Protocolo de detección automática de proxy web

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 5 de octubre de 2020; las comprobaciones requieren 12 ediciones .

El protocolo de detección automática de proxy web (WPAD) es un método utilizado por los clientes para determinar la ubicación (URL) de un archivo de configuración mediante tecnologías DHCP y/o DNS. Una vez que se determina la ubicación del archivo de configuración y se obtiene el archivo en sí, el cliente lo usa para determinar qué proxy usar para cada URL en particular. El protocolo WPAD solo define un mecanismo de búsqueda de archivos de configuración y, con él, el formato de archivo de configuración más utilizado fue desarrollado por Netscape en 1996 para Netscape Navigator 2.0 . [1] El protocolo WPAD fue descrito por primera vez por un consorcio de Inktomi Corporation , Microsoft Corporation , RealNetworks, Inc. y Sun Microsystems, Inc. . Posteriormente, el protocolo WPAD se documentó oficialmente en INTERNET-DRAFT, que finalizó en diciembre de 1999. [2] El protocolo WPAD solo es compatible con navegadores más antiguos. Y por primera vez se utilizó en Internet Explorer 5.0.

Descripción

Para que todos los navegadores de una organización se configuren sin configurar manualmente cada navegador, las siguientes dos tecnologías deben funcionar:

• Estándar de configuración automática de proxy PAC): se debe crear y poner a Varios detalles de esto están cubiertos en varios artículos;
• Estándar del protocolo de detección automática de proxy web ( WPAD ): debe asegurarse de que todos los navegadores de su organización puedan encontrar este archivo sin especificar manualmente su ubicación. Este artículo describe este proceso.

El estándar WPAD describe dos métodos alternativos para distribuir la información de ubicación del archivo de configuración a los administradores del sistema mediante el Protocolo de configuración dinámica de host (DHCP) o el Sistema de nombres de dominio (DNS).

Antes de que se cargue la primera página, el navegador usa esta tecnología para enviar una solicitud DHCPINFORM al servidor DHCP local y usa la URL resultante de la opción de respuesta del servidor WPAD. Si el servidor DHCP no puede proporcionar la información necesaria, se utiliza DNS. Si, por ejemplo, el nombre DNS de la computadora es pc.department.branch.example.com , el navegador intentará acceder a las siguientes URL para encontrar el archivo de configuración:

• http://wpad.departamento.sucursal.ejemplo.com/wpad.dat
• http://wpad.branch.example.com/wpad.dat
• http://wpad.ejemplo.com/wpad.dat
• http://wpad.com/wpad.dat (tenga en cuenta la nota de seguridad)

(Estos son solo ejemplos de URL)

Notas

• DHCP tiene prioridad sobre DNS: si DHCP proporciona una URL de WPAD, no se utiliza DNS. Firefox no usa DHCP, solo DNS .
• La consulta de DNS descarta la primera parte del nombre de dominio (que describe el nombre del cliente) y lo reemplaza con wpad . Luego hay un "movimiento hacia arriba" en la jerarquía de los nombres de dominio hasta que se encuentra la dirección de la ubicación del archivo de configuración o se deja el dominio de la organización.
• El navegador intenta determinar el dominio de la organización e intenta sustituir los nombres de dominio como 'company.com' o 'university.edu' pero no 'company.co.uk' (tenga en cuenta la nota de seguridad).
• La consulta de DNS asume que el nombre del archivo de configuración siempre es wpad.dat . Cuando se usa el protocolo DHCP, se puede usar cualquier URL válida. Históricamente, el archivo PAC generalmente se llama proxy.pac (por supuesto, este nombre se ignora cuando se usa el método DNS).
• El tipo MIME del archivo de configuración debe ser exactamente "application/x-ns-proxy-autoconfig". Lea Configuración automática de proxy para obtener más detalles.
• Actualmente, solo Internet Explorer y Konqueror admiten ambos métodos (DHCP y DNS), el método DNS es compatible con la mayoría de los navegadores modernos.

Requisitos

Para que WPAD funcione, se deben cumplir las siguientes condiciones:

• Al usar DHCP, el servidor debe proporcionar la opción 252 "local del sitio" ("auto-proxy-config") con un valor de cadena como "http://xxx.yyy.zzz.qqq/wpad.dat" (sin comillas, por supuesto).), donde xxx.yyy.zzz.qqq es la dirección del servidor web (en cualquier forma: IP o DNS ).
• Cuando se usa DNS, se requiere una entrada de nombre de host WPAD.
• El host WPAD debe poder servir páginas web .
• En ambos casos, el servidor web debe configurarse para servir archivos .dat con tipo MIME "application/x-ns-proxy-autoconfig" .
• El archivo llamado wpad.dat debe estar ubicado en el host WPAD en el directorio raíz .
• Puede encontrar un archivo PAC de ejemplo en Proxy auto-config .
• Tenga cuidado al configurar el servidor WPAD en un entorno de alojamiento virtual . Cuando ocurre la detección automática de proxy, Internet Explorer envía un encabezado como "Host: <dirección IP>" y Firefox envía un encabezado como "Host: wpad". Todo esto puede generar un comportamiento impredecible del servidor, por lo que se recomienda que el archivo wpad.dat se encuentre en el host virtual predeterminado.
• Internet Explorer versión 6.0.2900.2180.xpsp_sp2_rtm consulta el servidor web para "wpad.da" en lugar de "wpad.dat".
• A partir de Windows 2008 y las actualizaciones de seguridad posteriores, "MS09-008 para servidores DNS y WINS de Windows Server 2003" utilizan la  tecnología de lista de bloqueo de consulta global . Archivado el 1 de julio de 2015 en Wayback Machine . Está prohibido por la fuerza resolver WPAD, direcciones ISATAP en DNS para contrarrestar ataques para falsificar el servidor WPAD.

