen Empfänger verbirgt, ist dort eine Manipulation und Analyse der Paketinhalte nicht möglich

Technisch gesehen arbeitet ein typischer Proxy als ein in den Verkehr eingreifender Kommunikationspartner auf der OSI-Schicht 7, wobei die Verbindungen auf beiden Seiten terminiert werden (es handelt sich somit um zwei eigenständige Verbindungen), statt die Pakete wie ein NAT-Gerät einfach durchzureichen

Ein solcher Dedicated Proxy ist also ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt, und wird daher auch Proxy-Server genannt: Als aktiver Vermittler verhält er sich dem anfragenden Client gegenüber wie ein Server, der anderen Seite, dem Zielsystem, gegenüber wie ein Client

Überschneidungen zu NAT gibt es allerdings bei dem generischen, auf den OSI-Schichten 3 und 4 operierenden Circuit Level Proxy, der unter Umständen auf die Technik der einfachen Adressumsetzung zurückgreift

  • Dessen ungeachtet nimmt NAT eine kaum beachtete Rolle unter den Proxys ein
  • Daher wird im Folgenden von der erstbeschriebenen Variante ausgegangen, wenn allgemein von einem (typischen) Proxy die Rede ist

Überblick

Sichtbarkeiten

Ein konventioneller Proxy tritt beiden Seiten selbst als Kommunikationspartner gegenüber

  • Er wird von ihnen also bewusst angesprochen (adressiert)
  • Hier bittet der Client den Proxy, stellvertretend für ihn die Kommunikation mit dem Zielsystem zu übernehmen
  • So wird beispielsweise der Internetbrowser derart konfiguriert, dass er sämtliche Internetanfragen nicht direkt zur Zieladresse schickt, sondern als Anforderung formuliert zum Proxy sendet

Daneben gibt es den transparenten Proxy als spezielle Netzwerk/Hardware, der sich einer der beiden Seiten gegenüber transparent (nahezu unsichtbar) verhält

  • Diese Seite adressiert direkt das Ziel und nicht den Proxy
  • Durch eine entsprechend konfigurierte Infrastruktur des Netzes wird die betreffende Anfrage dort automatisch über den Proxy geleitet, ohne dass der Absender dies bemerkt oder gar beeinflussen kann
  • Für die andere Seite aber stellt der Proxy weiterhin den zu adressierenden Kommunikationspartner dar, der stellvertretend für den tatsächlichen Kommunikationspartner angesprochen wird

Somit tritt ein Proxy generell für wenigstens eine der beiden Seiten selbst als vermeintlicher Kommunikationspartner in Erscheinung

Lage

Ein Proxy als separate Netzwerk/Hardware befindet sich physisch zwischen dem Quell- und Zielsystem

  • Innerhalb eines IP-Netzes nimmt er eine Konvertierung der IP-Adresse vor, sobald die Pakete durch das Netz hindurch auf ihrem Weg zum Ziel den Proxy passieren

Dadurch lassen sich die wahre IP-Adresse des tatsächlichen Kommunikationspartners verbergen und einzelne Teilnehmer eines Netzes oder gar ganze Netzwerke selbst dann miteinander verbinden, wenn sie adressierungstechnisch inkompatibel zueinander sind

Letzteres wird durch eine spezielle Port-Verwaltung ermöglicht (ähnlich der in der Analogie erwähnten "Liste der Bestellungen"), die es einem Proxy beispielsweise gestattet, ein komplettes privates (in sich geschlossenes) Netz über eine einzige offizielle IP-Adresse mit dem Internet zu verbinden

  • Da das Zielsystem nicht den Client, sondern nur den Proxy sieht, sind mögliche Angriffe von dort an den dafür prädestinierten Proxy gerichtet und treffen nicht direkt den Client

Der lokale Proxy läuft dagegen direkt auf dem Quell- oder Zielsystem und befindet sich in der logischen Anordnung zwischen dem zu kontaktierenden Netzwerkdienst und dem anfragenden Client

  • Er wird meist als Filter oder Konverter eingesetzt

Da er vor Ort in Aktion tritt, also noch bevor die Pakete in das Netz geleitet werden (lokaler Proxy auf dem Quellsystem), oder nachdem die Pakete das Zielsystem erreicht haben (lokaler Proxy auf dem Zielsystem), ist dieser Proxy nicht in der Lage, die wahre IP-Adresse des Kommunikationssystems zu verbergen

Das unterscheidet ihn maßgeblich von anderen Proxys eines IP-Netzwerkes

  • Allerdings kann ein lokaler Proxy auf dem Quellsystem durchaus dabei behilflich sein, die Netzwerkanfrage automatisiert über einen externen Proxy zu schicken, wobei der lokale Proxy diese Art der Umleitung dann verwaltet und somit seinen Teil zur Anonymisierung der eigenen IP-Adresse beiträgt

Mögliche Funktionen eines Proxys

Schutz der Clients

Der Proxy kann eine Schnittstelle zwischen dem privaten Netz und dem öffentlichen Netz bilden

  • Die Clients des privaten Netzes greifen so über den Proxy beispielsweise auf Webserver des öffentlichen Netzes zu

Da das kontaktierte Zielsystem aus dem öffentlichen Netz seine Antwortpakete nicht direkt an den Client schickt, sondern an den Proxy sendet, kann dieser die Verbindung aktiv kontrollieren

  • Ein unerwünschter Fernzugriff auf den Client (der über die Antwortpakete hinausgeht) wird somit unterbunden oder wenigstens erschwert
  • Entsprechende Sicherungsmaßnahmen und deren fortwährende Kontrolle beschränken sich so auf einen einzelnen oder einige wenige Proxys, statt auf eine Vielzahl von Clients

Sie lassen sich in einem vorgeschalteten Bastionsnetz auch einfacher und zuverlässiger realisieren

  • So sind zusätzlich eigene Server besser geschützt, die selbst keinen Zugriff auf das Internet benötigen, aber im selben Segment stehen, wie die durch den Proxy abgeschirmten Clients
  • Damit bleibt das interne Netz auch bei einer Kompromitierung des Proxys zunächst geschützt und verschafft so der IT-Abteilung zusätzliche Zeit für geeignete Reaktionen auf einen eventuellen Angriff von außen
Schutz der Server

Ein Proxyserver kann allgemein dazu verwendet werden, den eigentlichen Server in ein geschütztes Netz zu stellen, wodurch er vom externen Netz aus nur durch den Proxy erreichbar wird

Auf diese Weise versucht man den Server vor Angriffen zu schützen

  • Die Proxy-Software ist weniger komplex und bietet daher weniger Angriffspunkte
  • Diese Lösung wird zum Beispiel bei Online-Shops angewandt: Der Webserver befindet sich samt Proxy im Internet und greift auf die Datenbank mit Kundendaten hinter einer Firewall zu
Bandbreitenkontrolle
Der Proxy teilt verschiedenen Benutzern und Gruppen je nach Auslastung unterschiedliche Ressourcen zu
  • Der Proxy-Server Squid beherrscht dieses Verfahren, wobei er ebenso zum Schutz des Servers beitragen kann und Methoden unterstützt, die zu besserer Verfügbarkeit beitragen.
Verfügbarkeit
Über einen Proxyverbund lassen sich mit relativ geringem Aufwand Lastverteilung und Verfügbarkeit erreichen.
Aufbereitung von Daten

Proxy-Server können auch gewisse Applikationsfunktionen übernehmen, beispielsweise Daten in ein standardisiertes Format bringen

Inhaltliche Kontrolle häufig verwendeter Protokolle
Auf ein bestimmtes Kommunikationsprotokoll spezialisiert kann ein Proxy die Pakete des jeweiligen Protokolls analysieren und dabei als Verbindungs- und Befehlsfilter fungieren.
Funktionserweiterung eines Netzwerkdienstes

Ein Reverse-Proxy kann den üblichen Funktionsumfang eines Dienstes erweitern, indem er dank der Analyse des Protokolls beispielsweise

  • spezielle Statistiken erstellt, die der Dienst normalerweise nicht anbietet
  • Da er in der Lage ist, Anfragen selbst zu beantworten, sind beliebige weitere funktionelle Erweiterungen denkbar
Protokollierung

Viele Proxys erlauben es, Verbindungen, die über sie laufen, zu protokollieren

  • Das ermöglicht statistische Auswertungen und Erkennen ungewollter Verbindungen
Offener Proxy
Als offenen Proxy oder Open Proxy bezeichnet man einen Proxy, der von jedem ohne Anmeldung (offen) benutzt werden kann
  • Einerseits entstehen sie unwissentlich durch falsche Konfiguration oder durch trojanisierte PCs (siehe auch: Botnet)
  • Gleichzeitig werden aber auch viele offene Proxy-Server bewusst aufgesetzt, um eine weitgehende Anonymität zu ermöglichen; solche Proxys sind häufig mit zusätzlichen Funktionen zur Anonymisierung versehen.
Proxy als Anonymisierungsdienst

Der Anonymisierungs-Proxy (beispielsweise Anonymizer, Tor) leitet die Daten des Clients zum Server weiter, wodurch der Server die IP-Adresse des Clients nicht mehr direkt auslesen kann (siehe auch: Anonymität im Internet)

Sie werden verwendet, um die Herkunft eines Clients zu verschleiern

  • So können Internetnutzer versuchen, sich vor staatlicher oder anderer Verfolgung bzw
  • Kontrolle zu schützen
  • In einem anderen Szenarium werden Proxys angeboten - teils frei verfügbar - bei denen man unter der URL des Proxys beliebige Webseiten anfordern kann

Diese Proxys können dazu verwendet werden, um beispielsweise Einschränkungen von Firmen- oder Schulnetzen zu umgehen (manchmal werden allerdings diese, wenn es der Betreiber merkt, gesperrt)

  • Sie sind insofern anonym, als der Zielserver nur die URL des Anbieters sieht
Translating Proxy
Manche Proxys übersetzen ein Protokoll in ein anderes
  • Diese heißen dann Gateway, Transport, Agent
  • Ein Cern Proxy kommuniziert beispielsweise mit dem Client über HTTP, während er eine Verbindung zum Server über FTP oder Gopher aufbaut
  • Auch XMPP-Transports liegt dieses Konzept zu Grunde.

Proxy als Netzwerk/Hardware

Um zu verstehen, wie es einem solchen Gerät gelingen kann, die Identität der wahren Kommunikationspartner zu verbergen, kann es hilfreich sein, wenn man sich den Proxy als automatisiertes Postfach vorstellt: Wird von der verdeckten (internen) Adresse aus ein Paket durch den Proxy hindurch in das externe Netz geschickt, verbindet sich der Proxy selbst mit dem Zielsystem und versieht so die ausgehenden Pakete automatisch mit seiner eigenen Absenderadresse

Das Zielsystem schickt seine Antwortpakete nun zurück zum Postfach (Proxy), welcher die empfangenen Pakete ggf

  • analysiert und danach an den internen Client weiterreicht
  • Auf diese Weise leitet der Proxy alle aus dem externen Netz eingehenden Antwortpakete an den tatsächlichen Empfänger aus dem internen Netz weiter, ohne dass der Absender die tatsächliche (interne) Adresse des Empfängers kennt

Lokaler Proxy

Auch bei einer lokal auf dem Quell- oder Zielsystem installierten Proxysoftware wird intern eine Adresskonvertierung vorgenommen

  • Das ist Teil ihrer internen Arbeitsweise und kann sich auf eine Umleitung des Ports beschränken, bezieht sich oft aber auf eine Umsetzung zu localhost (der so genannten Loopback-Schnittstelle 127.0.0.1)

Auf dem Quellsystem

Als Beispiel könnte eine Anwendung ihre Internetanfragen nicht mehr direkt zum Zielsystem, sondern an sein eigenes System zum Port der dort installierten Proxysoftware schicken

  • Dafür muss die Anwendung entsprechend konfiguriert werden

Die Proxysoftware ermittelt nun die Adresse des gewünschten Zielsystems und leitet die Anfrage stellvertretend für die Anwendung dorthin

  • Dabei wird als Absender die Adresse des Quellsystems nebst Rückgabeport der Proxysoftware angegeben, damit die Antwortpakete wieder den lokalen Proxy erreichen, die er dann an die ursprüngliche Anwendung durchreichen kann

Auf diese Weise ist ein solcher Proxy in der Lage, ausgehende Anforderungen genauso zu analysieren (und ggf

Ein anderes Beispiel für einen lokalen Proxy ist Proxomitron, der unter anderem verhindert, dass JavaScripte die Browseridentität und dessen Versionsnummer, Auflösung und das Betriebssystem auslesen

  • Auch der Spam-Filter SpamPal wird mit einem lokalen Proxy installiert, zumindest für gewisse Mailclients wie Vivian Mail

Auf dem Zielsystem

Hierbei schickt die Anwendung auf dem Quellsystem ihre Anfragen direkt zum Zielsystem

  • Ohne dass es dem Quellsystem bewusst sein muss, verbirgt sich jedoch hinter dem adressierten Port des Zielsystems nicht der begehrte Netzwerkdienst, sondern eine Proxysoftware

Die Proxysoftware nimmt somit Anfragen aus dem Netz entgegen und stellt dann stellvertretend für das Quellsystem eine Verbindung zum tatsächlichen Netzwerkdienst seines eigenen Systems her

  • Dieser beantwortet die Anfrage und schickt die Antwort zurück zur Proxysoftware, welche sie nun analysieren und beliebig verändern oder auch nur statistisch auswerten kann, bevor er sie zum tatsächlichen Client weiterleitet

Proxy-Bezeichnungen

Dedicated Proxy (Proxy-Server)

Ein Dedicated Proxy ist ein Dienstprogramm, das im Datenverkehr zwischen dem anfragenden Client und dem Zielsystem vermittelt

  • Er ist auf das Kommunikationsprotokoll spezialisiert, welches der Dienst verwendet, und kann daher die Kommunikation analysieren und bei Bedarf deren Inhalt manipulieren

Darüber hinaus ist er in der Lage, eigenständig Anfragen an den Kommunikationspartner zu senden und mitunter als Zwischenspeicher zu fungieren (also von sich aus auf eine Anfrage zu antworten, ohne sie erneut vom tatsächlichen Zielsystem anfordern zu müssen)

Manchmal wird er lokal auf dem Quell- oder Zielsystem installiert, um dort die entsprechende Aufgabe vor Ort umzusetzen

  • Demgegenüber kann es sich hierbei auch um ein aktiv in die Kommunikation eingreifendes Filtermodul handeln, das auf einer Proxy-Firewall aufgesetzt wird
  • Unter anderem kommen Dedicated Proxys als (beispielsweise SMTP-) Virenscanner oder (beispielsweise FTP-) Verbindungs- und Befehlsfilter zum Einsatz

Auf einem einzigen Gerät können mehrere Dedicated Proxys parallel laufen, um unterschiedliche Protokolle bedienen zu können

  • Da er in die Pakete hineinsehen muss, verrichtet ein Dedicated Proxy seine Arbeit auf der OSI-Schicht 7

Häufig werden Dedicated Proxys für die folgenden Protokolle verwendet

HTTP/HTTPS

Die meisten Provider bieten ihren Kunden die Verwendung eines solchen Proxys an

  • Er kann folgende Funktionen erfüllen
SSL-Terminierung

Eine HTTPS-Verbindung kann mittels Webproxy aufgebrochen (terminiert) werden, um auch dessen Inhalt auf Schädlinge zu überprüfen

  • Die weitere Kryptografie zum Client (Browser) erfolgt dann mit einem vom Proxy angebotenen Zertifikat

Problem dabei ist, dass der Benutzer des Browsers nicht mehr das Originalzertifikat des Webservers zu sehen bekommt und dem Proxy-Server vertrauen muss, dass er eine Gültigkeitsprüfung des Webserver-Zertifikats übernommen hat

Zwischenspeicher (Cache)

Der Proxy kann gestellte Anfragen bzw

  • deren Ergebnis speichern
  • Wird die gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet werden, ohne zuerst den Webserver zu fragen
  • Der Proxy stellt sicher, dass die von ihm ausgelieferten Informationen nicht allzu veraltet sind

