аутентификация на веб-прокси — документация traffic inspector next generation 1.9.0

Основные способы и особенности аутентификации прокси

С развитием интернета появились основные виды прокси: http, https, socks – каждый из них имеет особенности в сети. Вводя имя, ключи пользователя и т.д. на сайтах, каждый раз происходит аутентификация прокси. Владея собственным блогом или интернет-магазином, можно вносить изменения и менять proxy на собственных серверах.

Аутентификация прокси-сервера

  1. По IP адресу. Настройка по ip-адресу уместна в ситуациях, где устройством пользуются постоянно. Прокси фиксирует пользователя компьютера, определяет трафик через уникальный адрес ПК. Такая аутентификация не подойдет для общественных и многопользовательских режимов, на работе с большим количеством людей.
  2. По логину и паролю. Прокси-сервер требует аутентификации через логин и пароль в случае с собственником одного компьютера. В данном режиме можно взаимодействовать с любыми сайтами, компьютерами и выходить во всемирную интернет сеть. Минус способа в удобствах пользования: везде приходится добавлять код в виде адреса прокси-сервера.
  3. Требуется прокси аутентификация в способе пользовательского агента. Выбирая конкретные браузеры для работы,обеспечьте расширенный доступ. Соответственно, сможете влиять на расстоянии на использование тех или иных программ, ставить условия пользования.
  4. По MAC-направлению сетевого адаптера. Существует функция защиты сети с динамическим адресом, который постоянно меняет номер.
  5. Можно воспользоваться малоизвестным, но надежным способом аутентификации посредством учетной записи Windows Server (Active Directory).

Настройка LDAP коннектора¶

Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте следующие настройки:

Установка плагина os-proxy-sso¶

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку напротив плагина os-proxy-sso для его установки.

После установки плагина os-proxy-sso, в разделе Службы -> Веб-прокси появляется подраздел Технология единого входа (SSO).

Похожее:  Настройка динамических абонентов и системы Radius

Автоматическая настройка аутентификации по протоколу Kerberos¶

7.1 Включите Single Sign On

7.2 Настройте аутентификацию по протоколу Kerberos

7.3 Проверьте правильность настроек.

7.4 Примените настройки.

Для этого либо в разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, либо в разделе Службы->Веб-прокси->Администрирование нажмите кнопку Применить

Android

Первый способ для устройств с Андроид подходит при наличии root-прав («прав суперпользователя»):

  1. Установить специальное приложение – например, ProxyDroid.
  2. Находясь в настройках приложения, указать данные прокси-сервера.
  3. Выбрать точки Wi-Fi, с которыми будет работать прокси.
  4. Активировать автоматическое подключение и сохранить изменения.android

При отсутствии «прав суперпользователя» следует перейти сначала к настройкам телефона или планшета, затем – к разделу Wi-Fi. Затем – указать нужную сеть, кликнуть по «Изменить» и выбрать дополнительные настройки. Здесь нужно найти пункт прокси и вариант «вручную», ввести все необходимые данные и сохранить.

Chrome

Для настройки прокси-сервера браузера Google Chrome нужны такие действия:

  1. Очистить историю браузера – нажать Ctrl H, выбрать очистку и подтвердить удаление данных.
  2. Ввести в поисковой форме настроек браузера Chrome слово «прокси».
  3. Выбрать пункт «Открыть настройки прокси-сервера для компьютера».
  4. Найти в списке пункт ручных настроек и перевести тумблер в положение «Вкл.».

На последнем этапе вводятся данные прокси-сервера и сохраняются изменения. Перед сохранением можно выбрать дополнительные опции – запретить использование Google прокси в локальной сети или указать список сайтов, где он не будет активен.

Internet explorer

Для стандартного для многих ОС Windows веб-обозревателя Internet Explorer процедура настройки выглядит следующим образом:

  1. Нажать Ctrl Shift Del.
  2. Поставить галочки на нужных пунктах и кликнуть «Удалить».
  3. Нажать на значок в виде шестеренки и перейти к свойствам браузера.
  4. Выбрать меню подключения и кликнуть по «Настройке сети».
  5. Отметить пункт «Использовать прокси сервер для локальных подключений».
  6. Ввести адрес и порт прокси-сервера, после чего – согласиться с применением настроек.

