Web Proxy Autodiscovery Protocol
Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från
versionen som granskades den 5 oktober 2020; kontroller kräver
12 redigeringar .
Web Proxy Auto-Discovery Protocol (WPAD) är en metod som används av klienter för att bestämma platsen (URL) för en konfigurationsfil med hjälp av DHCP- och/eller DNS-teknik. När platsen för konfigurationsfilen har bestämts och själva filen har erhållits, använder klienten den för att bestämma vilken proxy som ska användas för varje särskild URL. WPAD-protokollet definierar bara en konfigurationsfilsökningsmekanism, och med det utvecklades det vanligaste konfigurationsfilformatet av Netscape 1996 för Netscape Navigator 2.0 . [1]
WPAD-protokollet beskrevs först av ett konsortium av Inktomi Corporation , Microsoft Corporation , RealNetworks, Inc. och Sun Microsystems, Inc. . WPAD-protokollet dokumenterades senare officiellt i INTERNET-DRAFT, som avslutades i december 1999. [2] WPAD-protokollet stöds endast av äldre webbläsare. Och för första gången användes den i Internet Explorer 5.0.
Beskrivning
För att alla webbläsare i en organisation ska kunna konfigureras utan att manuellt konfigurera varje webbläsare, måste följande två tekniker fungera:
- Proxy auto-config standard PAC): En konfigurationsfil måste skapas och göras Olika detaljer om detta behandlas i olika artiklar;
- Web Proxy Autodiscovery Protocol ( WPAD ) standard: Du måste se till att alla webbläsare i din organisation kan hitta den här filen utan att manuellt ange dess plats. Den här artikeln beskriver denna process.
WPAD-standarden beskriver två alternativa metoder för att distribuera konfigurationsfilens platsinformation till systemadministratörer som använder Dynamic Host Configuration Protocol (DHCP) eller Domain Name System (DNS).
Innan den första sidan laddas använder webbläsaren denna teknik för att skicka en DHCPINFORM-förfrågan till den lokala DHCP-servern och använder den resulterande URL:en från WPAD-serverns svarsalternativ. Om DHCP-servern inte kan tillhandahålla den information som krävs används DNS. Om till exempel datorns DNS-namn är pc.department.branch.example.com , kommer webbläsaren att försöka komma åt följande webbadresser för att hitta konfigurationsfilen:
- http://wpad.department.branch.example.com/wpad.dat
- http://wpad.branch.example.com/wpad.dat
- http://wpad.example.com/wpad.dat
- http://wpad.com/wpad.dat (observera säkerhetsanteckningen)
(Detta är bara exempel på webbadresser)
Anteckningar
- DHCP har företräde framför DNS: om DHCP tillhandahåller en WPAD-URL används inte DNS. Firefox använder inte DHCP, bara DNS .
- DNS-frågan kasserar den första delen av domännamnet (som beskriver klientnamnet) och ersätter det med wpad . Sedan sker en "förflyttning uppåt" i hierarkin av domännamn tills adressen till platsen för konfigurationsfilen hittas eller organisationens domän lämnas.
- Webbläsaren försöker fastställa organisationens domän och försöker ersätta domännamn som 'company.com' eller 'university.edu' men inte 'company.co.uk' (observera säkerhetsanteckningen).
- DNS-frågan förutsätter att konfigurationsfilens namn alltid är wpad.dat . När du använder DHCP-protokollet kan vilken giltig URL som helst användas. Historiskt sett heter PAC-filen vanligtvis proxy.pac (naturligtvis ignoreras detta namn när DNS-metoden används).
- MIME-typen för konfigurationsfilen måste vara exakt "application/x-ns-proxy-autoconfig". Läs Proxy auto-config för detaljer.
- För närvarande stöder endast Internet Explorer och Konqueror båda metoderna (DHCP och DNS), DNS-metoden stöds av de flesta moderna webbläsare.
Krav
För att WPAD ska fungera måste följande villkor vara uppfyllda:
- När du använder DHCP måste servern tillhandahålla "site-local" alternativ 252 ("auto-proxy-config") med ett strängvärde som "http://xxx.yyy.zzz.qqq/wpad.dat" (inga citattecken, naturligtvis). ), där xxx.yyy.zzz.qqq är adressen till webbservern (i valfri form: IP eller DNS ).
- När du använder DNS krävs ett WPAD-värdnamn.
