Starpniekserveris (proxy) — definīcija, darbība, kešatmiņa un drošība

Uzzini, kas ir starpniekserveris (proxy): definīcija, darbības princips, kešatmiņas priekšrocības un drošības risinājumi (SSL, privātums, konfigurācija).

Autors: Leandro Alegsa

Datortīklos starpniekserveris ir serveris (dators), kuru klienti (cilvēki vai datori) izmanto, lai piekļūtu citiem datoriem vai tīmekļa resursiem. Starpniekserveris darbojas klienta vārdā: klients pieprasa pakalpojumu (piemēram, tīmekļa lapu, failu vai savienojumu), starpniekserveris saņem šo pieprasījumu un tālāk komunicē ar galveno serveri, lai iegūtu klientam nepieciešamo informāciju un atgrieztu to klientam.

Galvenās funkcijas un uzdevumi

  • Kešatmiņa: starpniekserveris var saglabāt bieži pieprasītos resursus lokāli, lai nākamreiz pieprasījums tiktu apkalpots ātrāk un ar mazāku tīkla trafiku.
  • Satura filtrēšana un kontrole: uzņēmumi un pakalpojumu sniedzēji izmanto proxy, lai bloķētu nevēlamu saturu vai ierobežotu piekļuvi noteiktiem resursiem.
  • Autentifikācija un piekļuves pārvaldība: starpniekserveris var prasīt lietotāja autentifikāciju un reģistrēt piekļuves žurnālus.
  • Load balancing: sadala pieprasījumus starp vairākiem serveriem, lai uzlabotu veiktspēju un pieejamību.
  • Satura optimizācija: kompresija, attēlu optimizācija vai saturs tiek modificēts, lai samazinātu datu apjomu un paātrinātu piegādi.
  • Drošība: var filtrēt kaitīgu trafiku, izolēt iekšējos tīklus un kontrolēt izejošos savienojumus.

Kešatmiņa (caching) — kā tā darbojas

Kešatmiņa ir vieta, kur starpniekserveris saglabā jau iegūtu informāciju nākotnes pieprasījumiem. Ja klientam nepieciešamais resurss jau atrodas kešā, starpniekserverim nav jāveic jauns pieprasījums uz attālo serveri, kas samazina latentumu un tīkla slodzi. Kešatmiņas darbība balstās uz:

  • resursa derīguma noteikšanu (HTTP galvenes Cache-Control, Expires),
  • kešas derīguma pārbaudi (ETag, Last-Modified),
  • kešatmiņas noteikumiem (piem., kurus resursus kešēt un cik ilgi),
  • kešatmiņas invalidāciju — kad saturs tiek atjaunināts, kešs jātīra vai jāpārceļ uz jaunu versiju.

Protokoli un veidi

Proxy var strādāt ar dažādiem protokoliem un tikt realizēti dažādos veidos:

  • HTTP/HTTPS proxy: paredzēti tīmekļa trafika apstrādei; HTTPS savienojumos bieži izmanto šifrēšanu (skat. zemāk).
  • SOCKS proxy: universālāks, darbojas zemākā līmenī un atbalsta dažādus protokolus, piemēram, e-pastu, P2P un citus.
  • Forward proxy: darbojas klienta pusē un parasti reprezentē klientu ārējai pasaulei.
  • Reverse proxy: darbojas servera pusē — klients pieprasa resursu no galvenā servera adreses, bet pieprasījumu apkalpo reverse proxy; bieži izmanto slodzes balansēšanai, kešēšanai un drošībai.
  • Transparent (caurspīdīgs) proxy: klientam nav nepieciešama konfigurācija — trafiks tiek pārvērsts starpniekserverī tīkla līmenī; lietotājs parasti to nepamana.
  • Anonimitātes līmeņi: pastāv transparent, anonīmi, un augstas anonimitātes (elite) proxy, kas atšķiras pēc tā, cik daudz informācijas tie atklāj galapublikai (piem., IP adreses, X-Forwarded-For galvenes).

Drošība un šifrēšana

Daži starpniekserveri izmanto Secure Sockets Layer (SSL) vai modernāko TLS, lai aizsargātu savienojumu starp klientu un attālo serveri. Šis drošības slānis palīdz nodrošināt, ka tīklā neviens cits nevar viegli izlasīt vai modificēt datu plūsmu. Tomēr ir svarīgi saprast vairākus drošības aspektus:

  • ja starpniekserveris veic SSL/TLS termināciju (piem., reverse proxy, kas atšifrē trafiku), tas var nolasīt un modificēt šifrēto saturu — tas var būt gan drošības risks, gan nepieciešama funkcionalitāte (skat. saturu filtrēšanu).
  • neuzticams proxy var reģistrēt sensitīvus datus (loginus, pārlūkojuma vēsturi), tādēļ privātai lietošanai izvēlieties uzticamus servisu sniedzējus vai lietojiet šifrētus kanālus (VPN, HTTPS).
  • starpposma uzbrukumi (MitM) var tikt īstenoti, ja tīkls nav drošs vai ja starpniekserveris nav pareizi konfigurēts.
  • TLS sertifikātu validācija klienta pusē ir svarīga: jāuzticas tikai derīgiem un pārbaudītiem sertifikātiem.

Privātums, ierobežojumi un drošības riski

Proxy var uzlabot privātumu, slēpjot klienta IP adresi no galamērķa servera, tomēr pilnīgu anonimitāti tie neaizsargā automātiski. Iespējamie riski:

  • kešēšanā var palikt sensitīva informācija, ja nav pareizas konfigurācijas;
  • proxy var saglabāt žurnālus, kas ļauj atjaunot lietotāja aktivitātes;
  • ja proxy ir kompromitēts, uzbrucējs var manipulēt ar trafiku vai izspiegot datus;
  • konfigurācijas kļūdas (piem., DNS noplūdes) var atklāt klienta identitāti vai lokāciju.

Novietojums un konfigurācija tīklā

Starpniekserveri var novietot dažādās tīkla vietās: tie var darboties kā programmatūra tieši uz klienta mašīnas, uz lokālā tīkla servera, kā mākoņpakalpojums vai aiz ugunsmūra. Atkarībā no pozīcijas tie pilda atšķirīgas lomas (piem., lokāla kešatmiņa biroja tīklā, reverse proxy publiskam tīmekļa serverim).

Praktiski pielietojumi

  • uzņēmumu interneta piekļuves kontrole un drošība;
  • saturs kešēšana un CDN veidotāju darbība;
  • pieejas ierobežošana pēc ģeogrāfijas (geo-blocking) vai uzņēmuma politikas;
  • trafika optimizācija mobilajās tīklos (kompresija, attēlu optimizācija);
  • testēšana un izstrāde — izmaiņu ieviešana atbildes saturā priekš testiem vai satura prototipēšanai.

Galvenie HTTP galvenes un identifikācija

Proxy bieži pievieno vai pārraksta HTTP galvenes, piemēram, X-Forwarded-For, X-Real-IP vai Via, kas ļauj galamērķim uzzināt par pieprasījuma ceļu un sākotnējo IP adresi. Tie var arī noņemt vai maskēt šīs galvenes, atkarībā no anonimitātes līmeņa.

Labas prakses ieteikumi

  • izmantojiet TLS/SSL, lai aizsargātu jutīgo trafiku;
  • īstenojiet žurnālu pārvaldību un glabāšanas politiku, lai aizsargātu privātumu;
  • pareizi konfigurējiet kešatmiņu, ņemot vērā saturu, kuru nedrīkst kešēt (piem., personiski dati);
  • regulāri atjauniniet un pārbaudiet starpniekserveri, lai novērstu drošības ievainojamības;
  • izmantojiet autentifikāciju un piekļuves kontroli, ja proxy nodrošina piekļuvi iekšējiem resursiem.

Starpniekserveri ir daudzfunkcionāls rīks tīklu pārvaldībā — pareizi konfigurēti tie uzlabo drošību, veiktspēju un pārvaldību, bet nepareizi vai neuzticami izmantoti var radīt privātuma un drošības riska punktus.

Starpniekserveris netieši savieno divus datorus savā starpā.Zoom
Starpniekserveris netieši savieno divus datorus savā starpā.

Proxy serveru priekšrocības

Proxy servera izmantošana sniedz daudz priekšrocību. Pirmkārt, klienta dators var apmainīties ar datiem ar attālo serveri, neveidojot tiešu savienojumu. Šādā veidā attālinātajam serverim nav zināma klienta īstā interneta adrese. To dažkārt sauc par anonimizāciju, jo tā klients kļūst anonīms. Otra priekšrocība ir tā, ka tad, kad proxy serveris pats spēj apkalpot klienta pieprasījumu, tas vairs nesazināsies ar attālo serveri. Tādējādi, izmantojot starpniekserveri, tiek samazināta attālinātā servera slodze. Šāda veida starpniekserverus sauc par kešserveriem.

Lielas organizācijas (vai pat valstis) dažkārt izmanto starpniekserverus, lai kontrolētu piekļuvi internetam. Liela banka var izmantot proxy serveri, kas atļauj savienojumus tikai ar citām ar banku darbību saistītām vietnēm. Tomēr proxy serveris var bloķēt piekļuvi tīmekļa vietnēm, kas piedāvā bezmaksas e-pastu vai pornogrāfiskus materiālus. Tas var arī bloķēt piekļuvi failu koplietošanas lietojumprogrammām. Piekļuves ierobežošanu noteiktam saturam internetā sauc arī par interneta filtrēšanu.

Veidi un funkcijas

Proxy serverim var būt viena vai vairākas turpmāk aprakstītās funkcijas:

Kešēšanas starpniekserveris

Kešēšanas starpniekserveris var apkalpot klientu pieprasījumus, nesazinoties ar attālo serveri; tā vietā tas nosūta datus, ko tas ir saglabājis no iepriekšējā pieprasījuma. To sauc par kešēšanu.

Kešēšanas starpniekserveri samazina attālinātā servera darba slodzi. Tomēr tiem ir savas problēmas, jo īpaši, ja tie nav labi konfigurēti. Dažas problēmas ir aprakstītas RFC 3143.

Web proxy

Tīmekļa starpniekserveris ir starpniekserveris, kas koncentrējas uz datplūsmu globālajā tīmeklī. To var izmantot, lai bloķētu aizskarošu tīmekļa saturu vai kontrolētu klientu piekļuvi tiešsaistes saturam. Tos var izmantot korporācijas vai valstis.

Tīmekļa starpniekserverus var izmantot arī, lai izsekotu, kā dažādas personas ir izmantojušas piekļuvi internetam.

Anonimizējošs starpniekserveris

Anonimizējošs starpniekserveris anonīmu iemeslu dēļ no klientu pieprasījumiem noņem identificējošu informāciju, lai nodrošinātu anonimitāti. Tos var arī izmantot, lai izlauztos cauri filtrētam saturam internetā.

Atvērt proxy

Proxy serveri sauc par atvērtu proxy serveri, ja ikviens var tam pieslēgties un to izmantot. Parasti atvērtie proxy serveri ir slikti konfigurēti proxy serveri. Atvērtos starpniekserverus var viegli ļaunprātīgi izmantot, piemēram, slikts lietotājs var nosūtīt kaitniecisku pieprasījumu attālam serverim, bet paslēpties aiz atvērta starpniekservera, tāpēc attālā servera administratori nevar viņu apturēt. Atvērtās starpniekservera starpniekservera vietnes var izmantot arī surogātpasta sūtīšanai. Šā iemesla dēļ dažas tīmekļa vietnes neļauj pieslēgties saviem tīmekļa serveriem vai rediģēt tajos esošo saturu, izmantojot zināmus atklātos starpniekserverus.

Piespiedu pilnvarotā persona

Piespiedu proxy serveris ir proxy serveris, kas apstrādā visu datplūsmu no klienta uz internetu. Klients nezina, ka proxy serveris eksistē, bet visa informācija iet caur proxy serveri. Tos dažkārt sauc par "caurspīdīgiem" proxy serveriem, jo lietotājs nezina, ka starp klientu un attālo serveri atrodas proxy serveris.

SMTP starpniekserveris

Caurspīdīgs SMTP starpniekserveris ir SMTP starpniekserveris, kas ir ievietots starp sūtītāju pasta serveri un saņēmēju pasta serveri. SMTP proxy galvenais mērķis ir filtrēt izejošo surogātpastu. Starpniekserveris maskējas tā, ka klients un serveris uzskata, ka tie sarunājas viens ar otru, lai gan starp tiem ir starpniekserveris.

Programmatūra

Ir daudz programmatūras, ko var izmantot proxy servera darbināšanai. Dažas programmatūras var darboties tikai kā proxy serveris, bet citas programmatūras var darboties arī kā ugunsmūris vai kešatmiņas serveris. Squid, Varnish un Microsoft Internet Security and Acceleration Server (ISA Server) ir vispazīstamākās proxy serveru programmatūras. Dažas proxy programmatūras izmanto SOCKS protokolu. Piemēram, Java SOCKS proxy serveris.

Jautājumi un atbildes

J: Kas ir starpniekserveris?


A: Proxy serveris ir dators, ko klienti izmanto, lai piekļūtu citiem datoriem. Tas darbojas kā starpnieks starp klientu un attālo serveri, pārsūtot informāciju turp un atpakaļ, nemainot to.

J: Kas ir vārtejas vai tuneļveida starpniekserveris?


A: Vārteja vai tuneļveida starpniekserveris ir starpniekservera veids, kas nodod informāciju saviem klientiem, to nemainot.

J: Kā darbojas proxy serveris?


A: Kad klients pieslēdzas proxy serverim, tas pieprasa kādu pakalpojumu, piemēram, failu, savienojumu, tīmekļa lapu vai citu resursu, kas ir pieejams citā serverī. Tad starpniekserveris dodas uz citu serveri un pieprasa klientam nepieciešamo.

J: Ko proxy var darīt ar informāciju?


A: Starpnieki var mainīt informāciju, ko tie sniedz saviem klientiem, un, ja vienai un tai pašai informācijai dažādi klienti piekļūst vairākas reizes, tie var izmantot kešēšanu, lai paātrinātu darbu. Kešēšana ietver iepriekš pieejamo datu saglabāšanu turpmākai lietošanai, lai, ja tiem pašiem datiem nepieciešams piekļūt vēlreiz, tie nebūtu jāpieprasa no cita servera.

J: Kur var izvietot starpniekservisus attiecībā pret klientiem un serveriem?


A: Proxy var novietot jebkurā vietā starp klientu un attālo serveri, ieskaitot programmatūru jebkurā datorā vai jebkurā datorā starp tiem abiem.

J: Kādus drošības pasākumus izmanto daži starpniekserveri?


A: Daži starpniekserveri var izmantot Secure Sockets Layer (SSL), lai aizsargātu savienojumus starp klientiem un attālinātajiem serveriem tā, lai citi datori nevarētu izlasīt vai saprast, kas tiek prasīts viens no otra.


Meklēt
AlegsaOnline.com - 2020 / 2025 - License CC3