Mac os

На компьютере или ноутбуке с MacOS прокси меняется с помощью сетевых настроек:

  1. Открыть меню Apple.
  2. В разделе системных настроек перейти к пункту «Сеть».
  3. Выбрать используемую сетевую службу – проводную или Wi-Fi.сеть
  4. Перейти к дополнениям.
  5. Открыть вкладку прокси.вкладка

Mozilla firefox

Для Firefox следует выполнить такие действия:

  1. Очистить историю браузера.
  2. Перейти к настройкам браузера.
  3. Найти пункт прокси, введя это слово в строке поиска.
  4. Нажать кнопку «Настроить» и выбрать ручную настройку.
  5. Указать прокси-серверы для выбранных протоколов.

Перед сохранением данных можно указать сайты, где не будет использоваться прокси-сервер. Здесь же отмечаются галочками дополнительные параметры прокси, после чего нажимается «ОК».

Opera

Для веб-обозревателя Opera придётся сделать следующее:

  1. Очистить историю браузера – нажать Alt P, найти пункт очистки и удалить данные.
  2. В форме поиска указать «прокси».
  3. Открыть настройки прокси-сервера.
  4. Ввести все необходимые данные.

Для 10-й версии Windows 7 выглядят следующим образом:

  1. Открыть Панель управления (проще всего – через «Пуск»).
  2. Найти «Свойства браузера (обозревателя)» через поисковую форму.
  3. Открыть «Подключения» и выбрать настройки сети.
  4. Отметить параметр «Использовать прокси-сервер для локальных подключений».
  5. Кликнуть по «Дополнительно», ввести данные прокси-сервера, подтвердить изменения.w7

Для 8-й версии инструкция по установке системных настроек прокси будет следующей:

  1. Нажать на клавиатуре Win C.
  2. Перейти к настройкам.
  3. Нажать кнопку изменения настроек.
  4. Перейти к изменению параметров сети.
  5. Открыть настройки прокси-сервера.
  6. Найти пункт настройки прокси вручную и переместить выключатель в положение «Вкл.».
  7. Ввести порт и IP, указать ресурсы, где не будет применяться прокси, сохранить изменения.

Для настройки прокси-сервера Windows 10 следует выполнить такие этапы:

  1. Найти нужный раздел, введя «прокси» в строке поиска панели задач.
  2. Перейти к параметрам прокси-сервера.
  3. Найти ручную настройку прокси.
  4. Перевести в положение «Вкл.» тумблер включения прокси-сервера.
  5. Ввести порт и IP. При необходимости указать сайты-исключения.
  6. Сохранить изменения.

Аутентификация по локальной базе пользователей¶

Локальная база пользователей хранится на самом устройстве TING.

Метод Локальная база требует наполнения локальной базы пользователей. Поддерживаются учетные записи пользователей и группы пользователей.

Группа служит для логической группировки нескольких пользователей. Права пользователя наследуются от группы, поэтому группы – это способ упростить управления набором пользователей.

В браузере

Для любого веб-обозревателя можно настроить отдельный прокси, выбрав его из списка бесплатных proxy-серверов на сайте Hide My или купив. В качестве примера стоит познакомиться с особенностями процедуры для самых распространённых браузеров – Chrome, Opera, Firefox и Explorer.

Как и где выбрать сервер

При выборе подходящего прокси-сервера следует учитывать такие факторы:

  1. Репутация сервиса, с которой можно познакомиться по отзывам пользователей на специально предназначенных для этого ресурсах.
  2. Количество серверов, которые предлагает сервис. Чем их больше, тем проще выбрать подходящий прокси-сервер, который для увеличения скорости доступа должен находиться как можно ближе к реальному местоположению пользователя.
  3. Наличие подробной информации обо всех серверах. О каждом сервис должен предоставить сведения, будет ли трафик зашифрован или нет, какие используются протоколы и технологии.
  4. Сбор данных во время использования. Бесплатные прокси обычно собирают информацию о своих пользователях. Платные и престижные сервисы, в большинстве случаев, сохраняют конфиденциальность клиентов.
  5. Механизмы, которые обеспечивают безопасность. Есть сервисы, шифрующие передаваемую информацию, блокирующие рекламные баннеры и вредоносные сайты.
  6. Стоимость услуг. Можно выбрать бесплатный прокси, но его работоспособность не гарантируется. Поэтому пользоваться лучше услугами платного сервиса.

На телефоне или планшете

Обеспечить повышенную анонимность и безопасность можно не только на ПК, но и на смартфонах или планшетах. Из-за того, что самые распространённые мобильные платформы – Android и iOS, стоит рассмотреть способы включения прокси на гаджетах с этими операционными системами.

Настройка dns¶

Настройка DNS аналогична настройке при работе с одним контроллером домена.

Создайте на доменном DNS-сервере нужные ресурсные записи для узла TING.

