WPAD

WPAD (Web Proxy Auto-Discovery – автоматичне виявлення проксі-сервера) – це протокол, який дозволяє веб-браузерам та операційним системам автоматично виявляти розташування файлу автоматичної конфігурації проксі (PAC), який визначає, як клієнтські програми повинні підключатися до проксі-сервера для доступу до Інтернету.

Огляд WPAD

WPAD спрощує конфігурацію проксі на стороні клієнта, усуваючи необхідність ручних налаштувань. Замість того, щоб налаштовувати кожну клієнтську програму (наприклад, веб-браузери, загальносистемні налаштування проксі) з IP-адресою та портом проксі-сервера, адміністратори можуть опублікувати один PAC-файл. Клієнти, налаштовані на використання WPAD, автоматично знайдуть і завантажать цей файл, а потім виконають його логіку JavaScript, щоб визначити відповідний проксі-сервер для даної URL-адреси. Це особливо корисно у великих організаціях або динамічних мережевих середовищах, де налаштування проксі можуть часто змінюватися або відрізнятися залежно від розташування в мережі.

Як працює WPAD: Методи виявлення

WPAD використовує два основні методи для виявлення PAC-файлу: DHCP та DNS. Клієнти зазвичай спочатку намагаються виявити за допомогою DHCP, переходячи до DNS, якщо DHCP не вдається або не надає інформацію WPAD.

Виявлення за допомогою DHCP

Метод DHCP (Dynamic Host Configuration Protocol – протокол динамічної конфігурації хостів) передбачає, що DHCP-сервер надає клієнтам URL-адресу PAC-файлу.

1. Запит клієнта: Коли клієнт, налаштований на WPAD, отримує IP-адресу від DHCP-сервера, він запитує певні опції DHCP.
2. Опція DHCP 252: DHCP-сервер може бути налаштований на включення опції 252 (Proxy Auto-Discovery) у свою пропозицію оренди. Значення цієї опції – це рядок, що містить URL-адресу файлу wpad.dat (наприклад, http://wpad.example.com/wpad.dat).
3. Отримання PAC-файлу: Клієнт отримує URL-адресу та намагається завантажити файл wpad.dat із зазначеного місця.

Виявлення за допомогою DNS

Якщо виявлення за допомогою DHCP не вдалося або не налаштовано, клієнти зазвичай намагаються виявити за допомогою DNS.

1. Побудова імені хоста: Клієнт створює серію потенційних імен хостів для WPAD-сервера, послідовно видаляючи компоненти зі свого власного доменного імені. Наприклад, якщо FQDN (повне доменне ім'я) клієнта – host.sub.example.com, він спробує розв'язати wpad.sub.example.com, потім wpad.example.com, і нарешті wpad.com (хоча останнє часто блокується з міркувань безпеки).
2. DNS-запит: Для кожного побудованого імені хоста (наприклад, wpad.example.com) клієнт виконує DNS-запит для A-запису (або AAAA-запису для IPv6).
3. Отримання PAC-файлу: Якщо розв'язання DNS успішне, клієнт формує URL-адресу http://<розв'язана_IP_адреса>/wpad.dat або http://<розв'язане_ім'я_хоста>/wpad.dat і намагається завантажити PAC-файл.

Порівняння виявлення за допомогою DHCP та DNS

PAC-файл (Proxy Auto-Configuration)

Основою WPAD є PAC-файл, зазвичай названий wpad.dat. Цей файл є скриптом JavaScript, який визначає єдину функцію: FindProxyForURL(url, host). Коли клієнту потрібно отримати доступ до URL-адреси, він викликає цю функцію, передаючи цільову URL-адресу та її ім'я хоста. Повернене значення функції диктує, як клієнт повинен діяти.

Вимоги до PAC-файлу

• Ім'я файлу: Повинен мати ім'я wpad.dat.
• MIME-тип: Веб-сервер, що розміщує wpad.dat, повинен надавати його з правильним MIME-типом: application/x-ns-proxy-autoconfig. Без цього деякі клієнти можуть відмовитися обробляти файл.

