Web Proxy AutoDiscovery Protocol

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 5.10.2020 tarkistetusta versiosta . tarkastukset vaativat 12 muokkausta .

Web Proxy Auto-Discovery Protocol (WPAD) on asiakkaiden käyttämä menetelmä määrittääkseen määritystiedoston sijainnin (URL-osoitteen) käyttämällä DHCP- ja/tai DNS-tekniikoita. Kun määritystiedoston sijainti on määritetty ja itse tiedosto on saatu, asiakas määrittää sen avulla, mitä välityspalvelinta käytetään kullekin tietylle URL-osoitteelle. WPAD-protokolla määrittää vain konfiguraatiotiedostojen hakumekanismin, ja sen avulla Netscape kehitti vuonna 1996 Netscape Navigator 2.0 :lle yleisimmin käytetyn konfigurointitiedostomuodon . [1] WPAD-protokollan kuvasi ensimmäisenä Inktomi Corporationin , Microsoft Corporationin , RealNetworks, Inc :n konsortio. ja Sun Microsystems, Inc. . WPAD-protokolla dokumentoitiin myöhemmin virallisesti INTERNET-DRAFT-julkaisussa, joka päättyi joulukuussa 1999. [2] WPAD-protokollaa tukevat vain vanhemmat selaimet. Ja ensimmäistä kertaa sitä käytettiin Internet Explorer 5.0:ssa.

Kuvaus

Jotta organisaation kaikki selaimet voidaan määrittää ilman kunkin selaimen manuaalista määritystä, kahden seuraavan tekniikan on toimittava:

Välityspalvelimen automaattinen määritysstandardi PAC): Määritystiedosto on luotava ja asetettava Erilaisia yksityiskohtia tästä käsitellään eri artikkeleissa;
Web Proxy Autodiscovery Protocol ( WPAD ) -standardi: Sinun on varmistettava, että kaikki organisaatiosi selaimet löytävät tämän tiedoston määrittämättä sen sijaintia manuaalisesti. Tässä artikkelissa kuvataan tämä prosessi.

WPAD-standardi kuvaa kaksi vaihtoehtoista menetelmää määritystiedoston sijaintitietojen jakamiseksi järjestelmänvalvojille Dynamic Host Configuration Protocol (DHCP) tai Domain Name System (DNS) -järjestelmän avulla.

Ennen kuin ensimmäinen sivu ladataan, selain lähettää tämän tekniikan avulla DHCPINFORM-pyynnön paikalliselle DHCP-palvelimelle ja käyttää tuloksena olevaa URL-osoitetta WPAD-palvelimen vastausvaihtoehdosta. Jos DHCP-palvelin ei pysty antamaan vaadittuja tietoja, käytetään DNS:ää. Jos tietokoneen DNS-nimi on esimerkiksi pc.department.branch.example.com , selain yrittää käyttää seuraavia URL-osoitteita löytääkseen määritystiedoston:

http://wpad.department.branch.example.com/wpad.dat
http://wpad.branch.example.com/wpad.dat
http://wpad.example.com/wpad.dat
http://wpad.com/wpad.dat (huomaa turvahuomautus)

(Nämä ovat vain esimerkkejä URL-osoitteista)

Muistiinpanot

DHCP on etusijalla DNS:ään nähden: jos DHCP tarjoaa WPAD-URL-osoitteen, DNS:ää ei käytetä. Firefox ei käytä DHCP:tä, vain DNS:ää .
DNS-kysely hylkää verkkotunnuksen ensimmäisen osan (joka kuvaa asiakkaan nimeä) ja korvaa sen wpad :lla . Sitten tapahtuu "liikettä ylöspäin" verkkotunnusten hierarkiassa, kunnes määritystiedoston sijainnin osoite löytyy tai organisaation toimialue jätetään.
Selain yrittää määrittää organisaation verkkotunnuksen ja yrittää korvata verkkotunnuksia, kuten 'company.com' tai 'university.edu', mutta ei 'company.co.uk' (huomaa turvahuomautus).
DNS-kysely olettaa, että asetustiedoston nimi on aina wpad.dat . DHCP-protokollaa käytettäessä mitä tahansa kelvollista URL-osoitetta voidaan käyttää. Historiallisesti PAC-tiedoston nimi on yleensä proxy.pac (tietenkin tämä nimi jätetään huomioimatta DNS-menetelmää käytettäessä).
Asetustiedoston MIME-tyypin on oltava täsmälleen "application/x-ns-proxy-autoconfig". Lisätietoja on kohdassa Välityspalvelimen automaattinen määritys.
Tällä hetkellä vain Internet Explorer ja Konqueror tukevat molempia menetelmiä (DHCP ja DNS), DNS-menetelmää tukevat useimmat nykyaikaiset selaimet.

