Доступ компьютеров филиала к приемнику web-прокси сервера ISA 2006

ISA-сервер – это брандмауэр с возможностью проверки обычных пакетов и проверки на уровне приложений. Одним из самых популярных расширений ISA-сервера для проверки на уровне приложений является фильтр web-прокси. Фильтр web-прокси дает возможность ISA-серверу работать как устройство web-прокси. Устройства web-прокси (или серверы) поддерживают компьютеры с web-браузерами и другими приложениями с возможностью использования web-прокси при использовании web-прокси ISA-сервера для доступа в Интернет.

Фильтр web-прокси ISA-сервера позволяет вам:

• Контролировать сайты Интернета, к которым получают доступ пользователи
• Отфильтровывать вирусы и черви из web- (HTTP) закачек
• Устанавливать принудительную аутентификацию для доступа в Интернет
• Получать полную информацию журналов и отчетов по доступу пользователей к различным сайтам и содержимому этих сайтов
• Включать отчет о доступе пользователя ко всем сайтам в любое время
• Ускорить работу пользователя с помощью предоставления информации из кэша web-прокси

В большинстве случаев службы web-прокси ISA-сервера используются на компьютерах внутри корпоративной сети. Администраторы сети настраивают компьютеры на использование ISA-сервера в качестве web-прокси для исходящего web-доступа. Такое использование иногда называется прямым прокси. Фильтр web-прокси ISA-сервера также дает доступ внешним клиентам к web-серверам корпоративной сети, например, к серверам Outlook Web Access (OWA), OMA, ActiveSync и SharePoint. Такое использование иногда называется обратным прокси или web-публикацией. Хотя обычным вариантом использования прямого прокси является предоставление внутренним клиентам доступа в Интернет через ISA-сервер, также возможно использование прямого прокси и для компьютеров внешней сети, получающих доступ к ISA-серверу.

Для примера предположим, что ваша компания использует в главном офисе ISA-сервер. У этой компании есть шесть филиалов, в каждом из которых расположено 10-30 компьютеров. Т.к. в филиалах немного пользователей, служба ИТ компании решила использовать в каждом из филиалов для доступа в Интернет простое NAT-устройство.

Простое NAT-устройство не поддерживает VPN-соединения по схеме site-to-site по протоколу L2TP/IPSec, поэтому служба ИТ не использует данную схему. VPN-соединения по схеме site-to-site по протоколу IPSec в туннельном режиме считаются относительно незащищенными из-за слабой поддержки аутентификации туннельного режима протокола IPSec, и потому туннельный режим протокола IPSec не используется.

Помимо этого служба ИТ хочет разрешить VPN-соединения удаленного доступа для отдельных узлов каждого офиса из-за административных издержек.

Служба ИТ компании хочет контролировать и вести журнал доступа пользователей филиала и главного офиса к web-сайтам. Эту задачу можно решить путем публикации приемника web-прокси на ISA-сервере главного офиса и настройкой браузеров филиала на использование IP-адреса внешнего интерфейса ISA-сервера, который используется для публикации приемника web-прокси ISA-сервера главного офиса. Web-браузеры филиала можно настроить вручную или такими методами автоматизации, как WPAD или IEAK.

Опубликовать приемник web-прокси просто. Вам нужно сделать следующее:

• Настроить приемник web-прокси на использование принудительной аутентификации
• Создать определения протоколов и правила публикации сервера
• Создать правила доступа для разрешения соединений с Интернетом

Перед разрешением соединений с приемником web-прокси и, как следствие, с Интернетом необходимо настроить приемник на использование принудительной аутентификации. Поскольку данный web-приемник будет доступен для всех пользователей Интернета, следует убедиться, что использование анонимных соединений с приемником запрещено. Анонимные web-прокси могут быть взломаны, что может навредить вашей компании.