Приклад базового PAC-файлу

function FindProxyForURL(url, host) {
    // Прямий доступ для внутрішніх доменів
    if (isPlainHostName(host) ||
        dnsDomainIs(host, ".example.com") ||
        isInNet(myIpAddress(), "192.168.1.0", "255.255.255.0")) {
        return "DIRECT";
    }

    // Проксі-сервер для певного трафіку через основний проксі
    if (shExpMatch(url, "*.google.com/*")) {
        return "PROXY proxy1.example.com:8080";
    }

    // Весь інший трафік проходить через основний проксі з переходом на резервний
    return "PROXY proxy1.example.com:8080; PROXY proxy2.example.com:8080; DIRECT";
}

Поширені значення, що повертаються PAC-файлом

• DIRECT: Підключитися безпосередньо до призначення без використання проксі.
• PROXY host:port: Використовувати вказаний HTTP-проксі-сервер. Можна вказати кілька проксі для відмовостійкості (наприклад, PROXY proxy1:8080; PROXY proxy2:8080).
• SOCKS host:port: Використовувати вказаний SOCKS-проксі-сервер.

Переваги WPAD для проксі-сервісів

• Централізоване управління: Адміністратори можуть керувати налаштуваннями проксі для всієї мережі з одного місця (файлу wpad.dat на веб-сервері).
• Динамічна конфігурація: Налаштування проксі можуть змінюватися залежно від IP-адреси клієнта, URL-адреси призначення, часу доби або іншої логіки, визначеної в PAC-файлі. Це підтримує складні вимоги до маршрутизації.
• Мобільність: Ноутбуки або мобільні пристрої автоматично переналаштовують свої налаштування проксі при переміщенні між різними мережами (наприклад, офісна локальна мережа, гостьовий Wi-Fi), які надають різні конфігурації WPAD.
• Балансування навантаження та відмовостійкість: PAC-файли можуть вказувати кілька проксі-серверів, дозволяючи клієнтам розподіляти трафік або автоматично переключатися на альтернативний проксі, якщо основний недоступний.
• Детальний контроль: Певні типи трафіку (наприклад, внутрішні ресурси, захищені сайти) можуть обходити проксі, тоді як інші маршрутизуються через нього, оптимізуючи продуктивність та безпеку.

Недоліки та проблеми безпеки

Хоча WPAD пропонує зручність, він створює кілька ризиків безпеки та операційних проблем:

• Атаки "людина посередині" (MITM):
  • DNS-спуфінг: Зловмисник може підробити DNS-відповіді для wpad.domain.tld, направляючи клієнтів на шкідливий WPAD-сервер.
  • DHCP-спуфінг: Зловмисник може налаштувати підроблений DHCP-сервер для надання клієнтам шкідливої URL-адреси WPAD.
  • Шкідливі PAC-файли: Якщо клієнт завантажує шкідливий PAC-файл, зловмисник може перенаправити весь трафік через свій проксі, перехоплюючи або змінюючи дані, або навіть блокуючи доступ до критичних служб.
• Єдина точка відмови: Якщо WPAD-сервер або веб-сервер, що розміщує файл wpad.dat, стає недоступним, клієнти втратять свою конфігурацію проксі та потенційно втратять доступ до Інтернету, якщо логіка PAC-файлу не передбачає переходу на DIRECT.
• Вразливість порядку пошуку DNS: Клієнти часто додають свої доменні суфікси до wpad при виконанні виявлення DNS. Якщо клієнт знаходиться в мережі з коротким доменним суфіксом (наприклад, company.local), він може запитувати wpad.local або навіть wpad.com (якщо local не налаштовано). Зловмисник, що контролює ці загальні домени, може розмістити шкідливий файл wpad.dat. Багато сучасних браузерів та операційних систем пом'якшують це, запобігаючи виявленню WPAD для доменів верхнього рівня, таких як .com або .local.
• Накладні витрати на продуктивність: Процес виявлення WPAD (DHCP, DNS-запити) та виконання PAC-файлу можуть спричинити невелику затримку при встановленні з'єднань, хоча це зазвичай незначно.
• Потенціал обходу: Досвідчені користувачі або шкідливе програмне забезпечення можуть обійти налаштування WPAD, особливо якщо вони не застосовуються за допомогою інших мережевих засобів контролю.
• Неправильна конфігурація MIME-типу: Неправильний MIME-тип на веб-сервері (наприклад, text/plain замість application/x-ns-proxy-autoconfig) може призвести до того, що клієнти ігноруватимуть файл wpad.dat.

Налаштування WPAD для проксі-сервісу

Впровадження WPAD включає кілька кроків для забезпечення того, щоб клієнти могли виявляти та використовувати ваш проксі-сервіс.