Eine vollständige Aktualität wird in der Regel nicht gewährleistet

  • Durch das Zwischenspeichern können Anfragen schneller beantwortet werden und es wird gleichzeitig die Netzlast verringert
  • Beispielsweise vermittelt ein derartiger Proxy eines Unternehmens den gesamten Datenverkehr der Computer der Mitarbeiter mit dem Internet
Zensur/Zugriffssteuerung

Mittels Proxy können bestimmte Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden

  • Es kann auch der Inhalt auf schädliche Programme durchsucht werden (Viren, Malware, Skripte, und weitere)
  • S

omit ist ein Proxy meist Teil eines Firewall-Konzepts

  • Vor allem Schulen oder öffentliche Einrichtungen, aber auch Firmen verhindern auf diese Weise den Zugriff aus ihrem Netz auf beliebige Webseiten, um beispielsweise das Herunterladen von Musikdateien wegen der damit verbundenen rechtlichen Probleme zu unterbinden

Zudem sind Schutzbefohlene vor gefährlichen Webseiten (Pornographie, rassistische Webseiten, o.ä.) zu schützen

  • Mittels Benutzerauthentisierung können einzelnen Benutzern oder Benutzergruppen unterschiedliche Webfilterungen zugewiesen werden
Ausfiltern von Werbung

Werbung kann erhebliche Mengen an Datenverkehr erzeugen - viele Werbeflächen laden sich beispielsweise

  • regelmäßig neu
  • Was für den Privatanwender an einer ADSL-Leitung unproblematisch ist, kann beispielsweise für ein Netz von mehreren Dutzend Anwendern an dieser Leitung zum Problem werden
SMTP

Manche Firewalls bieten einen SMTP-Proxy an, der den Mailverkehr zwischen Internet und Mailserver überwacht und bestimmte gefährliche bzw

  • unerwünschte Befehle ausfiltert
  • Durch das Design des SMTP-Protokolls ist jeder SMTP-Server auch als SMTP-Proxy verwendbar
IMAP-Proxy

Holt beispielsweise

  • automatisch E-Mails vom zentralem IMAP-Server auf eine lokale Maschine, von der die Clients dann die E-Mail abholen
IRC-Proxy

Ein solcher Proxy vermittelt IRC-Verbindungen und kann diese aufrechterhalten, auch wenn der Client abgeschaltet ist

NNTP-Proxy
Der Proxy (beispielsweise Leafnode) kann für News verwendet werden und erlaubt es beispielsweise
  • Filter für unerwünschte Gruppen zu definieren.
Exchange-Frontend-Server
Er stellt eine Proxy-Funktion zur Verfügung, der das RPC-Protokoll über HTTP(S) tunnelt.
Citrix Secure Gateway
Hier wird das ICA-Protokoll über HTTP(S) getunnelt.

Circuit Level Proxy (generischer Proxy)

Als Circuit Level Proxy (auch Generischer Proxy genannt) wird ein Paketfiltermodul bezeichnet, mit dem man auf einer Firewall beliebige IP-Adressen und Ports sperren bzw

  • freischalten kann, ohne jedoch die Möglichkeit zu haben, die Paketinhalte damit zu analysieren

Ein solcher Proxy, der auf den OSI-Schichten 3 und 4 operiert, reicht die Pakete mitunter einfach durch, ohne die Verbindungen selbst zu terminieren

  • Der Circuit Level Proxy realisiert die Adressumsetzung dann mithilfe von NAT auf der OSI-Schicht 3
  • Während die Adressfilterung ebenfalls auf der dritten OSI-Schicht angesiedelt ist, realisiert er zudem eine Port-Filterung auf der vierten OSI-Schicht

Es gibt auch Circuit Level Proxys, die dank eines speziellen Protokolls in der Lage sind, eine Authentifizierung auf der OSI-Schicht 5 zu realisieren

  • Der Client holt sich so eine Verbindungsgenehmigung beispielsweise
  • per Eingabe einer Kennung nebst Passwort

Dieses spezielle Authentifizierungsprotokoll muss der Client allerdings kennen, weshalb ein derart befähigter Circuit Level Proxy weniger generisch ist (er funktioniert nur mit Anwendungen auf dem Client zusammen, die entsprechend erweitert wurden)

