שרת הפרוקסי מבית מיקרוסופט

|הדגש|הקדמה|סיים|
כולם שמעו על זה, רבים משתמשים בזה, אך מעטים באמת יודעים מה מסתתר מאחורי שרת פרוקסי. למה הוא נועד? איך עובד? למה בכלל צריכים אותו?

במאמר זה אנסה לתת תשובות לשאלות אלו ואחרות בקשר לשרתי הפרוקסי בכלל ושרת הפרוקסי של מיקרוסופט בגרסתו השניה בפרט. אספר על האפשרויות הרבות של שרת פרוקסי, כגון: המבנה, יכולות הסינון וההצפנה, ואפשרות ה caching ועוד.

|הדגש|מה זה Proxy Server?|סיים|
במקור שרת הפרוקסי נועד למטרת שמירה של מסמכים על מנת להימנע מגישה מתמדת לרשת ובצורה זו לשמור על רוחב הפס. כיום שרתי הפרוקסי יכולים הרבה יותר. מכיוון שאני ידון בעיקר בשרת הפרוקסי של מיקרוסופט, אתן מספר דוגמאות ספציפיות.
שרת הפרוקסי של מיקרוסופט משמש כפיירוול ושרת מטמון (cache server). למרות ששרת הפרוקסי יכול לשמש כשרת פיירוול לכל דבר, במקור הוא לא תוכנן לכך ולכן יש לבדוק פעמיים את ההגדרות לפני שמשתמשים בו במקום פיירוול יעודי.
כיום, ארגונים רבים משתמשים בשרתי הפרוקסי כדי לקשר בין הרשת הפנימית - הארגון עצמו לבין הרשת החיצונית - האינטרנט, ובמונחים טכניים ה Trusted Network וה Non-Trusted Network. הפרוקסי מעניק שליטה על החיבורים הנכנסים ומאפשר לנתב ולהשגיח על חיבורים חיצוניים אלו לפני שהם מגיעים לרשת הפנימית (עניין הפיירוול). הרשת הפנימית "יוצאת" החוצה תחת מספר IP אחד ומשתמשת בחיבור אחד בלבד, שיטה שחוסכת לאירגון כסף רב ולמנהל הרשת הרבה כאב ראש.

אבטחה בעזרת שרת הפרוקסי מיקרוסופט פרוקסי סרבר שומר על הרשת הפנימית מפורצים חיצוניים ע"י הפרדה מוחלטת בין הרשת באירגון לבין הרשת החיצונית. בעזרת שרת הפרוקסי לא ניתן לגלות את המבנה של הרשת הפנימית מבחוץ, ואם לא יודעים את המבנה לא ניתן לפרוץ. ואחרון חביב, סינון פאקטים: בדומה לפיירוול גם שרת הפרוקסי יכול לשלוט בתקשורת נכנסת ויוצאת. לחסום פורטים מסוכנים ולאפשר התקשרות בפורטים הכרחיים. ה LAT: רשימת ה LAT – Local Address Table היא רשימה ששומרת את כתובות ה IP מהן מורכבת הרשת הפנימית של האירגון. בכל פעם שאפליקצייה מבוססת WinSock מנסה להתחבר לפרוקסי מתבצעת בדיקה האם זו בקשה לרשת פנימית או לרשת חיצונית, אם המחשב נמצא ברשת פנימית שרת הפרוקסי נעקף והחיבור מתבצע ישירות. לכן ברור שחשוב מאוד לבדוק את רשימת ה LAT ולוודא שכל כתובות ה IP הן של עמדות ברשת הפנימית.

|הדגש|המבנה של שרת הפרוקסי|סיים|
שרת הפרוקסי עובד על עיקרון פשוט למדי. כאשר מתקבלת בקשה לחיבור לכתובת כלשהי שרת הפרוקסי קודם כל בודק האם הכתובת נמצאת ברשת הפנימית או החיצונית. נניח שהכתובת היא כתובת חיצונית. לאחר מכן בודק שרת הפרוקסי האם הוא יכול לאשר גישה לאותה כתובת. הוא עושה זאת ע"י "הצצה" לרשימת ההרשאות שיצר מנהל הרשת, אם הכתובת לא מופיעה כחיבור אסור, מתקדם הפרוקסי לשלב נוסף. כעת הוא ניגש לאותה כתובת ומקבל את המידע המבוקש, אותו הוא שומר בדיסק (בשרת) ומעביר לגולש (שביקש את אותו מידע). בזה מסתיים ביצוע הבקשה.

|הדגש|הגבלות גישה בעזרת שרת הפרוקסי|סיים|
שרת הפרוקסי מאפשר הגבלת גישה על פי:
- שירות: HTTP ,FTP, וכו'. לחסום את שירות ה FTP אך לאפשר גלישה באינטרנט (HTTP) או להיפך.
- כתובת: IP, דומיין, טווח כתובות. אפשר להגדיר הגבלות למשתמשים מסויימים.
- פורט: ניתן לחסום תקשורת בפורטים (UDP או TCP) מסויימים או לפתוח פורטים אחרים לצרכים של הרשת.
- סוג פאקט: אפשר להגדיר חסימה של סוג מסוים של פאקטים ולאפשר סוג אחר.

|הדגש|מעקב פעילות - Logging|סיים|
שרת הפרוקסי יכול להודיע למנהל הרשת על בעיות אפשריות.
כאשר נדחה פאקט מסוים, התרחשה עבירה על אחד מהחוקים, או התמלא המקום בדיסק, יצור שרת הפרוקסי הודעת תגובה מתאימה. אם מתרחשת אחת מהתקלות הנ"ל נכתבת הודעה ל NT Event Viewer.

|הדגש|הצפנה|סיים|
שרת הפרוקסי יכול לפעול בפרוטוקולי הצפנה של IIS ולהישתמש בשיטת ה SSL.
SSL מצפין את שמות המשתמשים והסיסמאות לפני העברתם לעמדת הקצה (או ממנה).

|הדגש|קצת על פיירוולים|סיים|
פיירוול הוא כל מערכת שמסננת תקשורת נכנסת ויוצאת ע"פ רשימת הרשאות מוגדרת מראש. בד"כ פיירוול משמש להגנה על רשת פנימית מפני הרשת החיצונית (לדוגמא, מפורצים).
הפיירוול משתמש במערכת בקרת גישה (ACP - Access Control Policies) כדי להחליט איזו תקשורת לאפשר ואיזו למנוע.

יש שני סוגי פיירוולים:
- פיירוול חומרה: זה סוג הפיירוול הנפוץ ביותר לאירגונים. פיירוולים מסוג זה מקשרים בין שני הרשתות (הפנימית והחיצונית) ברמת סינון פאקטים. הסינון מתבצע ע"י השוואה עם רשימת ה ACP. בד"כ זהו נתב שמוגדר באופן מיוחד.
- פיירוול תוכנה: פיירוול תוכנה הוא בד"כ שרת פרוקסי שרץ על שרת המקשר את הרשת הפנימית עם החיצונית. סיכום מטרתו העיקרית של שרת הפרוקסי הוא קישור בין הרשת הפנים-אירגונית לרשת החיצונית, בקרת גישה, והגנה על הרשת הפנימית מפני מזיקים חיצוניים.

כמו כן משמש שרת הפרוקסי כמאיץ גישה לשירותי הרשת, ע"י שמירת המסמכים על השרת המקומי.

---
ולאד
progman@walla.co.il