Web Proxy Autodiscovery Protocol

Web Proxy Autodiscovery Protocol

Das Web Proxy Autodiscovery Protocol (WPAD) ist ein Protokoll, mit dem Web-Clients wie ein Browser automatisiert zu verwendende Web-Proxies innerhalb eines Computernetzwerkes finden können, indem eine Proxy autoconfiguration (PAC)-Datei unter einer erratbaren URL gespeichert wird, beispielsweise http://wpad.example.com/wpad.dat.

WPAD macht es möglich, alle Web-Clients einer Organisation anzuweisen, die gleichen Proxyserver zu verwenden, ohne jeden einzeln in Handarbeit konfigurieren zu müssen. Dies wird unter anderem von den verbreiteten Browsern Mozilla Firefox und Internet Explorer in den aktuellen Versionen unterstützt.

Inhaltsverzeichnis

Zusammenhang

Um alle Browser einer Organisation anzuweisen, ihren Proxy nach den gleichen Regeln auszusuchen, ohne alles von Hand konfigurieren zu müssen, sind zwei Technologien notwendig.

Der Proxy Auto-Config (PAC)-Standard
Es wird eine zentrale Proxy-Konfigurationsdatei erstellt. (Näheres im betreffenden Artikel).
Der Web Proxy Autodiscovery Protocol (WPAD)-Standard
Damit wird sichergestellt, dass die einzelnen Browser diese Datei automatisch finden. Damit beschäftigt sich dieser Artikel.

Der WPAD-Standard definiert mehrere alternative Methoden, nach denen der Systemadministrator den Ort der Proxy-Konfigurationsdatei veröffentlichen kann.

Bevor die erste Seite abgefragt wird, sendet ein Webbrowser, der die Methode beherrscht, dem lokalen DHCP-Server eine DHCPINFORM-Anfrage und benutzt dann die URL, die ihm in der WPAD-Option der Antwort mitgeteilt wird. Hat der DHCP-Server die gewünschte Information nicht, so wird das DNS benutzt. Wenn beispielsweise der FQDN (Fully Qualified Domain Name) des Rechners pc.department.branch.example.com lautet, so wird der Browser nacheinander die folgenden URLs abfragen, bis er eine Proxy-Konfigurationsdatei findet.

  • http://wpad.department.branch.example.com/wpad.dat
  • http://wpad.branch.example.com/wpad.dat
  • http://wpad.example.com/wpad.dat
  • Unter Umständen auch http://wpad.com/wpad.dat (siehe #Sicherheit)

Anmerkungen

  • DHCP hat eine höhere Priorität als DNS: Falls DHCP eine WPAD URL liefert, wird keine DNS-Abfrage durchgeführt.
  • Bei der DNS-Abfrage wird der erste Teil der Adresse (der vermutlich den client identifier darstellt) entfernt und durch wpad. ersetzt. Dann bewegt es sich aufwärts in der Hierarchie, indem weitere Teile des Domainnamens entfernt werden, bis es eine WPAD-PAC-Datei findet oder die jeweilige Organisation verlassen wird.
  • Der Browser versucht zu erraten, wo die Organisation verlassen wird. Diese Schätzung trifft bei Domains nach dem Muster firma.com oder universitaet.edu oft zu, liegt jedoch zum Beispiel bei company.co.uk falsch (siehe #Sicherheit).
  • Bei der DNS-Abfrage lautet der Pfad der Konfigurationsdatei immer wpad.dat. Beim DHCP-Protokoll kann jegliche URL benutzt werden. Aus traditionellen Gründen lauten die Namen der PAC-Dateien oft proxy.pac (natürlich werden Dateien dieses Namens von der WPAD DNS-Suche ignoriert).
  • DNS-Abfrage mit Microsoft Internet-Explorer 6 unter Windows XP sendet als host die IP-Adresse, daher sollte der WPAD-Webserver so konfiguriert sein, dass er als name-based-VirtualHost mit allen möglichen Hostnamen im HTTP/1.1-Request adressiert werden kann

Beispiel für Apache:

NameVirtualHost 192.168.xx.yy
ServerName wpad.sub.domain.tld
ServerAlias wpad
ServerAlias 192.168.xx.yy
  • Der MIME-Typ der Konfigurationsdatei muss lauten application/x-ns-proxy-autoconfig. Siehe auch: Proxy Auto-Config.

Prüfliste

Damit WPAD funktioniert, müssen einige Bedingungen erfüllt sein.

  • Um DHCP zu benutzen, muss das DHCP so konfiguriert sein, dass es die site-local-Option 252 (auto-proxy-config) mit einem String-Wert von http://xxx.yyy.zzz.qqq/wpad.dat ausliefert, wobei xxx.yyy.zzz.qqq die IP-Adresse eines Webservers sein muss. (Es könnte besser sein, einen Domainnamen zu benutzen anstatt einer numerischen IP-Adresse). Nutzt man Microsofts DHCP-Server, so sollte man die server options jedes Servers sowie die scope options eines jeden Bereiches überprüfen.
  • Ferner muss, um DHCP zu nutzen, der Rechner ein DHCP Client sein. Mit anderen Worten, die Browser (Internet Explorer und Firefox) senden keine eigenen (neuen) DHCP Requests aus, sondern sie verwenden lediglich die zuvor (bei der initialen Zuweisung der IP-Adresse zur Netzwerkkarte per DHCP) zugewiesene WPAD Option 252. Wenn der Rechner in den Netzwerkkarten-Einstellungen DHCP _nicht_ aktiv hat, wird auch der Browser keinen DHCP Request versenden.
  • Um DNS zu benutzen, ist ein DNS-Eintrag für einen Host namens WPAD erforderlich.
  • bei Windows 2003 DNS Server mit MS09-008 die DNS-Sperrliste bearbeiten [1]
  • bei Windows 2008 DNS Server die DNS-Sperrliste bearbeiten Technet Artikel zu DNS-Sperrliste
  • Der WPAD-Host muss fähig sein, eine Webseite auszuliefern.
  • In beiden Fällen muss der Webserver so konfiguriert werden, dass er .dat-Dateien mit dem MIME-Typ application/x-ns-proxy-autoconfig ausliefert.
  • Eine Datei namens wpad.dat muss im Hauptverzeichnis der WPAD-Seite liegen.
  • Beispiele von PAC-Dateien im Artikel Proxy Auto-Config.