Если вы не хотите использовать принудительную аутентификацию на web-приемнике, вы можете настроить правило публикации сервера, публикующее приемник web-прокси, на ограниченный набор IP-адресов, которым разрешено использование данного правила. Этот вариант можно использовать, если в филиалах используются статические или более-менее предсказуемые адреса. Вы не сможете использовать этот вариант, если в филиале не используются статические адреса, поскольку правила публикации серверов не позволяют вам контролировать доступ на основе FQDN удаленного клиента. Ниже, при создании правила публикации сервера, мы рассмотрим этот момент подробней.

Откройте консоль ISA-сервера, раскройте имя сервера, а затем узел Configuration (Настройки) в левой части консоли. Щелкните по узлу Networks (Сети), а затем дважды щелкните по записи Internal (Внутренняя) на вкладке Networks (Сети) в средней части консоли.

В диалоговом окне Internal Properties (Свойства внутренней сети) выберите вкладку Web Proxy (Web-прокси), где отметьте параметр Enable Web Proxy clients (Разрешить соединения клиентов Web-прокси). Отметьте параметр Enable HTTP (Разрешить использование HTTP) и установите значение поля HTTP port (Порт HTTP) 8080.

Нажмите кнопку Authentication (Аутентификация). В диалоговом окне Authentication (Аутентификация) вы увидите, что по умолчанию протоколом аутентификации является Integrated (Встроенная). Вам придется использовать встроенную аутентификацию для удаленных клиентов, соединяющихся с вашим приемником web-прокси, поскольку вы не можете использовать SSL для шифрования учетных данных пользователей при регистрации на ISA-сервере с помощью приемника web-прокси. Это не является ограничением ISA-сервера, поскольку на нем можно настроить SSL web-приемник. Проблема в том, что в настоящее время нет браузеров, поддерживающих клиентов web-прокси и использующих защищенные SSL-соединения с web-прокси сервером.

Ни один из остальных вариантов аутентификации не является достаточно безопасным для использования в Интернете, кроме SSL-сертификатов. В данной статье мы не будем рассматривать сертификаты, но данный вариант проверки того, как web-браузер предоставляет пользовательские сертификаты ISA-серверу для более защищенного доступа удаленных клиентов, стоит обсуждения в отдельной статье.

Отметьте опцию Require all users to authentication (Требовать аутентификации всех пользователей). При этом приемник web-прокси будет использовать принудительную аутентификацию пользователей еще до того, как ISA-сервер определит политику для доступа пользователей к разрешенным сайтам. Такой подход предотвратит ситуации, в которых вы или ваш помощник могут случайно настроить правило анонимного доступа, разрешающее доступ неаутентифицированных пользователей к Интернету через приемник web-прокси.

Появится диалоговое окно, сообщающее о том, что случится в случае использования принудительной аутентификации на web-приемнике. Потенциальные проблемы достаточно серьезны, и вам следует учесть эти побочные эффекты до включения принудительной аутентификации на web-приемнике. Единственной альтернативой является гарантия того, что все ваши правила доступа требуют аутентификации. Если вы сможете это сделать, то использование принудительной аутентификации на web-приемнике не требуется.

Одним из недостатков встроенной аутентификации является то, что и ISA-сервер и компьютеры пользователей должны быть членами одного домена, или же вы должны сделать зеркало пользовательских учетных данных на ISA-сервере или в домене ISA-сервера.

Например, если компьютеры филиала не являются членами домена, вся информация об учетных записях и паролях каждого пользователя филиалов должна быть воссоздана в локальной базе SAM ISA-сервера, или же в домене Active Directory главного офиса. Это потребует дополнительных издержек, зависящих от политики изменения пароля пользователей филиала.

В диалоговом окне Authentication (Аутентификация) нажмите OK для сохранения изменений.

В диалоговом окне Internal Properties (Свойства внутренней сети) нажмите OK для сохранения изменений.

Замечание: Учтите, что внутренний web-приемник используется и клиентами web-прокси во внутренней сети. Встроенная аутентификация не является проблемой для корпоративной сети, в которой ISA-сервер является членом домена, поскольку все клиенты также являются членами домена, что позволяет использовать прозрачную аутентификацию. В этом случае копия учетных записей не нужна, поскольку ISA-сервер, являясь членом домена, аутентифицирует пользователей на контроллере домена Active Directory.

