Logo von Netze

Suche
118
Admin kann mitlesen

Ein Tunnel fällt zwar nicht unmittelbar auf Paketebene auf, möglicherweise aber durch statistische Analysen. Für eine solche Untersuchung bietet sich die Anzahl der Seitenaufrufe oder die Anzahl der übertragenen Bytes von diesem Server an, vor allem im Verhältnis zu anderen Servern. Ist erst einmal die Aufmerksamkeit eines gewitzten Admins oder Zensors geweckt, prüft dieser früher oder später, welcher Dienst auf diesem Host läuft. Der simple Versuch, ihn als Proxy-Server zu benutzen, enttarnt das Konstrukt schnell. Außerdem besteht ein enormes Missbrauchspotenzial, wenn jemand anderes den offenen Proxy findet. Den Proxy mit einer Passwortabfrage vor unbefugten Nutzern zu schützen, scheidet als Möglichkeit aus: Eine Passwortabfrage zeigt, dass er etwas zu verbergen hat. Doch Neugierigen soll die Natur des Rechners in der Tat besser verborgen bleiben.

Anzeige

Einen Ausweg weist eine Erweiterung der Apache-Konfiguration, die berechtigten Benutzern die Proxy- Dienste anbietet, während sie Unberechtigten einen gewöhnlichen Webserver vorgaukelt. Möglich macht dies ein in den HTTP-Verkehr eingeschleuster Header, den der Client dem Server vorweisen muss, um den Proxy nutzen zu dürfen. Zugriffe ohne den zusätzlichen Header führen zu einer Fehlermeldung. Im Folgenden dient der Header X-Proxy als Login-Name und der Wert 837440 als Passwort.

Dafür gilt es Apache so zu konfigurieren, dass er Anfragen an den Proxy nur dann beantwortet, wenn der Browser den zusätzlichen HTTP-Header mitsendet. Die Datei /etc/apache2/ mods-enabled/proxy.conf erfährt eine Erweiterung, die alle Zugriffe ohne gesetzten Header mit einem Forbidden (403) ablehnt. Schickt der Browser den zusätzlichen Header X-Proxy mit dem Wert 837440, setzt der Proxy die Umgebungsvariable useProxy als Kriterium, den Zugriff zu erlauben. Soll ein Proxy seine verdeckten Dienste mehreren Personen anbieten, kann dessen Administrator weitere Header und dazugehörige Werte "erfinden“.

Zum Erzeugen der zusätzlichen Header aufseiten des Browsers stehen verschiedene Möglichkeiten zur Verfügung. Für Firefox gibt es das Plug-in Modify Headers, mit dem Header verändert oder zusätzlich gesetzt werden können. Gefährlich an dieser Methode ist, dass man vergessen könnte, den zusätzlichen Header zu entfernen, wenn der geheime Proxy nicht benutzt wird. Denn dann sendet der Browser den geheimen Zugangsschlüssel bei jedem Seitenaufruf mit; bei HTTP-Sites sogar im Klartext. Besser eignet sich ein kleiner lokaler Proxy, der – zwischen Browser und stunnel geschaltet – den Header einfügt.

Listing 2: "Geheimer HTTP-Header"
<IfModule mod_proxy.c>
SetEnvIf X-Proxy ^837440 useProxy
#weitere Benutzer
#SetEnvIf X-Proxy ^482048 useProxy
#SetEnvIf X-Ausbruch ^geheim useProxy
ProxyRequests On
<Proxy *>
AddDefaultCharset off
Order deny,allow
Deny from all
Allow from env=useProxy
</Proxy>
ProxyVia On
RequestHeader Unset X-proxy
#RequestHeader Unset X-Ausbruch
</IfModule>

Der „geheime“ Header wird auf diese Weise in der Datei proxy.conf zur Bedingung (Listing 2). Von besonderer Bedeutung ist der Eintrag RequestHeader Unset. Er stellt sicher, dass der Header beim Weiterreichen der Anforderung verschwindet. Wer diesen Eintrag vergisst, schickt mit jedem Seitenaufruf sein geheimes Passwort unverschlüsselt in die Welt hinaus.

118 Kommentare

  1. Google spendet Apache sein SPDY-Modul

    Google spendet Apache sein SPDY-Modul

    Der Internet-Konzern hat sein vor zwei Jahren erstmals vorgestelltes Apache-Modul für das SPDY-Protokoll in die hinter dem Apache-HTTP-Server stehende Open-Source-Organisation eingebracht.

  2. Britische Provider schrauben an ihren Pornofiltern

    Facebook

    Weil die auf Druck der Regierung eingeführten Systeme nicht nur Pornos nicht zuverlässig filtern, sondern auch die Angebote von Aufklärern und Seelsorgern blockieren, wird nun nachgebessert.

  3. Web-Cache: Apache Traffic Server in Version 4 veröffentlicht

    Die neue Version 4 des Reverse Proxy soll die Performance verbessern.

Anzeige