- WPAD-värden måste kunna betjäna webbsidor .
- I båda fallen måste webbservern konfigureras för att servera .dat-filer med MIME-typen "application/x-ns-proxy-autoconfig" .
- Filen med namnet wpad.dat måste finnas på WPAD-värden i rotkatalogen .
- Ett exempel på PAC-fil kan hittas i Proxy auto-config .
- Var försiktig när du konfigurerar WPAD-servern i en virtuell värdmiljö . När automatisk proxydetektering sker skickar Internet Explorer en rubrik som "Värd: <IP-adress>" och Firefox skickar en rubrik som "Värd: wpad". Allt detta kan leda till oförutsägbart serverbeteende, så det rekommenderas att filen wpad.dat finns i den virtuella standardvärden.
- Internet Explorer version 6.0.2900.2180.xpsp_sp2_rtm frågar webbservern efter "wpad.da" istället för "wpad.dat".
- Från och med Windows 2008 och efterföljande säkerhetsuppdateringar "MS09-008 för Windows Server 2003 DNS- och WINS-servrar" använder den globala frågeblockeringstekniken . Arkiverad 1 juli 2015 på Wayback Machine . Det är tvångsförbjudet att lösa WPAD, ISATAP-adresser i DNS för att motverka attacker för att förfalska WPAD-servern.
Säkerhet
Tillsammans med möjligheten att mycket enkelt konfigurera alla webbläsare i en organisation på en gång måste WPAD-protokollet användas mycket noggrant - enkla misstag kan öppna dörren för angripare att göra ändringar genom användarens webbläsare:
- En angripare i nätverket kan starta en DHCP-server som kommer att erbjuda ett falskt PAC-skript.
- Om organisationens domän är 'company.co.uk' och filen http://wpad.company.co.uk/wpad.dat inte finns, kommer webbläsare att försöka komma åt http://wpad.co.uk/wpad .dat. Webbläsaren själv kan inte avgöra när den lämnar organisationens domän. Ett illustrativt exempel - http://wpad.com/ Arkiverad 19 juli 2006 på Wayback Machine
- Detsamma gäller http://wpad.org.uk. Om du till exempel använder filen wpad.dat från en sådan webbplats kan du omdirigera all användartrafik till en auktionswebbplats.
- Internetleverantörer som använder DNS-kapningstekniker kan stoppa en WPAD DNS-fråga genom att omdirigera användare till en icke-proxy-webbplats.
Genom en WPAD-fil kan en angripare omdirigera användarnas webbläsare till sin egen proxy, avlyssna överföringen och modifiera all www-trafik. Trots en enkel Windows-ändring av WPAD-hanteringen 2005, skyddar den bara mot problem med att använda .com-domänen. Handlingspresentationen av Kiwicon visar vilken slarv med hänsyn till även en liten sårbarhet kan förvandlas till, när en enkel domän i Nya Zeeland registrerades för tester och proxyförfrågningar från hela världen började anlända till den inom några sekunder.
Självklart måste administratören vara säker på att användare kan lita på alla
DHCP-servrar i organisationen och att alla möjliga WPAD-domäner för organisationen är under kontroll.
Dessutom, om wpad-domänen inte är konfigurerad för organisationen, kan användare gå till någon extern, nästa wpad-domän och använda den för självkonfigurering. Att registrera en sådan underdomän i ett specifikt land kommer att tillåta man-in-the-middle-attacker att utföras över en stor del av internettrafiken i hela landet, om du dessutom installerar en proxyserver och lägger all trafik på den.
Och slutligen bör det nämnas att WPAD-metoden faktiskt letar efter och laddar ner JavaScript-filen, varefter den körs i webbläsaren, där dock JavaScript redan kan inaktiveras i inställningarna.
Anteckningar
- ↑ Navigator Proxy Auto-Config File Format . Dokumentation för Netscape Navigator (mars 1996). Hämtad 29 september 2009. Arkiverad från originalet 18 december 2006. (obestämd)
- ↑ Gauthier, Paul; Josh Cohen , Martin Dunsmuir , Charles Perkins . INTERNET-UTKAST Web Proxy Auto-Discovery Protocol . IETF (7/28/99). Datum för åtkomst: 15 oktober 2009. Arkiverad från originalet den 23 april 2012. (obestämd)
Länkar