Wikipedia:Open proxy's (uitleg)

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
Overzicht beheerpagina's

Inleiding[bewerken]

Open proxies zijn er in vele maten en soorten. De gebruiker van Wikipedia, geregistreerd of niet, gebruikt meestal een open proxy om te voorkomen dat hij/zij op eenvoudige wijze geblokkeerd kan worden. Hoewel er valide redenen aangevoerd kunnen worden om van een of andere vorm van open proxies gebruik te maken, is dat voor het bewerken van Wikipedia in alle gevallen onnodig. Indien iemand toch hiervan gebruik maakt is het in de meeste gevallen redelijk te veronderstellen dat hier een potentiële troll of ongewenste sokpop achter zit.

Om die reden is geruime tijd geleden een project gestart om de situatie in kaart te brengen.


Terminologie[bewerken]

In de volgende uitleg wordt de volgende terminologie gebruikt:

http header
Iedere keer als er iets via het internet van punt A naar punt B, bestaat het bericht uit twee delen, de z.g. http header en de payload. De http header bevat tenminste informatie die bij normale post op de envelop gezet zou worden, zoals bestemming en afzender. De payload is de feitelijke inhoud van het bericht, zoals het verzoek om een pagina op te sturen of de inhoud van die pagina zelf.
Om open proxies op te sporen en te detecteren, is de informatie die in de http header zit essentieel. Deze informatie is voor een normale gebruiker van het internet onzichtbaar, tenzij speciale software wordt toegepast.
cliënt
De machine die iets initieert heet de cliënt. De machine die door ontvangst van een bericht geactiveerd wordt om iets te doen, heet de server.
proxy
Hoewel de fysieke verbinding tussen cliënt en server fysiek over vele schijven kan en zal lopen (via z.g. routers en switches), is het logischerwijs een directe verbinding. Het kan echter zijn dat er een andere machine (computer) als intermediair tussenzit. Dat is dan vaak een z.g. proxy(server). In de keten cliënt - proxy - server, ziet de server de proxy als afzender van het bericht. Het antwoord gaat daar ook naar terug.
Proxies worden veelvuldig gebruikt om interne netwerken met het openbare internet te verbinden.
open proxy
Een normale proxy is alleen door cliënten die op het interne netwerk zijn aangesloten te gebruiken. Er zijn allerlei uitzonderingen hierop.
Als de proxy echter ook te gebruiken is door een cliënt op het openbare internet, spreekt men van een open proxy.
Open proxies ontstaan om uiteenlopende redenen:
  • Bewust zo ingesteld
  • Foutieve configuratie van een normale proxy
  • Als gevolg van een virus in enigerlei vorm. Dit heten ook wel zombie computers.
sniffer
Een systeem (hardware en/of software) dat van een bepaalde computer het in en uitgaande internet verkeer monitort.

Soorten Open Proxies[bewerken]

Gewone Open Proxies[bewerken]

Transparant
Een transparante open proxy is de eenvoudigste vorm en biedt de minste privacy bescherming. Zo een proxy geeft het IP adres van de cliënt mee in de z.g. http header. Dat kan op meerdere manieren.
Anoniem
Bij een anonieme open proxy wordt het IP adres van de cliënt niet meegestuurd. Alleen een "sniffer" die bijvoorbeeld het ingaande en uitgaande IP verkeer van zo een proxy monitort is in staat achter het IP adres van de cliënt te komen.
Elite
Bij dit soort open proxies, ook wel "high anonymous" genoemd, wordt een andere proxy als intermediair gebruikt om de verbinding met de server te leggen. Voor een sniffer wordt het daarmee een stuk moeilijker het IP verkeer te monitoren.
Elite proxies kunnen altijd van dezelfde (al dan niet open) proxy als intermediair gebruikmaken, of van steeds wisselende. In het laatste geval ontstaat een soort netwerk met min of meer dezelfde eigenschappen als het TOR netwerk (zie hierna).