Vaatimukset

Jotta WPAD toimisi, seuraavien ehtojen on täytyttävä:

Käytettäessä DHCP:tä palvelimen on annettava "site-local"-vaihtoehto 252 ("auto-proxy-config") merkkijonolla, kuten "http://xxx.yyy.zzz.qqq/wpad.dat" (ei lainausmerkkejä, tietysti). ), jossa xxx.yyy.zzz.qqq on verkkopalvelimen osoite (missä tahansa muodossa: IP tai DNS ).
DNS:ää käytettäessä tarvitaan WPAD-isäntänimi.
WPAD-isännän on kyettävä palvelemaan web-sivuja .
Molemmissa tapauksissa verkkopalvelin on määritettävä palvelemaan .dat-tiedostoja, joiden MIME-tyyppi on "application/x-ns-proxy-autoconfig" .
Tiedoston wpad.dat on sijaittava WPAD-isännässä juurihakemistossa .
Esimerkki PAC-tiedostosta löytyy välityspalvelimen auto-config .
Ole varovainen määrittäessäsi WPAD-palvelinta virtuaalisessa isännöintiympäristössä . Kun automaattinen välityspalvelimen tunnistus tapahtuu, Internet Explorer lähettää otsikon, kuten "Host: <IP-osoite>" ja Firefox lähettää otsikon, kuten "Host: wpad". Kaikki tämä voi johtaa arvaamattomaan palvelimen toimintaan, joten on suositeltavaa, että wpad.dat-tiedosto sijaitsee oletusarvoisessa Virtual Hostissa.
Internet Explorerin versio 6.0.2900.2180.xpsp_sp2_rtm kysyy verkkopalvelimelta "wpad.da" eikä "wpad.dat".
Windows 2008:sta alkaen ja myöhemmissä tietoturvapäivityksissä "MS09-008 Windows Server 2003:n DNS- ja WINS-palvelimille" käytetään maailmanlaajuista kyselyn estoluettelotekniikkaa . Arkistoitu 1. heinäkuuta 2015 Wayback Machinessa . WPAD-, ISATAP-osoitteiden ratkaiseminen DNS:ssä WPAD-palvelimen huijaushyökkäysten torjumiseksi on väkisin kiellettyä.

Turvallisuus

WPAD-protokollaa on käytettävä erittäin huolellisesti, ja sen lisäksi, että kaikki organisaation selaimet voidaan määrittää helposti kerralla - yksinkertaiset virheet voivat avata hyökkääjille mahdollisuuden tehdä muutoksia käyttäjäselaimien kautta:

Verkon sisällä oleva hyökkääjä voi käynnistää DHCP-palvelimen , joka tarjoaa väärennetyn PAC-komentosarjan.
Jos organisaation verkkotunnus on "company.co.uk" ja tiedostoa http://wpad.company.co.uk/wpad.dat ei ole olemassa, selaimet yrittävät käyttää osoitetta http://wpad.co.uk/wpad .dat. Selain itse ei voi määrittää, milloin se poistuu organisaation toimialueelta. Havainnollistava esimerkki - http://wpad.com/ Arkistoitu 19. heinäkuuta 2006 Wayback Machinessa
Sama koskee http://wpad.org.uk. Jos esimerkiksi käytät tällaisen sivuston wpad.dat-tiedostoa, voit ohjata kaiken käyttäjäliikenteen online-huutokauppasivustolle.
Internet- palveluntarjoajat , jotka käyttävät DNS-kaappaustekniikoita , voivat pysäyttää WPAD-DNS-kyselyn ohjaamalla käyttäjät muuhun kuin välityspalvelinsivustoon.