Seguridad

Junto con la capacidad de configurar muy fácilmente todos los navegadores de una organización a la vez, el protocolo WPAD debe usarse con mucho cuidado: los errores simples pueden abrir la puerta para que los atacantes realicen cambios a través de los navegadores de los usuarios:

• Un atacante dentro de la red puede lanzar un servidor DHCP que ofrecerá un script PAC falso.
• Si el dominio de la organización es 'company.co.uk' y el archivo http://wpad.company.co.uk/wpad.dat no existe, los navegadores intentarán acceder a http://wpad.co.uk/wpad .dat. El navegador por sí mismo no puede determinar cuándo abandona el dominio de la organización. Un ejemplo ilustrativo - http://wpad.com/ Archivado el 19 de julio de 2006 en Wayback Machine .
• Lo mismo se aplica a http://wpad.org.uk. Por ejemplo, si utiliza el archivo wpad.dat de dicho sitio, puede redirigir todo el tráfico de usuarios a un sitio de subastas en línea.
• Los ISP que usan técnicas de secuestro de DNS pueden detener una consulta WPAD DNS al redirigir a los usuarios a un sitio que no sea proxy.

A través de un archivo WPAD, un atacante puede redirigir los navegadores de los usuarios a su propio proxy, interceptar la transmisión y modificar todo el tráfico www. A pesar de realizar un cambio simple de Windows a la administración de WPAD en 2005, solo protege contra problemas al usar el dominio .com. La presentación de la trama de Kiwicon muestra en qué se puede convertir el descuido con respecto incluso a una pequeña vulnerabilidad, cuando un simple dominio en Nueva Zelanda se registró para pruebas y las solicitudes de proxy de todo el mundo comenzaron a llegar en unos pocos segundos.

Por supuesto, el administrador debe asegurarse de que los usuarios puedan confiar en todos los servidores DHCP de la organización y que todos los posibles dominios WPAD de la organización estén bajo control.

Además, si el dominio wpad no está configurado para la organización, los usuarios pueden ir a algún dominio wpad externo y usarlo para la autoconfiguración. El registro de un subdominio de este tipo en un país específico permitirá que se lleven a cabo ataques de intermediarios en una gran parte del tráfico de Internet de todo el país, si además instala un servidor proxy y envuelve todo el tráfico en él.

Y, por último, cabe mencionar que el método WPAD en realidad busca y descarga el archivo JavaScript, después de lo cual lo ejecuta en el navegador, donde, sin embargo, JavaScript ya puede estar deshabilitado en la configuración.

Notas

1. ↑ Formato de archivo de configuración automática de Navigator Proxy . Documentación de Netscape Navigator (marzo de 1996). Consultado el 29 de septiembre de 2009. Archivado desde el original el 18 de diciembre de 2006. (indefinido)
2. ↑ Gauthier, Paul; Josh Cohen , Martin Dunsmuir , Charles Perkins . INTERNET-PROYECTO Protocolo de detección automática de proxy web . IETF (28/7/99). Fecha de acceso: 15 de octubre de 2009. Archivado desde el original el 23 de abril de 2012. (indefinido)

Enlaces

• Stefaan Pouseele. Comprensión del proceso de configuración automática del servidor proxy web y del servidor de seguridad en ISA Server 2004 (vínculo inactivo) . Red Line Software (11 de junio de 2005). Consultado el 14 de mayo de 2010. Archivado desde el original el 13 de marzo de 2016. (Ruso) 
• de Boyne Pollard, Jonathan Configuración automática del servidor proxy HTTP en navegadores web . Respuestas frecuentes (2004). Archivado desde el original el 23 de abril de 2012. (indefinido)
• Chris Paget. WPAD - Atacando al Proxy (2007). Archivado desde el original el 23 de abril de 2012. (indefinido)
• David W. Hankins. CÓMO: WPAD (2008). Archivado desde el original el 23 de abril de 2012. (indefinido)

• IETF 1999: Protocolo de detección automática de proxy web Archivado desde el original el 23 de abril de 2012.  — Borrador de Internet caducado.
• http://wpad.com/ Archivado el 19 de julio de 2006 en Wayback Machine , donde se dirige todo el tráfico WPAD sin igual de los dominios .com.
• Wiki del grupo de usuarios de Waikato Linux 2004: WPAD
• FindProxyForURL.com Archivado el 12 de abril de 2010 en Wayback Machine  : recursos de configuración automática de proxy (archivo PAC y ejemplos de WPAD)
• Notas de configuración de proxy para Konqueror
• Proxy automático para Windows Herramienta de configuración de proxy totalmente automática para Internet Explorer y Firefox basada en perfiles de ubicación de red (freeware)
• Navigator Proxy Auto - Formato de archivo de configuración