Sicherheit

Während es die Konfiguration der Webbrowser einer Organisation vereinfacht, muss das WPAD-Protokoll mit Vorsicht behandelt werden, da bereits kleine Fehler folgenschwere Angriffe möglich machen können.

  • Ein Angreifer innerhalb des Netzwerkes kann einen DHCP-Server einrichten, der die URL eines bösartigen PAC-Skriptes ausgibt.
  • Hat die jeweilige Organisation eine Domain nach dem Muster company.co.uk oder company.com und es steht innerhalb des Netzwerkes kein http://wpad.company.co.uk/wpad.dat beziehungsweise http://wpad.company.com/wpad.dat zur Verfügung, so werden manche Browser bei http://wpad.co.uk/wpad.dat bzw. http://wpad.com/wpad.dat weiterfragen, weil sie gegebenenfalls keinen Unterschied zwischen der Domain der Organisation und einer Top-Level- oder landesweiten Domain machen. Die Zugriffe auf die Webserver von wpad-Domains wie http://wpad.com/ zeigen dies sehr deutlich.

Durch die WPAD-Datei kann ein Angreifer alle abfragenden Browser auf seine Proxies umleiten und dann jeglichen Verkehr abfangen und modifizieren.

Daher sollte sichergestellt werden, dass allen DHCP-Servern innerhalb einer Organisation vertraut werden kann und dass alle WPAD-Domains, die sich aus der jeweiligen Domain ergeben können, unter Kontrolle der jeweiligen Organisation sind.

Zusätzlich zu diesen Gefahren holt das WPAD im Grunde eine JavaScript-Datei, die auf allen Browsern des Systems ausgeführt wird, sogar wenn JavaScript in Webseiten deaktiviert wurde.

Weblinks


Wikimedia Foundation.

См. также в других словарях:

  • Web Proxy Autodiscovery Protocol — Web Proxy Auto Discovery Protocol (WPAD) (протокол автоматической настройки прокси)  метод, используемый клиентами для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. После того, как… …   Википедия

  • Web Proxy Autodiscovery Protocol — The Web Proxy Autodiscovery Protocol (WPAD) is a method used by clients to locate a proxy auto config file automatically and use this to configure the browser s web proxy settings.The method is available as an IETF internet draft draft ietf wrec… …   Wikipedia

  • Proxy.pac — Anhand einer Proxy Auto Config Datei (PAC Datei) kann ein Webbrowser automatisch den passenden Proxyserver für eine gewünschte URL finden. Eine PAC Datei enthält eine JavaScript Funktion FindProxyForURL(url, host). Diese Funktion gibt einen… …   Deutsch Wikipedia

  • Proxy auto-config — The proxy auto config file defines how web browsers and other user agents can automatically choose the appropriate proxy server (access method) for fetching a given URL.A PAC file contains a JavaScript function FindProxyForURL(url, host) . This… …   Wikipedia

  • Proxy Auto-Config — Anhand einer Proxy Auto Config Datei (PAC Datei) kann ein Webbrowser automatisch den passenden Proxyserver für eine gewünschte URL finden. Eine PAC Datei enthält eine JavaScript Funktion FindProxyForURL(url, host). Diese Funktion gibt einen… …   Deutsch Wikipedia

  • Proxy (Rechnernetz) — Ein Proxy (von englisch proxy representative ‚Stellvertreter‘, von lateinisch proximus ‚der Nächste‘) ist eine Kommunikationsschnittstelle in einem Netzwerk. Er arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um …   Deutsch Wikipedia

  • Webproxy Autodiscovery Protokoll — Das Web Proxy Autodiscovery Protocol (WPAD) ist ein Protokoll mit dem Web Clients wie ein Browser automatisiert zu verwendende Web Proxies innerhalb eines Computernetzwerkes finden können, indem eine Proxy autoconfiguration (PAC) Datei unter… …   Deutsch Wikipedia

  • Dynamic Host Configuration Protocol — DHCP redirects here. For other uses, see DHCP (disambiguation). A DHCP Server settings tab The Dynamic Host Configuration Protocol (DHCP) is a network configuration protocol for hosts on Internet Protocol (IP) networks. Computers that are… …   Wikipedia

  • WPAD — Das Web Proxy Autodiscovery Protocol (WPAD) ist ein Protokoll mit dem Web Clients wie ein Browser automatisiert zu verwendende Web Proxies innerhalb eines Computernetzwerkes finden können, indem eine Proxy autoconfiguration (PAC) Datei unter… …   Deutsch Wikipedia

  • Fichier .PAC — Un fichier de Configuration Automatique de Proxy ou fichier.PAC (proxy auto config) définit la façon selon laquelle un navigateur web (ou d’autres fonctionnalités équivalentes, regroupées sous le nom de User agents) se connectent à Internet  …   Wikipédia en Français


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»