Begriff
Proxy (Forward Proxy)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Ein Mittelsmann.
Du (in der Firma) willst auf facebook.com.
Der Chef hat das gesperrt.
Du verbindest dich mit einem Proxy-Server.
Du sagst: "Hol mir bitte facebook.com".
Der Proxy holt die Seite und gibt sie dir.
Für Facebook sieht es so aus, als wäre der Proxy der Besucher. Deine IP bleibt geheim.
Für den Chef sieht es so aus, als würdest du nur mit dem Proxy reden (wenn er verschlüsselt ist).
Merksatz: Ein Server, der als Vermittler zwischen einem Client und einem Zielserver agiert, oft um Anonymität zu gewährleisten, Inhalte zu filtern oder Daten zwischenzuspeichern (Caching).
In Firmen: Zwangsproxy. Jeder Mitarbeiter muss durch den Proxy gehen. Der Proxy:
- Scannt auf Viren.
- Blockiert Pornografie.
- Loggt, wer wie lange surft.
Privat: Um Geoblocking zu umgehen ("Dieser Inhalt ist in deinem Land nicht verfügbar").
1. Transparent vs. Non-Transparent
- Non-Transparent: Du musst im Browser Einstellungsmenü die Proxy-IP eintragen.
- Transparent: Der Router fängt heimlich deinen Traffic (Port 80) ab und leitet ihn durch den Proxy. Du merkst es gar nicht. (Schwer bei HTTPS).
2. HTTPS Inspection (SSL Bump)
Das Proxy-Problem: HTTPS ist verschlüsselt. Der Proxy sieht nicht, ob du auf Google oder Pornhub bist (er sieht nur die IP/Domain).
Lösung in Firmen: Man-in-the-Middle.
Der Proxy generiert on-the-fly ein gefälschtes Zertifikat für google.com.
Da der Firmen-PC dem Root-Zertifikat des Proxys vertraut (per Group Policy), klappt das.
Der Proxy entschlüsselt, scannt, verschlüsselt neu.
Privatsphäre = Null.
3. SOCKS5
HTTP-Proxies können nur Webseiten.
SOCKS (Socket Secure) ist ein dummer Proxy auf TCP-Ebene.
Er kann alles weiterleiten: Email, FTP, Torrent, SSH.
Wird oft genutzt, um Firewalls zu tunneln (SSH Dynamic Forwarding -D).
1. HTTP CONNECT Method
Ein normaler Webseiten-Request lautet GET /index.html.
Wie funktioniert das genau, wenn du SSL (HTTPS) durch einen Nicht-Transparenten Forward-Proxy leiten lässt?
Dein Browser sendet kein HTTP GET an den Proxy, sondern ein spezielles Kommando:
CONNECT facebook.com:443 HTTP/1.1
Der Firmen-Proxy stellt daraufhin eine stumpfe, leere TCP-Verbindung zu facebook.com auf Port 443 her. Steht die TCP-Pipe, sendet der Proxy dem Browser 200 Connection Established.
Ab dieser Millisekunde ist der Proxy blind und fungiert als rohes Rohr. Der Browser injiziert nun den SSL-Handshake durch die Röhre in den Zielserver und der gesamte Payload wird hochverschlüsselt transferiert. So tunnelt ein Forward Proxy problemlos alle HTTPS/TLS Daten ohne SSL-Zertifikate brechen zu müssen.
2. DNS Leakage am Proxy
Ein massiver Privatsphäre-Fehler (besonders bei SOCKSv4 oder falsch konfigurierten HTTP-Proxies in Browsern) sind DNS-Leaks.
Wenn du proxy_on klickst und dann netflix.com aufrufst, muss der Computer wissen, welche IP Netflix hat. Viele Browser sind dumm konfiguriert und schicken die DNS-Anfrage am Proxy vorbei über den lokalen Heim-Router/ISP auf Port 53 ins Netz. Danach sagen sie dem Proxy: "Verbinde mich mit 1.2.3.4".
Netflix ist blockiert, aber der Internet-Provider (oder Staat) hat den Leak voll mitgeloggt: "Aha, er wollte nach Netflix!". Gute Proxy-Konfiguration (wie SOCKS5h) forciert Remote DNS Resolution: Er packt die Text-Domain "netflix.com" ins Proxy-Paket und zwingt den fernen Proxy in Russland, die Namensauflösung vorzunehmen, sodass der heimische ISP absolut null Meta-Daten ausliest.
3. IP Spoofing Prevention via X-Forwarded-For (XFF)
Wenn du hinter einem Proxy bist, sieht der Ziel-Server nur die IP des Proxy. Das war historisch grauenhaft, weil Forum-Bans unmöglich waren – sperrt der Admin einen Troll, der hinter einem AOL-Proxy saß, waren 10.000 andere AOL-User im Forum mit-gebannt.
Der defacto Industriestandard ist der HTTP-Header X-Forwarded-For.
Ein gutwilliger Forward-Proxy klebt an den GET Request heimlich die Zeile X-Forwarded-For: <Echte_Haus_IP_des_Users> an.
Der Server (z.B. Wikipedia) schaut in diesen Header, loggt die echte Haus-IP und kann dediziert den Hacker bannen ohne das Proxy-Kollektiv zu attackieren. Das ist auch der Grund, warum du niemals anonym surfst, wenn du einen Gratis-Proxy im Netz nutzt, es sei denn dieser ist explizit als "Elite/High-Anonymous Proxy" deklariert (welcher den XFF-Header hardcodiert strippt).
Quick-Check
Proxy vs. VPN?
Proxy schützt meist nur den Browser (App-Ebene). VPN schützt den ganzen PC (alle Programme). VPN ist verschlüsselt, Proxy oft nicht.Squid?
Der berühmteste Linux-Proxy. Diente früher primär zum Cachen (Webseiten speichern, damit sie beim zweiten Mal schneller laden). Heute ist Caching dank HTTPS und dynamischem Web fast tot.Open Proxy?
Ein Proxy ohne Passwort im Internet. Hacker nutzen diese "Zombies", um Angriffe zu verschleiern. Wirst du erwischt, landest du auf Blacklists.