Правило публикации сервера позволяет ISA-серверу принимать входящие соединения с определенных IP-адресов и портов на свой внешний интерфейс и переадресовывать их на другой IP-адрес и порт. В нашем примере при публикации приемника web-прокси мы хотим, чтобы ISA-сервер принимал соединения на IP-адрес своего внешнего интерфейса и TCP порт 8080 и переадресовывал эти соединения на TCP порт 8080 IP-адреса внутреннего интерфейса ISA-сервера.

Однако, прежде, чем мы создадим правило публикации сервера для публикации приемника web-прокси на внутреннем интерфейсе ISA-сервера, нам нужно создать Определение протокола, которое будет описывать протокол, использующийся для переадресации. В нашем случае мы создадим определение для входящих соединений на TCP порт 8080.

В консоли ISA-сервера раскройте имя сервера, а затем щелкните по узлу Firewall Policy (Политика сервера). На Панели задач выберите вкладку Toolbox (Средства), а затем щелкните по заголовку Protocols (Протоколы). Откроется список групп протоколов. Выберите пункт меню New (Новый) и нажмите Protocol (Протокол).

На странице Welcome to the New Protocol Definition Wizard (Начало работы мастера создания нового определения протокола) в поле Protocol Definition name (Имя определения протокола) введите Web proxy и нажмите Next (Далее).

На странице Primary Connection Information (Информация о первичном соединении) нажмите кнопку New (Новый).

В диалоговом окне New/Edit Protocol Connection (Новый/Изменение описания соединения по протоколу) выберите в поле Protocol type (Тип протокола) значение TCP. Установите Direction (Направление) как Inbound (Входящие). В разделе Port range (Диапазон портов) установите значением полей From (От) и To (До) число 8080. Нажмите OK.

На странице Primary Connection Information (Информация о первичном соединении) нажмите Next (Далее). На странице Secondary Connections (Вторичное соединение) нажмите Next (Далее).

На странице Completing the New Protocol Definition Wizard (Завершение работы мастера создания нового определения протокола) нажмите Finish (Завершить).

Нажмите Apply (Применить) для сохранения изменений и обновления политики сервера. В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.

Если вы щелкните по папке User Defined (Определенные пользователем), вы увидите новое определение Web proxy.

Теперь мы можем создать правило публикации сервера. Начнем с использования мастера создания правила публикации сервера, а затем подробно рассмотрим само правило и внесем в него некоторые изменения для поддержки нашего сценария.

В консоли ISA-сервера раскройте имя сервера, а затем щелкните по узлу Firewall Policy (Политика сервера). В Панели задач выберите вкладку Tasks (Задачи), а затем щелкните по ссылке Create a New Server Publishing Rule (Создать новое правило публикации сервера).

На странице Welcome to the New Server Publishing Rule (Начало работы мастера создания нового правила публикации сервера) в поле Server Publishing Rule name (Имя правила публикации сервера) введите Publish Web Proxy Listener и нажмите Next (Далее).

На странице Select Server (Выбор сервера) введите IP-адрес внутреннего интерфейса ISA-сервера. Нажмите Next (Далее).

На странице Select Protocol (Выбор протокола) выберите из списка Selected protocol (Выбранные протоколы) протокол Web proxy. Это протокол, созданный вами при создании Определения протокола web-прокси. Нажмите Next (Далее).

На странице IP Addresses (IP-адреса) отметьте пункт External (Внешний) и нажмите Next (Далее).

На странице Completing the New Server Publishing Rule Wizard (Завершение работы мастера создания нового правила публикации сервера) нажмите Finish (Завершить).

Нам нужно изменить правило, поэтому дважды щелкните по записи политики сервера Publish Web Proxy Listener. В окне свойств правила выберите вкладку To (К).