Exit Servers[bewerken]

Zoals hierboven aangegeven kan een Elite proxy gebruikmaken van een andere proxy om contact te maken met de server. Dit kan een enkele extra proxy zijn of meerdere, waarmee een keten van proxies ontstaat. Als deze keten ook nog eens varieert ontstaat een zeer hoge graad van anonimiteit van de cliënt.
Overigens dient bedacht te worden dat deze anonimiteit nog steeds betrekkelijk is. M.u.v. het TOR netwerk, waarvan bekend is dat die dat niet doen, is het voor elke andere proxy in de keten nog steeds mogelijk een database bij te houden van IP nummers.

Voor Wikipedia is van belang te weten wat het IP adres van de exit server is. Immers de Wikipedia servers zien alleen dat.

TOR
Dit is het meest bekende netwerk met de bedoeling anoniem op het internet te kunnen surfen. Om het te kunnen gebruiken is de installatie van een stukje software nodig. De verbinding tussen cliënt en server wordt opgebouwd via een willekeurige reeks van z.g. onion nodes (in feite dus semi-open proxies) om uiteindelijk via een z.g. exit node de laatste stap naar de server te maken.
De gebruiker van het netwerk kan zelf kiezen of hij/zij al dan niet een onion node en/of een exit node kan zijn.
In de praktijk blijken er op enig moment van de dag rond de duizend IP adressen een van deze of beide rollen te vervullen. Hiervan fungeert ongeveer de helft ook als exit server. De lijst is voortdurend aan verandering onderhevig.
Voor de bescherming van Wikipedia zijn alleen de IP adressen van de exit nodes van belang.
Soortgelijke netwerken
Naast TOR, zijn er soortgelijke netwerken, waarvan het bekendste CoDeeN (en) is. CoDeeN is een Content Distribution Network (CDN) gebouwd door Princeton University. CoDeeN biedt naast veel andere ook een soortgelijke functionaliteit als in het geval van TOR.
Voor Elite open proxies
Zoals hierboven aangegeven kunnen z.g. Elite proxies ook gebruikmaken van een stabiel of ad-hoc netwerk om daarmee een keten te bouwen van cliënt naar server.

Provider Proxies[bewerken]

Normaal
Er zijn internet providers die hun klanten de mogelijkheid bieden gebruik te maken van een proxy. Hiermee zou aan snelheid gewonnen (kunnen) worden.
Als zo een proxy juist geconfigureerd is, kunnen alleen klanten van die provider daar gebruik van maken.
Een provider kan een of meerdere proxies voor dit doel hebben. Het kan zijn dat de cliënt het IP adres van een van die proxies moet instellen in bijvoorbeeld de browser, het kan ook zijn dat de provider een mechanisme biedt waarbij van een pool van proxies gebruikgemaakt kan worden. AOL bijvoorbeeld heeft voor dit doel een 55.000 proxies in gebruik.
Het gebruik van een proxy van de provider is in het algemeen niet verplicht.
Safe surfen
Er zijn aanbieders die beogen het surfen op het internet veilig te maken. Daartoe moet de browser zodanig ingesteld worden dat die altijd de proxy van die aanbieder gebruikt. Bepaalde url's met bijvoorbeeld pornografie worden dan gefilterd.
Er zijn ook landen waarbij de providers verplicht worden om gebruik te maken van dit soort filters. Saoedi-Arabië is daar een voorbeeld van. Omdat in deze landen ook open proxies voorkomen die vanaf het hele internet benaderbaar zijn, promoveren de IP adressen van dit soort gateways zich automatisch tot exit server.
Gehackt
Hierboven staat in het kort beschreven hoe provider proxies zouden moeten werken. Het is echter niet uitgesloten dat dit soort proxies gehackt zijn.


Gewone Proxies[bewerken]

Voor de volledigheid ook een korte uitleg over gewone proxies.

Bedrijven / scholen e.d.
Bedrijven, scholen, universiteiten, e.d. maken veelvuldig gebruik van proxies. Het voordeel is dat maar 1 publiek IP adres benodigd is en het interne netwerk voorzien kan worden van een van de IP adressen die voor dit soort doeleinden gereserveerd zijn. Een IP adres als 192.168.0.xxx bijvoorbeeld komt waarschijnlijk op miljoenen machines voor.
Als de proxy juist geconfigureerd is, kan die alleen vanuit het interne netwerk gebruikt worden. In de praktijk blijkt dit echter niet altijd het geval. In een recent geval bijvoorbeeld ontstond een mailwisseling met de ICT beheerder van een school, die geblokkeerd was, nadat vastgesteld was dat er een open proxy gebruikt werd. Na enige mails heen en weer, bleek er inderdaad een foutje te zitten in een configuratie tabel in het systeem van de school.
Gehackt
Behalve dat configuratiefouten tot gevolg kan hebben dat een normale proxy ongewild open wordt, is ook gebleken dat dit soort proxies gehackt kunnen worden.