1. Створіть PAC-файл (wpad.dat):

   • Розробіть логіку JavaScript для FindProxyForURL, яка визначає ваші правила маршрутизації проксі.
   • Ретельно протестуйте PAC-файл за допомогою інструментів або консолей розробника браузера, щоб переконатися, що він працює належним чином.

2. Розмістіть PAC-файл на веб-сервері:

   • Розгорніть wpad.dat на доступному веб-сервері (наприклад, Apache, Nginx, IIS).
   • Переконайтеся, що веб-сервер налаштований на надання wpad.dat з MIME-типом application/x-ns-proxy-autoconfig.
     • Apache: Додайте AddType application/x-ns-proxy-autoconfig .dat до httpd.conf або файлу .htaccess.
     • Nginx: Додайте types { application/x-ns-proxy-autoconfig dat; } до nginx.conf.
     • IIS: Додайте запис MIME-типу для розширення .dat з типом application/x-ns-proxy-autoconfig.

3. Налаштуйте DHCP:

   • На вашому DHCP-сервері налаштуйте опцію 252 (Proxy Auto-Discovery) для відповідних областей.
   • Встановіть значення рядка на повну URL-адресу вашого PAC-файлу (наприклад, http://wpad.example.com/wpad.dat).

4. Налаштуйте DNS:

   • На вашому внутрішньому DNS-сервері створіть A-запис (або CNAME) для wpad.<ваш_домен.tld>, який вказує на IP-адресу веб-сервера, що розміщує wpad.dat.
   • Приклад: A-запис для wpad.example.com, що вказує на 192.168.1.100.

5. Конфігурація клієнта:

   • Переконайтеся, що клієнтські операційні системи та браузери налаштовані на "Автоматичне визначення налаштувань" або "Використання скрипта автоматичної конфігурації проксі". Це часто є налаштуванням за замовчуванням.
   • Для клієнтів Windows це налаштування зазвичай знаходиться в Internet Options -> Connections -> LAN Settings.

Вимкнення WPAD

У середовищах, де WPAD створює неприйнятні ризики безпеки або не потрібен, його можна вимкнути:

• Групова політика (Windows): Адміністратори можуть використовувати об'єкти групової політики (GPO) для вимкнення автоматичного виявлення проксі для машин, приєднаних до домену.
• Реєстр (Windows): Ручні зміни реєстру можуть вимкнути WPAD. Ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections містить налаштування, такі як DefaultConnectionSettings та SavedLegacySettings, де можна змінити прапорці WPAD.
• Налаштування браузера: Більшість браузерів мають налаштування для явного вимкнення автоматичного виявлення проксі.
• Конфігурація мережі: Не налаштовуйте опцію DHCP 252 і не створюйте DNS-запис wpad.

Найкращі практики для проксі-сервісів з WPAD

• Захистіть кінцеву точку WPAD: Переконайтеся, що веб-сервер, що розміщує wpad.dat, захищений та регулярно оновлюється. Розгляньте використання HTTPS для доставки wpad.dat, хоча не всі клієнти повністю підтримують HTTPS для виявлення WPAD, особливо старіші.
• Перевіряйте PAC-файли: Регулярно переглядайте вміст вашого файлу wpad.dat на предмет коректності та для запобігання впровадженню шкідливого коду.
• Моніторинг використання WPAD: Реєструйте запити на wpad.dat на вашому веб-сервері для виявлення незвичайних шаблонів доступу або потенційних атак.
• Впроваджуйте сегментацію мережі: Ізолюйте WPAD-сервер та проксі-інфраструктуру від загальних користувацьких мереж.
• Навчайте користувачів: Інформуйте користувачів про важливість налаштувань проксі та ризики, пов'язані з їх вимкненням або підключенням до ненадійних мереж.
• Розгляньте альтернативи для чутливих середовищ: Для високозахищених або чутливих середовищ розгляньте явну конфігурацію проксі за допомогою групової політики або рішень для управління мобільними пристроями (MDM), які пропонують більш прямий контроль та меншу залежність від протоколів виявлення.
• Блокуйте WPAD для зовнішніх доменів: Налаштуйте внутрішні DNS-сервери, щоб запобігти розв'язанню wpad для доменів поза вашим організаційним контролем (наприклад, wpad.com, wpad.org). Це пом'якшує вразливість порядку пошуку DNS.