На вкладке To (К) выберите опцию Request appear to come from the ISA Server computer (Запросы идут от ISA-сервера).

Это нужно сделать для того, чтобы приемник web-прокси ISA-сервера не принимал запросы от IP-адресов, не находящихся в одной сети ISA-сервера с приемником.

Поскольку приемник web-прокси прослушивает соединения от внутренней сети по умолчанию, IP-адрес источника должен находиться в определении этой сети. Этого можно достичь разрешением ISA-серверу подменять IP-адрес внешнего клиента.

Выберите вкладку From (От).

Обратите внимание, что по умолчанию разрешены соединения от Anywhere (Отовсюду). Хотя может показаться, что ISA-сервер разрешает любые соединения отовсюду с правилом публикации сервера, на самом деле разрешены соединения отовсюду из сети, в которую прослушивает приемник правила. В нашем примере мы настроили приемник на прослушивание сети External (Внешняя), поэтому приемник обслуживает только запросы из внешней сети по умолчанию.

Вы можете установить ограничение на компьютеры, которые могут соединяться по правилу публикации, удалив запись Anywhere (Отовсюду) и нажав кнопку Add (Добавить).

Откроется окно Add Network Entities (Добавить сетевые элементы). Здесь вы можете выбрать сетевые элементы или создать новый, которому будет разрешен доступ к правилу публикации сервера и к web-приемнику. Новый элемент можно создать с помощью меню New (Новый).

В нашем случае вы можете создать элемент Computer (Компьютер) для IP-адресов внешних интерфейсов устройств NAT каждого филиала и разрешить доступ к правилу публикации сервера только этим адресам.

Приемник и правило готовы к поддержке удаленных пользователей при использовании ими приемника web-прокси. Однако, до тех пор, пока не будет создано правило, разрешающее трафик через приемник, на данный интерфейс не будет приходить никакая информация.

Фильтр web-прокси поддерживает только три протокола:

• HTTP
• HTTPS (SSL)
• HTTP с туннельным режимом FTP (FTP-соединения туннелируются в HTTP-заголовке от клиента web-прокси к приемнику web-прокси, а затем детуннелируется на ISA-сервере и отправляется на FTP-сервер)

Любая политика сервера, созданная нами, должна быть ограничена использованием одного или нескольких из этих протоколов. Мы создадим правило доступа, которое позволит аутентифицировать пользователей, получающих доступ по протоколам HTTP, HTTPS (SSL) и FTP.

В консоли ISA-сервера раскройте имя сервера, а затем щелкните по узлу Firewall Policy (Политика сервера). В Панели задач выберите вкладку Tasks (Задачи), а затем щелкните по ссылке Create New Access Rule (Создать новое правило доступа)

На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) введите название правила Web Protocols to Internet и нажмите Next (Далее).

На странице Rule Action (Действие правила) выберите Allow (Разрешить) и нажмите Next (Далее).

На странице Protocols (Протоколы) выберите опцию Selected protocols (Выбранные протоколы) из списка This rule applies to (Данное правило применяется к) и нажмите Add (Добавить).

На странице the Add Protocols (Добавить протоколы) щелкните по папке Web и дважды щелкните по протоколам FTP, HTTP и HTTPS, затем нажмите Close (Закрыть).

Рисунок 10

На странице Protocols (Протоколы) нажмите Next (Далее).

На странице Access Rule Sources (Источники правила доступа) нажмите Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети Internal (Внутренняя). Нажмите Close (Закрыть).

Рисунок 11

На странице Access Rule Sources (Источники правила доступа) нажмите Next (Далее).

На странице Access Rule Destinations (Получатели для правила доступа) нажмите Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети External (Внешняя). Нажмите Close (Закрыть). На странице Access Rule Destinations (Получатели для правила доступа) нажмите Next (Далее).

На странице User Sets (Пользователи) щелкните по записи All Users (Все пользователи) и нажмите Remove (Удалить). Мы не хотим разрешать анонимные соединения с Интернетом через ISA-сервер, поэтому мы и должны удалить запись All Users (Все пользователи). Нажмите Add (Добавить).