На устройстве TING необходимо добавить переопределение домена MOD.LOC на соответствующий DNS сервер, обслуживающий данные зоны.

При использовании на устройстве TING DNS сервера Unbound DNS, необходимо в меню Службы -> Unbound DNS -> Переопределение в секции Переопределение домена добавить переопределение прямой и обратной зоны для второго домена домена:

_images/sso_dual_unbound_dns.png

Настройка ldap-коннектора¶

По аналогии схемы с одним доменом добавляем в Система -> Доступ -> Серверы коннектор для домена mod.loc

Настройка домена active directory.¶

  • Создайте на доменном DNS-сервере нужные ресурсные записи для узла TING.

Настройка компьютера пользователя.¶

На компьютере пользователя, подключенном к домену, в браузере Internet Explorer откройте Настройки -> Подключения -> Параметры сети и задайте настройки прокси-сервера [4] согласно изображения:

_images/sso_ie_settings.png

Настройка на компьютере

Для компьютеров и лэптопов включить прокси Windows 10 или 7, macOS и Linux можно в настройках системы. Для этого не понадобится скачивать дополнительное программное обеспечение. А уровень безопасности и анонимности увеличится не для одной программы, а для любой, включая браузер.

Настройка прокси

В качестве примера буду расматривать Git Bash старой версии – настроим его работу через прокси.

Итак, после успешной установки, в системе появится новый системный сервис “Cntlm Authentication Proxy” пока не запущенный, но автоматически стартуемый. Для того, чтобы схема на рисунке ниже полностью заработала, необходимо корректно заполнить настройки ini файла (у меня он лежит в директории “C:Program FilesCntlm”).

Рассмотрим опции файла cntlm.ini

В официальном справочном руководстве есть помощь по всем флагам. И я советую прочитать его. Также стоит взглянуть на ссылки в конце поста. Но давайте разберем параметры необходимые для работы с сервисом.

Для варианта с NTLM используются поля PassLM PassNT (таким образом оба должны быть раскомментированы и проинициализированы). В случае с авторизацией NTLM2SR используется только PassNT. Есть также другие варианты:

В случае, когда непонятно какой тип протокола NTLM используется, есть опция “NTLM dialect detection” запуск которой позволит определеить существующие настройки. Чтобы ее запустить запустите cntlm.exe с ключами:

  • -M — как раз опция “NTLM dialect detection
  • -I — опция интерактивного ввода пароля и ее следует запускать только с консоли, причем значения пароля в конфигурационном файле либо задаваемых с командной строки игнорируются.

Так как я знал какой тип авторизации использовать, то сам ее не запускал, но на выходе команда должна вывести что-то типа:

Это означает, что прокси использует протокол NTLMv2.

Есть еще один вариант получения хеша с пароля. При этом следует вызвать cntlm.exe с ключами:

После выполнения команды

и ввода пароля, программа выведет на консоль нечто вроде:

Настройка устройства ting с несколькими контроллерами доменов¶

К приведенной выше схеме добавим еще один домен MOD.LOC со следующими настройками:

Настройка DNS

Настройка DNS аналогична настройке при работе с одним контроллером домена.

Создайте на доменном DNS-сервере нужные ресурсные записи для узла TING.

На устройстве TING необходимо добавить переопределение домена MOD.LOC на соответствующий DNS сервер, обслуживающий данные зоны.

При использовании на устройстве TING DNS сервера Unbound DNS, необходимо в меню Службы -> Unbound DNS -> Переопределение в секции Переопределение домена добавить переопределение прямой и обратной зоны для второго домена домена:

_images/sso_dual_unbound_dns.png

Синхронизация времени

Удостоверьтесь, что время на устройстве TING и обоих контроллерах домена синхонизировано. Для этого лучше всего настроить синхронизацию времени, как устройства TING, так и контроллеров доменов из одного источника.

Настройка LDAP-коннектора

По аналогии схемы с одним доменом добавляем в Система -> Доступ -> Серверы коннектор для домена mod.loc

Настройки веб-прокси

В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Перенаправляющий прокси -> Настройка Аутентификации, в поле Метод аутентификации укажите ldap-коннектор для домена mod.loc

Пройдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладку домена mod.locАутентификация по протоколу Kerberos:MOD-LOC.

По аналогии со схемой с одним доменом выполните автоматическую настройку и проверку аутентификации по протоколу Kerberos второго домена mod.loc

Настройка завершена.