WPAD-tiedoston kautta hyökkääjä voi ohjata käyttäjien selaimet omalle välityspalvelimelleen, siepata lähetyksen ja muokata kaikkea www-liikennettä. Huolimatta yksinkertaisesta Windows-muutoksesta WPAD-hallintaan vuonna 2005, se suojaa vain .com-verkkotunnuksen ongelmilta. Kiwiconin juoniesitys osoittaa, mitä huolimattomuus pienenkin haavoittuvuuden suhteen voi muuttua, kun yksinkertainen verkkotunnus Uudessa-Seelannissa rekisteröitiin testeihin ja siihen alkoi muutamassa sekunnissa saapua proxy-pyyntöjä eri puolilta maailmaa.

Tietenkin järjestelmänvalvojan on oltava varma, että käyttäjät voivat luottaa kaikkiin organisaation DHCP-palvelimiin ja että organisaation kaikki mahdolliset WPAD-alueet ovat hallinnassa.

Lisäksi, jos wpad-verkkotunnusta ei ole määritetty organisaatiolle, käyttäjät voivat siirtyä johonkin ulkoiseen, seuraavaan wpad-verkkoalueeseen ja käyttää sitä itsemääritykseen. Tällaisen aliverkkotunnuksen rekisteröiminen tiettyyn maahan mahdollistaa man-in-the-middle-hyökkäysten suorittamisen valtavalle osuudelle koko maan Internet-liikenteestä, jos asennat lisäksi välityspalvelimen ja käärit siihen kaiken liikenteen.

Ja lopuksi on mainittava, että WPAD-menetelmä itse asiassa etsii ja lataa JavaScript-tiedoston, jonka jälkeen se suorittaa sen selaimessa, jossa JavaScript voidaan kuitenkin jo poistaa käytöstä asetuksista.

Muistiinpanot

↑ Navigaattorin välityspalvelimen automaattinen määritystiedostomuoto . Netscape Navigator -dokumentaatio (maaliskuu 1996). Haettu 29. syyskuuta 2009. Arkistoitu alkuperäisestä 18. joulukuuta 2006. (määrätön)
↑ Gauthier, Paul; Josh Cohen , Martin Dunsmuir , Charles Perkins . INTERNET-DRAFT Web Proxy Auto-Discovery Protocol . IETF (28.7.99). Käyttöpäivä: 15. lokakuuta 2009. Arkistoitu alkuperäisestä 23. huhtikuuta 2012. (määrätön)

Linkit

Stefan Pouseele. ISA Server 2004:n Web Proxy- ja Firewall Client -ohjelman automaattisen määritysprosessin ymmärtäminen (kuollut linkki) . Red Line Software (11. kesäkuuta 2005). Haettu 14. toukokuuta 2010. Arkistoitu alkuperäisestä 13. maaliskuuta 2016. (Venäjän kieli)
de Boyne Pollard, Jonathan Automaattinen HTTP-välityspalvelimen määritys verkkoselaimissa . Usein annetut vastaukset (2004). Arkistoitu alkuperäisestä 23. huhtikuuta 2012. (määrätön)
Chris Paget. WPAD – Attacking the Proxy (2007). Arkistoitu alkuperäisestä 23. huhtikuuta 2012. (määrätön)
David W. Hankins. OHJEET: WPAD (2008). Arkistoitu alkuperäisestä 23. huhtikuuta 2012. (määrätön)

IETF 1999: Web Proxy Auto-Discovery Protocol Arkistoitu alkuperäisestä 23. huhtikuuta 2012. — Vanhentunut Internet-luonnos.
http://wpad.com/ Arkistoitu 19. heinäkuuta 2006 Wayback Machinessa – jonne kaikki vertaansa vailla oleva WPAD-liikenne .com-verkkotunnuksista menee.
Waikato Linux Users Group Wiki 2004: WPAD
FindProxyForURL.com Arkistoitu 12. huhtikuuta 2010 Wayback Machinessa - välityspalvelimen automaattisen konfiguroinnin resurssit (PAC-tiedosto ja WPAD-esimerkit)
Konquerorin välityspalvelimen määrityshuomautukset
AutoProxy Windowsille Täysin automaattinen välityspalvelimen määritystyökalu Internet Explorerille ja Firefoxille, joka perustuu verkkosijaintiprofiileihin (ilmainen ohjelmisto)
Navigator Proxy Auto - Config File Format