  • Als Beispiel für ein solches Authentifizierungsprotokoll sei SOCKS genannt
  • Solch ein erweiterter Circuit Level Proxy greift nicht zwangsläufig auf NAT zurück
  • Einige von ihnen machen dies gar vom Protokoll abhängig
  • So wird beispielsweise
  • die TCP-Verbindung terminiert, während eine UDP-Verbindung schlicht weitergereicht wird

Ein generischer Proxy kann auch für eine einfache Weiterleitung genutzt werden

  • Der denkbar einfachste Proxy ist das Linux-Programm Redir, das auf einer Schnittstelle und einem Port lauscht und die Daten auf ein anderes Interface und Port weitergibt

Dies ist auch mit dem iptables-Kommando unter Linux möglich und wird beispielsweise verwendet um den Exit-Datenverkehr eines TOR-Servers über mehrere Proxys zu leiten, um so den TOR-Server zu schützen

Proxy-Firewall

Eine Proxy-Firewall ist eine Firewall, die auf Dedicated Proxys und Circuit Level Proxys als Filtermodule zurückgreift

  • Diese Filtermodule setzen Regeln um, indem sie entscheiden, welche Daten an den tatsächlichen Kommunikationspartner weitergeleitet werden, und welche nicht

Auf diese Weise versucht die Proxy-Firewall das eigene Netz(segment) vor unerlaubten Zugriffen zu schützen

  • Sie kann darüber hinaus aber auch eine Konvertierung der Daten vornehmen, bestimmte Inhalte zwischenspeichern und sämtliche weiteren Funktionen ausüben, die einem Proxy eigen sind
Dedicated Proxys auf einer Stateful Inspection Firewall

Einige Hersteller bieten für ihre Stateful Inspection Firewall (SIF) ebenfalls Dedicated Proxys an

  • Definitionstechnisch ist das allerdings ein wenig problematisch: Da dieser Firewalltyp nach dem ursprünglichen Konzept von Checkpoint lediglich auf einem generischen Paketfilter basiert, und sich so ausschließlich auf Paketfilter-Regeln konzentriert, wird eine SIF ganz klar als Paketfilter-Firewall klassifiziert

Wird dort allerdings ein Dedicated Proxy aktiviert, so ist die SIF tatsächlich keine Paketfilter-Firewall mehr sondern gehört dann der Kategorie Proxy-Firewall an, die eine Stateful Packet Inspection durchführt

  • Diese exakte Unterscheidung wird in der Fachwelt jedoch selten vorgenommen, weshalb eine als SIF klassifizierte Firewall in der Praxis nur zum Teil der Definition einer Paketfilter-Firewall gerecht wird

Transparenter Proxy

Ein Transparenter Proxy besteht grundsätzlich aus zwei Komponenten

  • Zunächst werden am Router die gewünschten Ports der Protokolle abgegriffen (beispielsweise über Iptables unter Einsatz eines Redirects) und dann an einen Proxy weitergeleitet

Für den Anwender ist die Verbindung über einen transparenten Proxy in der Benutzung nicht von einer direkten Verbindung über den Router zu unterscheiden

  • Das Vorhandensein eines transparenten Proxys bietet daher den Nutzen, dass eine Konfiguration der Proxyeinstellungen am einzelnen PC unterbleiben kann (siehe unter Sichtbarkeiten)

Reverse Proxy

Ein Proxy-Server, der das Internet zu einem internen Netzwerk verbindet.
Ein Reverse Proxy, der Anfragen vom Internet übernimmt und sie zu anderen Servern im internen Netzwerk weiterleitet. Die Anfragenden verbinden sich zum Proxy, und es mag sein, dass sie vom internen Netzwerk nicht Bescheid wissen.

