Proksiserver (proxy): definitsioon, tööpõhimõte ja kasutusalad
Proksiserver (proxy): mis see on, kuidas töötab ja milleks kasutada — turvalisus, vahemälu, privaatsus ja võrgu haldus koos praktiliste näidete ja nõuannetega.
Arvutivõrkudes on proxy-server server (arvuti), mida kliendid (inimesed või arvutid) kasutavad teiste arvutite või teenuste juurde pääsemiseks. Proxy-serveri põhiülesanne on vahendada kliendi päringut ja vastust serveri ning kliendi vahel.
Proxy-serverit, mis edastab teavet oma klientidele ilma seda muutmata, nimetatakse tavaliselt gateway'ks või mõnikord tunnel-proxy'ks. Sellised proxy’d loovad kliendi ja sihtserveri vahele vahenduskihi, mis võib olla passiivne (lihtsalt edastab andmeid) või aktiivne (muudab, filtreerib või salvestab andmeid).
Kuidas proxy töötab
Proxy-serveriga ühenduv klient saadab päringu (näiteks faili, veebilehe või ühenduse soovi) proxy-le. Proxy seejärel esitab päringu kliendi nimel teisele serverile. Kui proxy-l on vastus juba oma vahemälus, võib ta kliendile kiiremini vastata ilma kaugserveri poole pöördumata. Vahemälu tähendab andmeid, millele on juba ligi pääsetud ja mis on salvestatud edaspidiseks kasutamiseks.
Peamised proxy tüübid
- Edasisaatv/proxy (forward proxy) — klient suunab päringud proxy-le, mis käitub kliendi nimel väljaspool võrku.
- Tagurpidi proxy (reverse proxy) — asub teenusepakkuja (veebiserveri) ees ja võtab vastu kliendi päringuid, tehes koormuse jaotuse, SSL-terminatsiooni või sisu vahemällu salvestamise.
- Läbipaistmatu/transparent proxy — kliendi seade ei pruugi seda märgata; kasutatakse sageli sisu filtreerimiseks ja vahemällu salvestamiseks.
- Ananüümsed proxy’d — peidavad või muudavad kliendi IP-aadressi; kõrge anonüümsustasemega (elite) proxy ei paljasta üldse kliendi IP-d.
- SOCKS ja HTTP proxy — SOCKS (nt port 1080) on madalama taseme protokoll, mis toetab mitmesuguseid rakendusi; HTTP proxy-d on spetsiaalselt veebiliikluseks.
- Tunnel-proxy — loob otseühenduse (tunneli) kliendi ja sihtserveri vahel, sageli kasutades protokolle nagu CONNECT (HTTP proxy) või VPN-tehnoloogiaid.
Kasutusalad
- Parendatud jõudlus ja kiirem juurdepääs tänu vahemälule (korduvad päringud teenindatakse proxy vahemälust).
- Turve ja kontroll — sisu filtreerimine, pahatahtliku liikluse blokeerimine ja juurdepääsu piiramised.
- Anonüümsus ja privaatsus — kliendi IP-aadressi peitmine väljaspool võrku.
- Geograafiliste piirangute ületamine — päästakse ligi ressursse, mis on lokaalselt blokeeritud.
- Koormuse tasakaalustamine ja SSL-terminatsioon — tagurpidi proxy võib jaotada päringuid mitme serveri vahel ja võtta enda kätte krüptimise/dekrüptimise töö.
- Jälgimine ja logimine — ettevõtted võivad logida väljaminevat ja sissetulevat liiklust ülevaate ja turvakontrolli eesmärgil.
Turvalisus: SSL ja TLS
Mõned proxy-serverid kasutavad Secure Sockets Layer (SSL) ühendust kliendi ja kaugserveri vahel. Täna on SSL-i järglane TLS (Transport Layer Security) ja praktikas räägitakse sageli TLS/SSL-krüptimisest. See turvakiht aitab tagada, et pealtkuulajad ei saa lugeda ega muuta seda, mida klient serverilt küsib. Samas võib proxy, mis teeb SSL-i "puhverdamise" (SSL-terminatsioon), dekrüpteerida sisu, analüüsida või filtreerida ning see nõuab usaldusväärset ja turvalist seadistust.