Настройка устройства ting.¶

1. Настройка имени устройства и DNS

2. Настройка сетевого времени

3. Настройка LDAP коннектора

Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте следующие настройки:

4. Проверка LDAP коннектора

Настройки веб-прокси¶

В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Перенаправляющий прокси -> Настройка Аутентификации, в поле Метод аутентификации укажите ldap-коннектор для домена mod.loc

Пройдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладку домена mod.locАутентификация по протоколу Kerberos:MOD-LOC.

По аналогии со схемой с одним доменом выполните автоматическую настройку и проверку аутентификации по протоколу Kerberos второго домена mod.loc

Настройка завершена.

Определение и применение

Прокси-серверами называются компьютеры, выступающие посредниками между ПК, ноутбуком или мобильным устройством и целевым сервером. Так же, как и файрвол, прокси находятся между сетью и локальным компьютером. Но, в отличие от брандмауэра, предназначенного для фильтрации трафика, позволяет решать следующие задачи:

  • повышение конфиденциальности пользователей при посещении веб-страниц;
  • защита компьютера, лэптопа или мобильного устройства от сетевых (в том числе, DoS) атак;
  • повышение скорости передачи данных;
  • обеспечение доступа к сайтам, открытым только для компьютеров из определённых локаций;
  • открытие доступа к заблокированным по какой-то причине ресурсам.

Прокси обеспечивает подмену реального IP, который прекращает определяться сайтами и специальными программами. Для прохождения трафика начинают использоваться дополнительные серверы с кэшированными данными, а иногда – и с механизмами повышения защиты.

Плюсы и минусы

Основные преимущества технологии:

  1. Анонимность. Сайты и программы не узнают реального местоположения пользователя, прекращают действовать блокировки для доступа из определённой страны. А используя прокси-сервер для локальных подключений, обходят запреты корпоративных сетей.
  2. Повышение уровня защиты компьютеров, лэптопов или мобильных устройств.
  3. Кэширование данных, позволяющее сэкономить трафик и ускорить загрузку. При открытии уже посещённой раньше страницы информация получается из кэша.
  4. Возможность геолокации коммерческих ресурсов. Часть крупных международных брендов показывает разную информацию для пользователей из каждой страны или региона.
  5. Возможность обойти лимиты на совершение определённых действий, включая массовую регистрацию аккаунтов.
  6. SEO-мониторинг текстов, внешних ссылок и трафика своего сайта и ресурса конкурентов.
  7. Введение ограничений для пользователей сети. Руководство компаний может поставить запрет доступа к определённым сайтам для повышения эффективности работы своих сотрудников.

У прокси есть и несколько минусов, включая риск кражи данных пользователя общественных бесплатных сервисов. Минус платных сервисов – высокая цена. Потому при выборе подходящего варианта стоит обратить внимание на лучшее соотношение возможностей и качества.

А возможность использования бесплатных сервисов рекомендуется рассматривать только в крайнем случае.

Проверка результата.¶

Откройте в настроенном веб-браузере какую-либо страницу интернет.

Если все предварительные настройки были выполнены корректно, запрошенная страница должна отобразиться.

На устройстве TING перейдите в раздел Службы-> Веб-прокси-> Журнал доступа

В журнале доступа вы должны будете увидеть записи, подобные следующим:

что будет свидетельствовать о корректно настроенной SSO аутентификации с использованием Kerberos в Active Directory.

Работа cntlm сервиса

Итак, все необходимые опции настроены, можно перезапустить сервис и попробовать поработать с настроенными программами. Упрощенная схема работы с прокси с использованием cntlm выглядит так:

На рисунке отчетливо видно место которое занимает сервис cntlm – его роль в перенаправлении запросов от программ к серверу. После получения запроса (request) со стороны клиента (Git Bash), cntlm первым запросом пытается получить анонимный (anonymous request) доступ. В случае если это не проходит, следующий запрос уже с данными для аутентификации (NTLM credentials).

Помимо упомянутых, cntlm обладает рядом функций, не упомянутых тут:

  • прозрачное TCP/IP тунеллирование (transparent TCP/IP port forwarding (tunneling))
  • поддержка интерфейса SOCKS5

И другие фичи, о которых можно прочитать из руководства и хелпа.

Таким образом, если раньше настройка прокси была: proxy_ip:proxy_port, то теперь для программа она изменится: localhost:3128 (если порт не изменен). Например, так можно сменить настройки в Git Bash:

Или в случае с классической linux’ой консолью:

Кстати, для тех кто забыл, вот так можно тормозить и запускать сервис в консоли:

Синхронизация времени¶

Удостоверьтесь, что время на устройстве TING и обоих контроллерах домена синхонизировано. Для этого лучше всего настроить синхронизацию времени, как устройства TING, так и контроллеров доменов из одного источника.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *