Squid と匿名プロキシと

匿名プロキシ・サーバに関する云々と、最後にプロキシ・サーバである Squid-cache を匿名プロキシとして構築する方法についてまとめた、備忘録的なメモです。

注意
※このコンテンツのオリジナルは 2005年7月に当サイトにて公開された内容ですが、加筆して公開し直しました。

なお、ここで言うプロキシ=代理サーバとは、基本的には HTTP/HTTPS (WEB)のことです。ftp が通るものなどもあると思います。SOCKSなどは含みません。

 

» 公開されているプロキシサーバ

http://www.cybersyndrome.net/ に自動的にオープンプロキシになっているサーバがリストアップされています。匿名プロキシもリストにあります。

このリストで赤色になっているプロキシは、基本的に匿名です。匿名というのは、そのプロキシを使っている人の IP アドレスなどを接続先に通知しない上、プロキシ特有の環境変数を付加しないタイプのプロキシのことです。(プロキシ・サーバの設定によっては、access ログが残るので、最初の踏み台プロキシはゾンビになってる=乗っ取られてるPCを使って、多段にして身元を分かりにくくするか、access.log を none に変更してしまうなど、悪い人は小細工をいっぱいしますね。)

匿名ではないプロキシの場合には、接続元の IP アドレスやプロキシ経由でアクセスしていることなどがサーバ側へ伝わるため、キャッシュサーバとして利用するならともかく、身元を隠したい場合には使用をオススメできません。

 

» 学校や企業では

ちなみに、学校や企業では透過型プロキシと言って、IEなどのブラウザ設定ではプロキシサーバを使っていないのに、実際はインターネットへの接続にプロキシサーバを使っている、という場合があります。この時のプロキシはたいてい匿名プロキシ的な設定がされている場合が多いです。

構築例としては、

  • 通信路にブリッジ接続しているプロキシ・サーバを挟む
  • WCCP を使って、80/tcp や 443/tcp ポート宛の通信をフック
  • 通信経路上で、Destination NAT を行い 80/tcp 等をフック

などの方法があります。

443/tcp は HTTPS 用の既定ポートですが、HTTPS のプロキシの場合、中間者攻撃と同じ手法を使うかそのまま 443/TCP を流すかはその会社のルールによって決まっていると思います。中間者攻撃と同じ方法を使えば、SSL通信でもプロキシで一旦復号して、内容のチェックが行えます。つまり、今サラっと書きましたが、SSL通信していても透過型プロキシでは、中間者攻撃と同じ方法を用いることで、原理的にはコンテンツ・フィルタリングすることは可能だったりします。


次のページ

 

関連するコンテンツ


コメントを残す


メモ - 以下の HTML タグと属性が利用できます。
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください