Automatyczne wykrywanie i konfigurowanie serwera proxy

Microsoft Internet Explorer pozwala na automatyczne wykrycie dostepnego w sieci serwera proxy cache. Mechanizm ten to Web Proxy AutoDiscovery (WPAD) protocol. Jest to dosc spore udogodnienie zarówno dla administratorów, jak i dla uzytkowników. Nie trzeba mozolnie wpisywac pelnego adresu uslugi proxy w konfiguracji przegladarki, ani konfigurowac transparent proxy. Wystarczy zaznaczyc opcje "Automatycznie wykryj ustawienia" i transmisja moze sie odbywac poprzez odpowiedni serwer proxy.

Istnieje kilka sposobów automatycznego lokalizowania proxy. Mozliwe jest wykrywanie poprzez DHCP, SLP oraz DNS. WPAD jest stosunkowo mlodym protokolem, dlatego tez najlepszym zródlem szczególowych informacji jest jak na razie draft IETF <http://www.ietf.org/internet-drafts/draft-cooper-webi-wpad-00.txt>. Ponizej zostanie przedstawiona metoda z prostym wykorzystaniem serwera DNS, która szybko pozwala osiagnac zamierzone rezultaty.

Co bedzie potrzebne:

• dzialajacy serwer proxy

• plik autokonfiguracji przegladarki

• serwer WWW

• serwer DNS

• przegladarka

Plik autokonfiguracji

Cala tajemnica automatycznego wykrywania sprowadza sie do tego, ze IE przy starcie próbuje dostac sie do pliku http://wpad.domena.lokalnej.stacji/wpad.dat Plik wpad.dat jest zwyczajnym plikiem tekstowym. Przegladarka przy uruchomieniu wczytuje jego zawartosc. Powinien on zawierac jedna funkcje w JavaScript o nazwie FindProxyForURL(url,host). Podczas normalnej pracy, IE zawsze przed sciagnieciem konkretnej strony uruchamia w/w funkcje i sprawdza, czy i przez jakie proxy ma sie laczyc. Funkcja FindProxyForURL powinna zwracac odpowiednio: albo tekst "DIRECT", albo tekst "PROXY serwer.domena:port". Bardziej szczególowe wyjasnienia mozna znalezc na stronach Netscape <http://home.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html> lub na stronach Microsoftu <http://support.microsoft.com/support/kb/articles/q209/2/66.asp>
Najprostszy plik autokonfiguracji moze np. zawierac jedynie:

function FindProxyForURL(url, host)

{

return "PROXY w3cache.mojadomena.pl:8080";

}

Tutaj mala uwaga: jak wyzej wspomniano, MS sugeruje rozszerzenie *.dat jako rozszerzenie pliku autokonfiguracji . Na dlugo jednak przed pojawieniem sie protokolu WPAD, wielu administratorów skonfigurowalo przegladarki takie, jak chociazby Netscape Navigator, czy Opera wedlug zalecen firmy Netscape. Czyli stosowano nazwe pliku proxy.pac, lub tez proxyconfig.pac. Proponuje sie wiec jednak trzymac sie nazwy historycznej, to jest rozszerzenia *.pac. W wielu dotychczasowych konfiguracjach nie trzeba bedzie wiele zmieniac oraz pozwoli to spokojnie korzystac z tego pliku równiez innym przegladarkom i ma tez pare innych zalet.

Przygotowanie serwera WWW

Po przygotowaniu pliku proxy.pac nalezy umiescic go na serwerze WWW. Nie kazdy serwer WWW jest domyslnie skonfigurowany w ten sposób, azeby pliki z rozszerzeniem pac przedstawiac przegladarce jako typ MIME sluzacy do autokonfiguracji. Dlatego tez nalezy dodac nowy typ MIME. W Apache sprowadza sie to do dopisania nastepujacej linii do pliku mime.types.

application/x-ns-proxy-autoconfig pac

Nastepnie nalezy zresetowac serwer WWW. Potem trzeba skonfigurowac IE wybierajac Opcje internetowe -> Polaczenia-> Ustawienia sieci LAN -> Uzyj skryptu automatycznej konfiguracji i tutaj wpisac URL do pliku np. http://www.mojserwer.com/proxy.pac. Reszta opcji powinna byc odznaczona.

Teraz pozostaje tylko zamknac i ponownie otworzyc IE, aby doczytal konfiguracje. W prosty sposób mozna sprawdzic, czy konfiguracja jest poprawna. Wystarczy laczyc sie z róznymi stronami, jednoczesnie sprawdzajac poleceniem netstat, czy komputer laczy sie z proxy, czy tez bezposrednio.

Warto eksperymentowac z zawartoscia pliku. Mozna stworzyc dosc potezny mechanizm przydzialu róznych proxy do róznych sieci, czy tez uzytkowników. Nauke moze wspomóc podgladajac, jak zrobili to inni - wiele serwerów udostepnia taki plik publicznie. Jako dobry przyklad mozna podac chociazby <http://www.wsisiz.edu.pl/proxy.pac>, czy np. <http://w3cache.supermedia.pl/proxy.pac>. Tutaj mala rada: nie nalezy przesadzac z funkcjami odwolujacymi sie do serwera DNS, poniewaz wtedy kazde odwiedzenie strony wygeneruje przynajmniej dwa zapytania do DNSu !

Konfiguracja DNS

Jezeli wszystko juz dziala, mozna zabrac sie za konfiguracje serwera DNS. Internet Explorer bedzie najpierw szukal hosta o nazwie wpad w domenie, w której sam sie znajduje. Jezeli go nie znajdzie, spróbuje ponowic poszukiwania w domenie nadrzednej. Tak wiec jezeli pelna nazwa stacji roboczej, na której uruchomiona jest przegladarka jest jacek.biuro.firma.pl, to IE bedzie szukal serwera wpad.biuro.firma.pl, a gdy go nie znajdzie, bedzie próbowal znalezc wpad.firma.pl Nalezy zatem dodac hosta wpad do odpowiedniej strefy. Czesto najwygodniejszym rozwiazaniem jest dopisanie aliasu w DNSie <http://www.faq.net.pl/articles.asp?id=111> do istniejacego juz serwera WWW.

wpad IN CNAME www.mojserwer.com.

Przekierowanie na serwerze WWW

Po przeladowaniu serwera DNS trzeba sprawdzic, czy jest osiagalny plik http://wpad.biuro.firma.pl/proxy.pac. Jednakze, jak wczesniej wspomniano, IE bedzie szukal pliku wpad.dat. Nalezy wiec zrobic przekierowanie na serwerze WWW zadan o adres /wpad.dat na plik /proxy.pac Pozwoli to ograniczyc sie do administrowania tylko jednym plikiem. W Apache wystarczy dodac nastepujaca linijke do httpd.conf:

Redirect /wpad.dat http://www.mojserwer.com/proxy.pac

Teraz powinien juz prawidlowo dzialac mechanizm samoczynnego lokalizowania proxy. Aby to sprawdzic, nalezy wybrac w IE Opcje internetowe-> Polaczenia-> Ustawienia sieci LAN -> Automatycznie wykryj ustawienia i koniecznie odznaczyc pozostale opcje. Jezeli po przeladowaniu IE sam znajduje proxy i laczy sie przez niego, to operacje mozna uznac za zakonczona sukcesem. Czasem moga wystapic drobne problemy w przeladowaniem IE. Trzeba upewnic sie, ze program odczytal nowa konfiguracje. Przy uruchomieniu na pasku stanu powinien na chwile pojawic sie tekst "Trwa wykrywanie ustawien serwera proxy...". Mozna to sprawdzac tez w logach serwera WWW.

Bezpieczenstwo

Nigdy nie mozna wprowadzac zadnej nowej rzeczy w Internecie w oderwaniu od bezpieczenstwa. Warto wiec sie zastanowic nad tym czy protokól WPAD moze miec jakies znaczenie dla bezpieczenstwa naszej sieci i uzytkowników. Okazuje sie, ze moze miec.

Istnieje mozliwosc podstawienia falszywego serwera proxy, w przypadku gdy administrator sam nie skonfiguruje tego mechanizmu. Internet Explorer standardowo po instalacji ma ustawiona opcje "Automatycznie wykryj ustawienia..." Zatem atakujacy moze przychwytywac wszystkie loginy i hasla z których korzystamy przez www dzieki przekierowaniu na swoja maszyne calego ruchu www, ftp oraz www kodowanego przez SSL.

Dlatego tez trzeba o tym pamietac i zadbac o poprawne skonfigurowanie protokolu WPAD lub stacji roboczych. To niestety nie zawsze wystarcza i szczególnie wazne stacje, które lacza sie przez Internet np. z bankami, nalezy konfigurowac recznie. Wiekszosc transmisji hasel jest przeprowadzana jest z uzyciem protokolu SSL, czyli https. Zaleca sie, aby transmisje tego rodzaju ZAWSZE przeprowadzac bez udzialu proxy. W pliku proxy.pac mozna okreslic, w zaleznosci od protokolu, czy proxy bedzie uzywane, czy tez nie.

Od autora:
Mam nadzieje, ze powyzszy tekst wyjasnia w miare sensownie temat. Wszelka konstruktywna krytyka mile widziana. Jezeli znalazles bledy lub masz jakies uwagi to pisz do mnie <mailto:piotr@kapczuk.com> smialo. Jezeli chcesz dodac cos od siebie, czy tez chcesz tylko powiedziec, ze to jest to czego szukales :), to takze nie krepuj sie i pisz <mailto:piotr@kapczuk.com>.

Zastrzezenie:
Dokument ten moze byc swobodnie rozpowszechniany, publikowany, zmieniany, przytaczany w calosci lub fragmentach pod warunkiem zamieszczenia nazwiska oraz adresu e-mail autora oryginalu (piotr@kapczuk.com <mailto:piotr@kapczuk.com>).

---