В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по записи All Authenticated Users (Все аутентифицированные пользователи) и нажмите Close (Закрыть). На странице User Sets (Пользователи) нажмите Next (Далее).

Рисунок 12

На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить).

Теперь удаленные пользователи и пользователи внутренней сети по умолчанию имеют доступ ко всем web-сайтам после успешной аутентификации.

Устройства web-прокси предоставляют безопасные соединения с компьютерами, настроенными как клиенты web-прокси. В ISA-сервере есть фильтр web-прокси, который работает как web-прокси сервер. Фильтр web-прокси использует приемник web-прокси для приема соединений web-браузеров, настроенных как клиенты web-прокси. Клиенты web-прокси, соединяющиеся из корпоративной сети с Интернетом, используют web-прокси сервер в качестве прямого web-прокси. В некоторых случаях, например, при наличии филиалов, вы можете захотеть разрешить принятие приемником web-прокси ISA-сервера соединений удаленных узлов.

Вы можете настроить ISA-сервер на поддержку соединений удаленных узлов с приемником web-прокси с помощью создания Определения протоколов web-прокси, правила публикации сервера и правила доступа для поддержки таких соединений. В данной статье предложены подробные инструкции о том, как выполнить такие настройки.

Веб прокси

Использование прокси позволяет получить доступ к веб сайту или другому Интернет ресурсу даже когда прямой доступ к ресурсу заблокирован в вашей стране или регионе. Существует множество различных видов прокси, включая:

• Веб прокси-серверы, для использования которых вам нужно лишь знать адрес веб сайта прокси-сервера. Выглядеть URL адрес может примерно так: http://www.example.com/cgi-bin/nph-proxy.cgi.

Веб прокси-сервер это подобие браузера, встроенного в веб страницу, он, как правило, имеет поле для ввода URL адреса веб сайта, который вы хотите открыть. После ввода адреса, прокси отобразит страницу без необходимости прямого подключения к ней.

Для использования веб прокси вам не нужно устанавливать специальное программное обеспечение или изменять настройки вашего компьютера. Это означает, что вы можете использовать веб прокси с любого компьютера, включая компьютеры Интернет кафе. Просто введите URL адрес веб прокси-сервера в адресную строку вашего браузера, введите в прокси URL адрес интересующего вас веб сайта и нажмите Ввод.

При просмотре страницы через веб прокси вы, как правило, можете использовать кнопки Далее и Назад вашего браузера, открывать ссылки и заполнять формы без потери вашего подключения через прокси к заблокированному сайту. Это обеспечивается путем добавления ко всем ссылкам на странице дополнительной информации, которая обеспечит подключение вашего браузера к любому ресурсу через прокси-сервер. Однако, принимая во внимание сложность современных веб сайтов, эта задача может оказаться не такой легкой, как кажется. В результате может оказаться, что некоторые страницы, ссылки или формы вызывают обрыв соединения через прокси. Обычно, когда это происходит, поле адресной строки веб прокси-сервера исчезает из окна вашего браузера.

Вы можете найти список веб прокси-серверов на http://www.proxy.org/. подписавшись на рассылку в http://www.peacefire.org/circumventor/. или читая специфичные для страны посты на Twitter, или просто путем поиска "бесплатные Веб прокси" в любом поисковике. В списке Proxy.org есть буквально тысячи бесплатных Веб прокси сервисов:

Примерами бесплатных веб прокси сервисов могут быть CGIProxy, PHProxy, Zelune, Glype, Psiphon, и Picidae. Как упоминалось ранее, все они не являются инструментами, которые нужно устанавливать на ваш компьютер. Они являются серверным программным обеспечением, которое нужно устанавливать на компьютеры, расположенные в свободной от цензуры локации. Все эти платформы предлагают схожий основной функционал, но они по-разному выглядят и могут иметь различные сильные и слабые стороны. Некоторые лучше по определенным характеристикам, например, лучше отображают потоковое видео или сложные веб сайты.