Ein Proxy tritt im Falle des Reverse Proxys als vermeintliches Zielsystem in Erscheinung, wobei die Adressumsetzung dann in der entgegengesetzten Richtung vorgenommen wird und so dem Client die wahre Adresse des Zielsystems verborgen bleibt

  • Während ein typischer Proxy dafür verwendet werden kann, mehreren Clients eines internen (privaten - in sich geschlossenen) Netzes den Zugriff auf ein externes Netz zu gewähren, funktioniert ein Reverse Proxy genau andersherum

Internetzugriffe des Browsers

Es gibt mehrere Möglichkeiten, die Zugriffe des Browsers über einen Proxy zu leiten

Umgebungsvariable
Einige Browser, zum Beispiel Lynx, werten eine Umgebungsvariable (in diesem Fall 'http_proxy=') aus und verwenden den dort eingetragenen Wert, wenn er nicht leer ist.
Direkte Konfiguration

Hier werden der Name (oder die IP-Adresse) des Proxy-Servers und der Port, auf welchen er hört, direkt im Browser eingetragen

  • Der Nachteil ist, dass man dies bei jedem Client manuell tun muss und Änderungen daran auf jeden Client einzeln nachzutragen sind
Transparenter Proxy

Hier wird an den Clients nichts konfiguriert; sie richten ihre Anfragen an das Ziel auf die Ports 80 (HTTP), als ob sie eine direkte Verbindung zum Internet hätten

  • Die Infrastruktur des Netzes sorgt dafür, dass ihre Anfragen an den Proxy geleitet werden
Automatische Proxy-Konfiguration (Proxy Auto-Config)

Hier wird im Browser die URL einer JavaScript-Datei eingetragen, die Adresse und Port des Proxy-Servers enthält

  • Wenn diese Arbeit einmalig getan ist, können weitere Änderungen zentral im Skript erfolgen
  • Das Skript kann auch auf einen Reverse-Proxy zuweisen
Web Proxy Autodiscovery Protocol (WPAD)
Dies ist ein Protokoll mit dem Web-Clients wie ein Browser automatisiert zu verwendende Web-Proxys innerhalb eines Computernetzwerkes finden können, indem eine Proxy Auto-Config (PAC-Datei) unter einer erratbaren URL gespeichert wird, beispielsweise: https://wpad.example.com/wpad.dat

Mögliche Probleme

Gefahren

Ein schlecht konfigurierter Proxy kann eine Gefahr darstellen, da er Dritten erlaubt, über die Adresse des Proxys im Internet zu agieren

Als Beispiel könnte der Proxy für eine Attacke oder - ähnlich einem offenen Mail-Relay - zum Versenden von Spam missbraucht werden

  • Bei einem Missbrauch wird dann als Quelle der Proxy ermittelt, was unter Umständen unangenehme Folgen für den Betreiber haben kann

Statistik für Zugriffe

Besonders kommerzielle Server, die Werbeflächen vermieten, begründen ihre Attraktivität für Werbung mit Zugriffszahlen, deren Statistik vom Webserver erzeugt wird

  • Proxy-Server und Filter beeinflussen diese Zahlen natürlich negativ, da aus dem Cache gelieferte Inhalte dort nicht erscheinen und ein Teil der Werbung erst gar nicht geladen wird
  • Manche Anbieter von Webseiten bemühen sich daher, ihre Inhalte schlecht oder gar nicht cachebar zu gestalten

Bei Wikipedia selbst sieht man dies daran, dass als IP-Adresse desjenigen, der einen Artikel bearbeitet, die IP-Adresse des letzten Proxy-Servers gespeichert wird, und die IP-Adresse des betreffenden Anschlusses in Headern wie X-FORWARDED-FOR, X_BLUECOAT_PROXY_VIA, CACHE_CONTROL, CLIENT_IP oder anderen ignoriert wird

Proxy als Anonymisierungsdienst

In verschiedenen Internetforen, und auch der Wikipedia, wird das Anlegen oder Verändern von Beiträgen über offene Proxy-Server oft durch Sperrung der entsprechenden IP-Adressen verhindert, um eine anonyme Teilnahme zu erschweren

  • Sinnvollerweise wird dies oft nur für nicht angemeldete Anwender vorgenommen

Zu bedenken bleibt, dass der Betreiber eines offenen Proxys nahezu die volle Kontrolle über die Sitzung hat, dabei Daten aufzeichnen und beliebige Webinhalte fälschen kann, ohne dass der Anwender davon etwas bemerkt