Draadloos[bewerken]

Open WLAN's
Van een aantal regio's in Europa is bekend dat daar privé initiatieven in ontwikkeling zijn om een ieder binnen het bereik van het netwerk draadloos toegang te bieden tot internet. Afgezien van de legitimiteit van dit soort projecten, is het netto effect hiervan voor Wikipedia te vergelijken met een open proxy.

Dit soort netwerken gebruikt in het algemeen ook meerdere vaste internet verbindingen en dus publieke IP adressen.

WLAN access points (hot spots)
<volgt>
UMTS/GPRS proxies
Wanneer gebruikgemaakt wordt van mobiele apparatuur om te surfen, wordt dynamisch een IP-adres uit een blok toegewezen. Een aantal van dit soort blokken zijn inmiddels in kaart gebracht.

CGI/PHP proxies[bewerken]

Anonymizers
Een anonymizer, ook wel CGI- of PHP proxy genoemd, is een website die het mogelijk maakt via proxies (een of meerdere) van die website te surfen. Deze proxies zijn gelijk te stellen aan de exit servers van open netwerken (zie hierboven).
Zombie CGI/PHP proxies
Sommige (meestal goedkope) webhosting providers hosten websites (meestal Apache/PHP configuraties), waar bij de installatie kennelijk - bewust of onbewust - een PHP (of CGI ?) proxy geconfigureerd wordt. Dergelijke websites hebben geen HTML pagina die voor dit doel gebruikt kan worden, maar kunnen via poortscanning wel opgespoord en misbruikt worden.

Detectie en verificatie[bewerken]

Het vinden van open proxies is een probleem dat gelijk staat met het zoeken naar een speld in een hooiberg. Er zijn ongeveer 3 miljard publieke IP adressen uitgegeven en er worden ook nog eens vele honderden poorten gebruikt om zo een open proxy aan te kunnen spreken.

Op het internet zijn talloze scanners actief, die alle mogelijke combinaties van IP adressen en poorten testen op dit fenomeen. De resultaten worden op uiteenlopende sites gepubliceerd.
Een flink aantal daarvan worden via een automatisch proces dagelijks gescand en de resultaten worden in een database opgeslagen. Bij zo een scan worden dagelijks tussen de 500 en 1000 nieuwe ip-poort combinaties aan de database toegevoegd. Het aantal gescande combinaties is echter enkele ordegroottes groter. Er zitten dus veel duplicaten en "oude" open proxies tussen.

Een ander proces, dat hele dagen (en nachten) doorloopt heeft als doel de open proxy eigenschap van zo een ip adres te verifiëren. Dat kan in een bevestiging resulteren, maar ook tot de conclusie leiden dat het nummer langere tijd geen open proxy meer is. Dat laatste kan meerdere oorzaken hebben (herstel foute configuratie, verwijdering virus, etc.). In feite is het onmogelijk met 100% vast te stellen dat een bepaald ip adres absoluut geen open proxy is of dat nooit geweest is. Maar na bijvoorbeeld 100 keer op willekeurige momenten niet in staat blijken om zelfs maar een connectie tot stand te brengen, rechtvaardigt toch wel de conclusie dat hier geen sprake (meer) is van een open proxy.

Een ander type scan verzamelt ip adressen van anons die ooit een bewerking op wikipedia hebben gedaan. Ook die ip adressen worden periodiek gescand op de eigenschap "open proxy" of niet. De "opbrengst" van dit soort scans is relatief niet zo groot, maar levert in een maand toch ruim 20 extra ip-poort combinaties die niet op een van de vele lijsten op internet voorkwamen.

Bij het verifiëren van de open proxy eigenschap van een ip adres wordt tevens gekeken of daar weer andere open proxies in cascade achter zitten. Dat levert de lijst van exit servers (niet te verwarren met TOR).

Eveneens periodiek worden beide hoofdstromen ip adressen (mogelijke open proxies enerzijds en ip adressen die een bewerking op wikipedia hebben gedaan anderzijds) via een aantal database queries tegen elkaar aangelegd. Dat is dan input voor het nader bekijken van de bijdragen van dat ip adres en zonodig het blokkeren.

Dit is slechts een zeer beknopte beschrijving van het proces "achter de schermen". Om evidente redenen is het bewust zo beknopt gehouden.

Blokkeringsbeleid[bewerken]

Blokkering van een open proxy van enigerlei type, kan preventief of reactief gebeuren.
Bij preventieve blokkering geschiedt deze ongeacht of het IP adres wel of geen bewerking heeft gedaan. Dit betreft de voor Wikipedia meest "gevaarlijke" proxies, die in de praktijk ook het lastigst te bestrijden blijken.
Bij reactieve blokkeringen wordt vooralsnog handmatig beoordeeld of blokkering noodzakelijk is en zo ja wat voor soort blokkering.

Preventieve blokkeringen worden automatisch uitgevoerd. Er wordt geen sjabloon op de GP of OP van de gebruiker gezet, maar de uitgevoerde blokkeringen worden in een raadpleegbare lijst gezet. Dit betreft voornamelijk exit servers, waarvan publicatie van de IP adressen voor potentiële trollen op andere wiki's geen waarde heeft.

Blokkering van een IP adres kan op meerdere manieren plaatsvinden. Mimimaal worden anonieme bewerkingen vanaf het betreffende IP adres geblokkeerd. Daarnaast kunnen vanaf dit IP adres bewerkingen door geregistreerde gebruikers wel of niet toegelaten worden. Tevens kan het aanmaken van nieuwe accounts vanaf zo een IP adres wel of niet toegelaten worden. De volgende tabel geeft hiervan een overzicht.


Type proxy Blokkering Geregistreerd
bewerken
toegestaan
Aanmaken
accounts
toegestaan
Opmerkingen
Gewone Open Proxies
Open Transparant reactief neen neen  
Open Anoniem reactief neen neen  
Open Elite reactief neen neen Voor de gebruikte exit node(s), zie hieronder
Exit Servers
TOR exit node preventief neen neen Lijst van geblokkeerde TOR exit servers;
Exit node ander netwerk preventief neen neen Lijst van geblokkeerde CoDeeN servers
Exit node voor Elite preventief neen neen Lijst van geblokkeerde exit servers
Provider Proxies
Provider proxy – normaal reactief ja neen Alleen bij gebleken vandalisme
Provider proxy – safe surfen preventief ja neen  
Provider – gehackt preventief neen neen  
Gewone Proxies
Bedrijven/scholen e.d. reactief ja neen Bij veelvuldig vandalisme (scholen e.d.)
Gewone proxies – gehackt reactief neen neen De beheerder meldt zich zonodig wel
Draadloos
Open WLAN preventief neen neen  
WLAN access point preventief ja neen Gebruikers kunnen via een andere internet aansluiting een account aanmaken
UMTS/GPRS preventief ja neen idem
Lijst van geblokkeerde IP adressen voor mobiel
Anders
Anonymizer preventief neen neen Lijst van geblokkeerde anonymizers
Zombie CGI/PHP proxies preventief neen neen Lijst van geblokkeerde webhosting ranges
Speciale gevallen preventief variabel neen Voor speciale gevallen (meestal ranges), zie
Open proxies - Speciale gevallen

Slotopmerkingen[bewerken]

  • De database van open proxies bevat ook IP adressen die niet door de IANA zijn vrijgegeven. Dit kan alleen maar doordat DNS servers op een of andere manier zijn gehackt.
  • Het kan natuurlijk zijn dat gebruikers die altijd geregistreerd werken maar dit via een van de hierboven vermelde proxy typen doen, door een blokkering op IP niveau getroffen worden. Omdat zulke gebruikers de mogelijkheid hebben om ook zonder tussenkomst van deze proxy verbinding met de Wikipedia servers verbinding te maken, zijn zij niet blijvend uitgesloten. Als ze hun PC zodanig hebben ingesteld dat ze standaard via een open proxy werken, weten ze ook hoe dit ongedaan is te maken.