Некоторые веб прокси-серверы являются частными. К ним, как правило, имеет доступ небольшая группа пользователей, знакомых человека, который предоставляет данный прокси-сервер или клиенты, которые платят за сервис. Частные веб прокси-серверы имеют свои преимущества, такие как:

• трудность идентификации и блокировки;
• низкая нагрузка и в связи с этим большая скорость работы;
• высокая надежность, предполагая, что они поддерживают шифрование (см. ниже) и управляются знакомыми людьми.

Доступ к таким серверам может быть ограничен необходимостью входа на сервис с использованием логина и пароля или просто путем предотвращения попадания адреса прокси-сервера в публичные списки, один из которых был назван выше.

Веб прокси-серверы легки в использовании, но они имеют большие недостатки в сравнении с другими инструментами обхода Интернет цензуры. В результате пользователи часто пользуются веб прокси-серверами в качестве временного способа обхода цензуры, чтобы получить информацию о том, как использовать более сложные и совершенные инструменты, которые зачастую нужно скачивать с заблокированных веб сайтов. Аналогично доступ к веб прокси-серверу может оказаться полезным при попытках устранения неполадок или замене другого инструмента, который перестал работать.

Веб прокси-сервера поддерживают работу только с веб трафиком, таким образом, они не могут быть использованы для других Интернет сервисов, таких как электронная почта или мгновенный обмен сообщениями. Многие из них некорректно отображают сложные веб сайты, например, Facebook, плохо работают с потоковым мультимедиа на YouTube или с шифрованными веб сайтами, доступ к которым осуществляется через HTTPS. Эти последние ограничения могут означать, что многие веб прокси-серверы не помогут вам получить доступ к блокированным сайтам, которые требуют вход на сервис, например, веб сервис электронной почты. Еще хуже, что некоторые веб прокси не поддерживают шифрование, то есть доступ через HTTPS. Если вы используете такой прокси при входе на сайт, который обычно зашифрован, вы можете ставить под удар свою конфиденциальную информацию, включая пароли.

Подобные вопросы обеспечения безопасности обсуждаются более детально в тексте ниже.

За исключением известных и описанных выше проблем протокола HTTPS, большинство сложностей совместимости в веб прокси-серверах могут быть решены путем использования мобильных или базовых HTML версий запрашиваемых веб сайтов, если такие имеются. К сожалению, только немногие веб сайты имеют упрощенные версии интерфейса. Еще меньшее количество предлагает полную функциональность таких упрощенных сайтов. Если веб сайт имеет мобильную версию, её адрес, как правило, начинается с "m" вместо "www." Примерами являются https://m.facebook.com. http://m.gmail.com и https://m.youtube.com. Иногда ссылки на мобильные или базовые HTML версии сайтов можно найти среди небольших ссылок, расположенных внизу главной страницы веб сайта.

Вам необходимо осознавать риски, связанные с использованием веб прокси-серверов, особенно тех, которые управляются неизвестными вам людьми или организациями. Если вы используете веб прокси-сервер только для чтения веб сайтов, например, www.bbc.co.uk. главные проблемы связаны с тем, что:

• посторонние могут узнать, что вы просматриваете закрытый цензурой новостной ресурс;
• посторонние могут узнать, какой прокси-сервер вы при этом используете.

Для некоторых пользователей описанные выше риски не являются большой проблемой. Но они могут стать таковой, если вы намереваетесь использовать веб прокси для доступа к определенным видам он-лайн ресурсов, таким как:

• сайты, требующие входа с использованием пароля;
• сайты, через которые вы намереваетесь получать доступ к конфиденциальной и/или компрометирующей информации;
• сайты, через которые вы хотите создавать или публиковать информацию;
• сайты электронной коммерции или веб банкинга;
• сайты, поддерживающие HTTPS шифрование.

