Was steuern Proxy-Einstellungen?

X

xl0ap

Neues Mitglied
Thread Starter
Dabei seit
23.01.2008
Beiträge
6
Reaktionspunkte
1
Hallo Zusammen

Mal ne frage, was wird eigentlich über die sogenannten Proxys gesteuert? Also z.B , wenn man in einer Proxykonfiguration festlegt, dass gewisse Seiten(z.B Interne) direkt erreichbar sind(return "DIRECT") und alle anderen (Internet) NUR via Proxy? Was ist denn hier der Unterschied?

Vielen Dank.

Gruss
 
Wenn Du im Browser einen Proxyserver angibst, dann schickt der Browser seine Anfrage nicht direkt an die Webseite, sondern an den Proxy.

der Proxy macht dann verschiedene Dinge.

* Er prüft bswp. ob die angeforderte Seite bereits in seinem Cache liegt. Wenn ja, dann holt er die Seite nicht neu aus dem Internet, sondern aus seinem Cache.

* Er kann auch überprüfen, auf welche Seiten du überhaupt zugriff hast. Man kann einen Proxy so konfigurieren, das er Shoppingseiten, Pornoseiten, Spieleseiten, etc. verbietet.

* noch vieles mehr...

Es kann aber sein, dass der Proxyserver zum BEispiel nicht auf das Intranet einer Firma zugreifen kann - nur aufs Internet.
Wenn ihr in der Firma nun eine interne Webanwendung habt, dann muss der Browser wissen, dass er für diesen speziellen Fall die Anfrage direkt ins Intranet schicken soll - nicht über den Proxy.

Dafür dieses zusätzliche Feld. Du kannst dann bestimmte Adressbereiche oder Domainnamen ausschließen.
 
@tulix

Aber kann dann der User in den Einstellungen nicht einfach einen anderen Proxy angeben und so das Ganze umgehen?
 
Theoretisch ja.

Aber auch dafür gibt es verschiedene Ansätze...

Eine Möglichkeit ist, einen angepassten Browser einzusetzen. Dieser hat dann alle Proxyeinstellungen fest verdrahtet.
Allerdings kann ein Benutzer das schnell umgehen, wenn er bspw. einen zweiten Browser installiert oder sich ein ausführbares Binary auf einem USB Stick, CD-ROm, etc. mit in die Firma bringt...
Zwar kann man auch das unterbinden, es ist jedoch sehr aufwendig und schränkt den Benutzer bei der Arbeit sehr ein...


In vielen Unternehmen wird aber ein sogenannter "transparenter Proxy" eingesetzt. Dabei werden keinerlei Einstellungen auf dem Client gemacht.
Es ist dann also auch egal, ob Du selbst was installierst...
Für den Benutzer sieht es so aus, also würde er seine Anfragen direkt ins Internet schicken.
In Wirklichkeit muss aber die Anfrage erstmal durch eine Firewall. Die erkennt, dass es sich um HTTP oder FTP oder HTTPS (Beispiel) handelt und leitet den Request um.... auf einen Proxyserver. Der tut dann das gleiche, wie vorhin schon beschrieben, nur kriegst Du davon garnichts mit.
So kann man also erzwingen, dass ein Benutzer einen bestimmten Proxy benutzt.

Wenn Du nun aber tatsächlich Deinen Proxy selbst eintragen willst/musst, dann gibt es auch da mechanismen, die verhindern, dass Du einfach irgendeinen Proxy nimmst. Meistens übernimmt eine Firewall diese Arbeit. Stichwort "Paketfilter".

Ansonsten hast Du Recht.
Wenn der client freie Bahn ins Internet hat, dann kann er oft auch einen beliebigen Proxyserver benutzen.
 
super tulix vielen Dank!

Und wenn man das ganze in einem automatischen Konfigurationsskript (.pac) speichert? Hier könnte der User das .pac File ziemlich einfach bearbeiten, bzw. die im File definierten Sites, welche über das Proxy gehen, umleiten auf DIRECT. Das ganze abspeichern hochladen und dann wären wir wieder bei meinem Problem?
 
Naja, das pac file (proxy auto-config) ist ja eigentlich nur eine Sammlung von Einstellungen, die ein Benutzer auch sowieso selber machen könnte... nur, dass er sie halt tagesaktuell von einem Server zieht. Also clientseitige Konfiguration.

Hinzu kommt vielleicht noch, dass pac-Files auch mehrere Proxyserver nennen können, die je nach URL ausgewählt werden.

Zum Beispiel:

Zielhost: web.de, dann nimm Proxy XYZ
Zielhost: gmx.de, dann nimm Proxy ABC
Zielhost: apple.com, dann DIRECT

usw.

Selbst wenn Du was veränderst muss das aber nicht heißen, dass Deine Änderung auch wirklich funktioniert. Im Einzelfall müsste man wissen, wie das Netzwerk in dem Du Dich befindest aufgebaut ist.

die Frage, die sich stellt ist aber auch, ob ein Benutzer ein modifiziertes PAC File überhaupt von irgendwo laden kann.
Mal angenommen, Du kommst von Deinem Arbeitsplatz nur über einen Proxy ins INTERnet und per Firewall ist der direkte Zugriff ins INTERnet verboten.

Natürlich kann der User nun eine modifizierte Datei irgendwo auf seinen Webspace legen und diese unter "URL für autom. Konfiguration" eintragen.
Das Problem: Der Browser kann sich beim Start die Datei garnicht aus dem Internet holen, weil
a) der direkte Zugriff ja verboten ist und
b) noch garkeine Proxyinformationen bisher bekannt, über die er auf den Webspace zugreifen könnte.

Bleibt also nur, die Datei im INTRAnet auf einen Server zu legen, der auch direkt (ohne Proxy) erreichbar ist. Kann der User das?

Wenn ja, dann kann er die Einstellungen beeinflussen.

ABER: Ein Proxyserver alleine ist auch noch keine Barriere gegen Internetmissbrauch. Wenn andere Wege ins Internet offen sind, kommt man immer um den Proxyserver herum. Wenn Du also so ein Netzwerk aufbaust, dann musst du Dich darum kümmern, dass ein User nicht die Wahl hat für INet Zugriff mal einen Proxy zu benutzen und mal nicht - Sonderfälle ausgenommen (Positivlisten).

Wenn Du in so einem Netzwerk als Benutzer sitzt, dann solltest Du keine Energie in solche Aktivitäten stecken... das kann auch schnell den Job kosten.
Gute Admins sehen sowas!!! ;)

hth, T.
 
Zurück
Oben Unten