Tehnilised ja halduslikud aspektid
- Kliendi poolel tuleb proxy sageli seadistada brauseris või operatsioonisüsteemi võrguühenduse seadetes. Mõned rakendused toetavad SOCKS-proxyt otse.
- Tüüpilised proxy-pordid: HTTP proxyd kasutavad sageli porte 8080 või 3128; SOCKS-proxyd tavaliselt 1080. (See võib erineda sõltuvalt seadistusest.)
- Paljud proxy-serverid toetavad autentimist, mis piirab juurdepääsu lubatud kasutajatele.
- Header-id nagu X-Forwarded-For või Forwarded võivad säilitada algse kliendi IP-aadressi, seda kasutavad paljud veebirakendused koos proxy-dega.
Puudused ja riskid
- Võib lisada latentsust ja olla ühtlasi tõrkeniidi (single point of failure), kui proxy ei ole võrgu arhitektuuris õigesti redundantne.
- Usaldusprobleemid — avalike või valimatute proxy-de kasutamine võib ohustada privaatsust või turvalisust (logimine, andmete püüdmine).
- Vale või kurnav vahemälu haldus võib põhjustada vana või vale sisu edastamist.
- Õiguslikud ja poliitilised piirangud — mõnes keskkonnas on proxy-de kasutamine kontrollitud või keelatud.
Kokkuvõte
Proxy-serverid on võimsad tööriistad võrguhalduse, turbe, jõudluse ja privaatsuse valdkonnas. Nad toimivad kliendi ja serveri vahel vahendajana ning võivad andmeid vahemällu salvestada, filtreerida, anonüümseks muuta või koormust tasakaalustada. Õige tüüpi proxy valimine ja turvaline seadistamine on vajalik, et saavutada soovitud efektid ilma liigsete riskide ja piiranguteta.


Vahendusserver ühendab kaks arvutit kaudselt omavahel.
Vahendusserverite eelised
Proxy-serveri kasutamisel on palju eeliseid. Esiteks saab kliendimasin vahetada andmeid kaugserveriga ilma otsese ühenduseta. Sel viisil ei ole kliendi tegelik Interneti-aadress kaugserverile teada. Seda nimetatakse mõnikord anonüümseks, sest see muudab kliendi anonüümseks. Teine eelis on see, et kui proxy-server ise suudab kliendi tehtud päringut teenindada, ei võta ta enam ühendust kaugserveriga. Seega vähendatakse proxy-serveri kasutamisega kaugserveri koormust. Seda tüüpi proxy-servereid nimetatakse vahemäluserveriteks.
Suured organisatsioonid (või isegi riigid) kasutavad mõnikord proxy-servereid, et kontrollida juurdepääsu internetile. Suur pank võib kasutada proxy-serverit, mis lubab ühendusi ainult teistele pangandusega seotud veebisaitidele. Proxy-server võib aga blokeerida juurdepääsu veebisaitidele, mis pakuvad tasuta e-posti või pakuvad pornograafilist materjali. Samuti võib see blokeerida juurdepääsu failijagamisrakendustele. Juurdepääsu piiramist konkreetsele internetisisule nimetatakse ka internetifiltreerimiseks.
Tüübid ja funktsioonid
Vahendusserveril võib olla üks või mitu allpool kirjeldatud funktsiooni:
Caching proxy server
Caching-proxy-server võib teenindada klientide päringuid, ilma et ta võtaks ühendust kaugserveriga; selle asemel saadab ta andmed, mida ta on eelmisest päringust salvestanud. Seda nimetatakse vahemälluureks.
Vahemälu proxy-serverid vähendavad kaugserveri töökoormust. Siiski on neil omad probleemid, eriti kui nad ei ole hästi konfigureeritud. Mõned probleemid on kirjeldatud dokumendis RFC 3143.
Veebivahendaja
Veebivahendaja on proxy-server, mis keskendub liikumisele üle World Wide Webi. Seda võib kasutada solvava veebisisu blokeerimiseks või klientide juurdepääsu kontrollimiseks veebisisule. Neid võivad kasutada ettevõtted või riigid.
Veebivahendajate abil saab jälgida ka seda, kuidas erinevad isikud on kasutanud internetiühendust.
Anonüümne proxy server
Anonüümne proxy-server eemaldab klientide päringutest anonüümsuse eesmärgil identifitseerimisandmed. Neid võib kasutada ka internetis filtreeritud sisu läbimiseks.
Avatud volikiri
Proxy-serverit nimetatakse avatud proxy-serveriks, kui kõik saavad sellega ühendust võtta ja seda kasutada. Tavaliselt on avatud proxy'd halvasti konfigureeritud proxy-serverid. Avatud proxy'd võib kergesti kuritarvitada; näiteks võib halb kasutaja saata rikkuva päringu kaugserverile, kuid varjata end avatud proxy'de taha, nii et kaugserveri administraatorid ei saa teda peatada. Avatud proksi võib kasutada ka spämmi saatmiseks. Sel põhjusel ei luba mõned veebisaidid oma veebiserveritega ühendusi või nende sisu redigeerimist teadaolevate avatud proksiide kaudu.
Sundvolitus
Sundproxy-server on proxy-server, mis tegeleb kogu kliendilt internetti suunduva liiklusega. Klient ei tea proxy olemasolust, kuid kogu teave liigub läbi proxy-serveri. Neid nimetatakse mõnikord "läbipaistvateks" proxy-serveriteks, sest kasutaja ei tea, et kliendi ja kaugserveri vahel on proxy-server.
SMTP Proxy
Läbipaistev SMTP-proxy on SMTP-proxy-server, mis on sisestatud saatva ja vastuvõtva postiserveri vahele. SMTP-proxy peamine eesmärk on filtreerida väljaminevat rämpsposti. Proxy maskeerib end nii, et klient ja server usuvad, et nad räägivad omavahel, kuigi nende vahel on proxy.
Tarkvara
On palju tarkvara, mida saab kasutada proxy-serveri käivitamiseks. Mõned tarkvarad võivad töötada ainult proxy-serverina, samas kui teised tarkvarad võivad töötada ka tulemüüri või vahemäluserverina. Squid, Varnish ja Microsoft Internet Security and Acceleration Server (ISA Server) on ühed tuntuimad proxy-serveri tarkvara osad. Mõned proxy-tarkvarad kasutavad SOCKS-protokolli. Näiteks on Java SOCKS Proxy Server.
Küsimused ja vastused
K: Mis on proxy-server?
V: Proxy-server on arvuti, mida kliendid kasutavad teiste arvutite kasutamiseks. See toimib vahendajana kliendi ja kaugserveri vahel, edastades teavet edasi-tagasi, ilma seda muutmata.
K: Mis on värav või tunnelproxy?
V: Värava- või tunnelproxy on proxy-serveri tüüp, mis edastab teavet oma klientidele seda muutmata.
K: Kuidas proxy-server töötab?
V: Kui klient ühendub proxy-serveriga, küsib ta mõnda teenust, näiteks faili, ühendust, veebilehte või muud ressurssi, mis on saadaval teises serveris. Seejärel läheb proxy server teise serverisse ja küsib kliendi soovitud teenust tema eest.
K: Mida saavad proxy'd teha teabega?
V: Proxy'd võivad muuta teavet, mida nad oma klientidele annavad, ja kui eri kliendid kasutavad sama teavet mitu korda, võivad nad kasutada vahemälu, et teha asju kiiremaks. Vahemälu hõlmab varem kasutatud andmete salvestamist edaspidiseks kasutamiseks, nii et kui samadele andmetele on vaja uuesti juurde pääseda, ei pea neid taotlema teisest serverist.
K: Kuhu saab proxy'd paigutada klientide ja serverite suhtes?
V: Vahendajaid võib paigutada kõikjale kliendi ja kaugserveri vahele, sealhulgas tarkvara kummagi arvuti enda või mis tahes arvuti vahele.
K: Milliseid turvameetmeid kasutavad mõned proxy'd?
V: Mõned proxy'd võivad kasutada Secure Sockets Layer'i (SSL), et kindlustada klientide ja kaugserverite vahelised ühendused, nii et teised arvutid ei saa lugeda ega mõista, mida teineteiselt küsitakse.