В этих случаях вам лучше избегать использования нешифрованных и ненадежных веб прокси-серверов. По сути, вы, возможно, вообще не захотите пользоваться этим видом прокси-серверов. И хотя нет гарантии, что более «совершенный» инструмент сможет обеспечить высокий уровень безопасности, задачи, которые должно выполнять устанавливаемое программное обеспечение для обхода цензуры, чтобы обеспечить конфиденциальность передаваемых данных в целом менее сложные, чем те, с которыми сталкивается программное обеспечение для веб прокси-серверов.

Некоторые веб прокси-серверы, в особенности, не поддерживающие HTTPS, используют простые схемы кодирования для обхода плохо настроенных фильтров доменных имен или фильтров, работающих на основе списка ключевых слов. Одна из таких схем, которая называется ROT-13, заменяет каждый символ другой буквой, расположенной на 13 порядков выше в стандартном латинском алфавите. (На сайте http://www.rot13.com вы можете поэкспериментировать с этой схемой сами.) При использовании ROT-13, адрес http://www.bbc.co.uk становится uggc://jjj.oop.pb.hx. что позволяет сделать его нераспознаваемым для очень простых фильтров по ключевым словам. Разработчики прокси-серверов решили, что этот трюк может быть очень полезным в странах, где нет фильтрации по ключевым словам, так как веб прокси-сервера, как правило, добавляют целевой адрес к фактическому адресу, который ваш браузер отправляет прокси-серверу каждый раз при открытии ссылки или вводе нового адреса. Иными словами, при использовании прокси, ваш браузер может запрашивать http://www.proxy.org/get?site=http://www.bbc.co.uk вместо http://www.bbc.co.uk, но фильтр доменных имен, написанный для идентификации последнего, определит первый так же быстро. С другой стороны ссылка http://www.proxy.org/get?site=uggc://jjj.oop.pb.hx может проскочить фильтр. К сожалению, схемы кодировки не являются очень надежными. В конце концов, цензору ничто не мешает добавить "jjj.oop.pb.hx" в черный список вместе с "www.bbc.co.uk." (Или, еще лучше, можно просто добавить "uggc://" в список, который полностью заблокирует использование подобного прокси сервиса.)

Важно помнить, что кодирование букв не защищает конфиденциальность вашего информационного обмена от третьей стороны, так как они могут легко составить список посещаемых вами сайтов. И даже если схемы кодировки применять ко всему содержанию просматриваемых веб страниц и отправляемой вами информации (и не только к адресам сайтов), это все равно не обеспечит конфиденциальность. Если же конфиденциальность важна вам, ограничьтесь использованием веб прокси-серверов, поддерживающих шифрование HTTPS.

Не забывайте, что администратор прокси-сервера может видеть все.

Совет, данный выше, подчеркивает важность наличия HTTPS как со стороны блокированного целевого сайта, так и со стороны самого прокси-сервера при использовании веб прокси для создания или получения чувствительной информации. Однако важно отметить, что даже при подключении к безопасному (шифрованному) сайту через шифрованный прокси-сервер, вы в серьезной степени доверяетесь администратору веб прокси-сервера, так как этот человек или организация могут просматривать весь трафик, который вы отправляете или получаете. Сюда относятся все пароли, которые вы вводите для входа на целевой веб сайт.

Даже более подвинутые инструменты обхода цензуры, которые требуют установки программного обеспечения на ваш компьютер, базируются на посредническом прокси-сервере, чтобы обходить веб фильтры. Важно отметить, что все подобные инструменты, имеющие хорошую репутацию, позволяют защищать содержание HTTPS трафика даже от самих провайдеров услуг обхода Интернет цензуры. К сожалению, это не всегда применимо к веб прокси-серверам, которые вынуждены полагаться на старое доброе доверие. И доверие – это сложная функция, которая зависит не только от желания администратора сервиса защищать ваши интересы, но и от его политики в отношении ведения журналов и записей об активности пользователей, его технической компетенции и законодательной среде, в которой он работает.

Инструменты, разработанные для обхода фильтров, не всегда обеспечивают анонимность, даже те, в названии которых красуются такие слова как анонимайзер (anonymizer)! В общих словах, термин анонимность является куда более размытым в отношении качества безопасности, чем базовая конфиденциальность (предотвращение слежки за активностью пользователя, содержанием информационного обмена при работе с веб сайтом). И, как обсуждалось ранее, даже обеспечение базовой конфиденциальности при использовании веб прокси-сервера требует как минимум:

• использования веб прокси, поддерживающего HTTPS;
• подключения через прокси к целевому веб сайту, поддерживающему HTTPS;
• доверия к администрирующему прокси учреждению, к их политике, программному обеспечению и технической грамотности;
• внимания к предупреждениям браузера, как описывается в главе этой книги, посвященной HTTPS.

Все эти условия являются предпосылками для обеспечения любого уровня анонимности. Если третья сторона может читать содержимое вашего трафика, она может легко связать ваш IP адрес со списком специфических веб сайтов, которые вы посещаете. Это даже относится к тем случаям, когда вы входите на эти сайты или оставляете свои сообщения под псевдонимом. (Обратная ситуация, конечно, тоже возможна; даже идеальный в плане безопасности прокси-сервер не может скрыть идентифицирующую вас информацию, если вы указываете свое настоящее имя на публичном посте целевого веб сайта!).

Некоторые люди устанавливают веб прокси-серверы, чтобы делать деньги. Они могут делать это просто и открыто, продавая рекламные места на каждой странице, открытой с использованием сервиса, как отображено на примере ниже.

Или злоумышленники, управляющие прокси-сервером, могут пытаться инфицировать компьютеры своих пользователей вредоносным программным обеспечением. Эти так называемые параллельные скачивания (drive-by-downloads) могут позволить использование вашего компьютера для осуществления спам рассылок или для реализации других коммерческих или даже нелегальных целей.

Самое важное, что вы можете сделать, дабы обезопасить себя от вирусов и других вредоносных программ - это обеспечить своевременное обновление вашего программного обеспечения, в особенности это касается обновлений операционной системы и антивирусной программы. Вы можете также заблокировать рекламу, используя дополнение AdBlockPlus (http://www.adblockplus.org ) и защититься от другого вредоносного контента, используя дополнение NoScript (http://www.noscript.net ). Оба дополнения созданы для браузера Firefox. Вы можете найти дополнительную информацию о предотвращении вышеописанных рисков на сайте StopBadware (http://www.stopbadware.org ).

Есть риски, ассоциированные с использованием куки и встроенных скриптов. Многие веб прокси-серверы могут быть настроены на удаление куки и скриптов, но множество сайтов (например, социальная сеть Facebook и потоковый медиа сайт YouTube) требует их корректной работы. Веб сайты и рекламодатели могут использовать эти механизмы для слежки за вами, даже когда вы используете прокси. Это позволяет им создавать улики о том, например, что один и тот же человек совершил определенные действия открыто, а другие - анонимно. Некоторые куки могут сохраняться на вашем компьютере даже после перезагрузки, так что возможно есть смысл разрешить только их частичное использование. В браузере Firefox, например, вы можете изменить настройки и разрешить использование куки только до выключения браузера. (Аналогично вы можете настроить ваш браузер на удаление истории просмотра страниц при закрытии программы.) Говоря в общем, возможности веб прокси-серверов по обеспечению защиты вашей конфиденциальной информации от посещаемых вами веб сайтов очень ограниченны. Если же это является вашей целью, вам нужно быть очень осторожным при настройке вашего браузера и прокси-сервера, и вам есть смысл подумать об использовании более серьезных инструментов обхода Интернет цензуры.

Если вы находитесь в стране, где доступ в Интернет не подвергается цензуре, и вы хотите помочь другим обойти цензуру, вы можете установить скрипт для веб прокси на свой собственный сайт (или даже на ваш домашний компьютер), как описано в разделе этой книги «Помощь другим».