Qual è il punto in un server proxy che autorizza / autentica i client?

1

Ho implementato una libreria proxy SOCKS5, ma non ottengo il punto di autenticare (o crittografare) le connessioni, che la RFC (1928) sembrava piuttosto irremovibile. Non è l'anonimato l'intera idea di un proxy?

Capisco anche che la crittografia del traffico tra client e server è possibile, ma che copre solo la metà client-server del percorso di destinazione client-server: non è quel tipo di inutile? Non dovrebbe la crittografia (se è assolutamente necessario) eseguire invece end-to-end?

    
posta hiten 19.10.2018 - 04:04
fonte

1 risposta

2

Questo è davvero due domande, ma eh ...

Qual è il punto dell'autenticazione proxy?

Contrariamente a quanto sembri credere, ci sono molte ragioni oltre l'anonimato per usare un proxy (e se vuoi un buon anonimato, dovresti usare qualcosa come Tor piuttosto che un singolo proxy). Alcuni di questi motivi:

  • Ignorare le restrizioni geografiche o basate su IP.
  • Utilizzo del proxy come ponte tra la rete attiva e quella a cui si desidera accedere (ad esempio, passando da una rete interna aziendale o cloud verso Internet o viceversa).
  • Utilizzo di un proxy per il monitoraggio, la registrazione o il filtraggio del traffico di rete (per la propria sicurezza, o per la sicurezza / il controllo di una società o altra entità che vuole limitare ciò che si può accedere alla / dalla sua rete).
  • Utilizzo di un proxy per intercettare o modificare il traffico di rete (per i test di sicurezza o per manomettere il traffico di rete).

Per molti di questi scopi, ci sono buoni motivi per usare l'autenticazione. Ad esempio, un proxy di bypass geo-filtrante può essere offerto come servizio commerciale e desidera assicurarsi che solo gli utenti paganti possano accedere ai proxy che forniscono. Un delegato aziendale vuole assicurarsi che solo i dipendenti autorizzati siano in grado di accedere alla sua rete e possibilmente anche sapere quale dipendente sta utilizzando una particolare macchina per scopi di monitoraggio e di registrazione. Qualcuno che utilizza un proxy di test di rete che è aperto ad altri dispositivi sulla rete potrebbe voler assicurarsi che solo i propri dispositivi autorizzati possano connettersi al proxy, piuttosto che consentire agli utenti della rete arbitraria di connettersi e inviare richieste direttamente al proxy o da il loro computer.

Inoltre, avere un proxy aperto è solo rischioso. Ad esempio, supponiamo che qualcuno abbia utilizzato un proxy aperto che si esegue per inviare minacce di morte o caricare pornografia infantile o qualcos'altro illegale in questo modo e viene ricondotto al proprio indirizzo IP. Non è una buona situazione in cui stare (anche se non sono un avvocato e non sono sicuro di quanto rischio legale ci sia), specialmente se non hai modo di dimostrare che si trattava di qualcun altro (come registri di autenticazione di un proxy).

La crittografia, se utilizzata, non dovrebbe essere end-to-end?

In generale sì, ma questo non è sempre pratico e potrebbero esserci motivi per voler criptare separatamente il traffico client-proxy. Non c'è motivo per cui non sia possibile eseguire il traffico crittografato end-to-end, come HTTPS, attraverso un proxy in cui la crittografia del proxy è a sua volta crittografata. Infatti, se si stesse utilizzando il proxy per nascondere la propria attività di rete dal proprio ISP o simili, si vorrebbe assolutamente farlo (altrimenti l'ISP sarebbe in grado di vedere le proprie ricerche DNS, i nomi di dominio dei siti che si desidera collegare a, la quantità di traffico di rete che si scambia in ciascuna direzione con ciascun sito e in quali orari e così via). Anche la crittografia della connessione al proxy è ovviamente utile ogni volta che si desidera un'autenticazione sicura, sebbene esistano modi per eseguire autenticazioni ragionevolmente sicure su connessioni non sicure (come SRP ).

Inoltre, crittografare la connessione solo tra te (il client) e il proxy è ancora meglio di nessuna crittografia, il che sarebbe il caso quando ti connetti a un server che non supporta la crittografia (come quella che supporta solo HTTP o FTP, per esempio). Un utente malintenzionato della rete locale non può ancora vedere (o modificare) ciò che stai facendo (come potrebbe se la connessione proxy non fosse crittografata), anche se il server proxy e chiunque altro a valle possono farlo.

    
risposta data 19.10.2018 - 05:09
fonte

Leggi altre domande sui tag