Um die Gefahr eines Missbrauchs des Anonymisierungsdienstes durch den Betreiber des Proxys einzugrenzen, könnten Konzepte wie F2F eine Lösung bieten

Bei einem F2F-Proxy werden die Daten durch einen "Freund" geleitet; dieses erhöht die Sicherheit, da keine unbekannten Proxy-Server genutzt werden

  • Das Friend-to-Friend-Netzwerk garantiert, dass ausschließlich private und geprüfte Verbindungen genutzt werden
  • Abhilfe können auch gängige Kryptografie- und Zertifizierungsverfahren bieten, wie SSL/TLS mit dem Zielsystem hinter dem Proxy, beispielsweise durch die Nutzung einer HTTPS-Verbindung

Hierbei kann der Proxy keine Manipulation vornehmen, zumindest so lange die Implementierung des genutzten Verfahrens nicht fehlerhaft ist und das Verfahren selbst nicht untergraben wird

Contentfilter

Der Zugang zur Webseite whitehouse.com, blockiert durch ein Contentfilter­programm (DansGuardian)

Ein Contentfilter (von engl. content "Inhalt") wird zur Filterung bestimmter Inhalte in einem Netzwerk oder einem Computer eingesetzt

Eigenschaften und Funktionen

Ein detailliert einstellbarer Contentfilter erleichtert die Kontrolle über die betrachteten Inhalte

  • Zum Teil unbemerkt für den Anwender blockiert oder filtert dieses System beispielsweise Webseiten und/oder E-Mails hinsichtlich einzelner Wörter, typischer Phrasen, Bilder oder Links

Meist werden diese Bereiche mittels einer Kategorisierung konfiguriert, Dabei werden Listen (Datenbanken) benutzt, so die ablehnende Blacklist oder eine Whitelist, die den Zugriff trotzdem gestattet

Einfache Contentfilter

Einfache Filter überprüfen nur das Vorkommen bestimmter Auswahlkriterien

  • Nachteilig ist bei Einsatz von sehr einfachen Content-Filtern, dass jede Seite mit entsprechenden Wörtern gesperrt wird
  • Dabei können auch Seiten gefiltert werden, die gesperrte Wörter in einem anderen Kontext nutzen

Wenn beispielsweise das Wort "Sex" in jeder Form gesperrt ist, wird nicht nur allgemein jede Seite, die dieses Wort - auch in unverfänglichem Zusammenhang - verwendet, sondern unter Umständen auch die Seite der Ortschaft Sexten oder die Wikipedia-Einträge Rechtsextremismus und Zufallsexperimente gefiltert

Intelligente Contentfilter

Um Nachteile einfacher Filtermethoden zu umgehen, arbeiten intelligente Contentfilter mit Gewichten und weisen eine Seite erst dann zurück, wenn eine bestimmte Relevanz überschritten wird

Ein intelligenter Contentfilter ist im Gegensatz zu einem URL-Filter mit hoher Trefferwahrscheinlichkeit in der Lage, Webseiten oder E-Mails korrekt zu beurteilen

  • Ebenfalls können für gut befundene URLs eine bestimmte Zeit lang gecacht werden, um das zeitraubende Prüfen bei wiederholter Anforderung zu vermeiden

Einschränkungen

Einfache Contentfilter können nur URLs, Texte und Bilder, die nach bestimmten Standards klassifiziert sind, prüfen

  • Texte, die in Bildform dargestellt werden, können nur geprüft werden, wenn der Contentfilter gleichzeitig eine Unterstützung für OCR-Texterkennung aufweist
  • Natürlich ist es auch nur begrenzt möglich, Blacklists aller unerwünschten Seiten zu führen

Fortschrittliche Systeme kombinieren ebenfalls ein Antivirenprogramm mit dem Contentfilter, um auch hierüber eingeschleuste Malware, die beispielsweise über Scripte oder Bilder auf den Client gelangen wollen, zu erkennen


Anhang

Siehe auch

Links

Projekt

Weblinks

  1. https://de.wikipedia.org/wiki/Proxy_(Rechnernetz)