XFF project/hu

A Wikipédia abszolút nyitottsága túl szépen hangzik ahhoz, hogy igaz legyen - hogyan lehet megengedni, hogy bárki szerkesszen egy weboldalt, anélkül, hogy be kellene jelentkeznie? Vajon nem fogják-e elárasztani a megszállott, gyerekes felhasználók, akik megpróbálják összefirkálni a graffitikkel, hogy fontosnak érezzék magukat? Nem fognak-e az emberek robotokat beállítani, hogy folyamatosan visszaállítsák a cikket a kívánt verzióra, a nap 24 órájában?

Bizonyos értelemben túl szép ahhoz, hogy igaz legyen. A Wikipédia alapvetően az IP-cím-alapú hozzáférés-szabályozásra támaszkodik annak érdekében, hogy az IP-címük letiltásával megakadályozható legyen a szerkesztés, és hogy az egyének nehezen tudjanak újabb IP-címeket szerezni.

Ez a modell veszélyeket rejt magában. A nyílt proxyk például lehetővé teszik a technikailag alkalmas felhasználók számára, hogy több ezer IP-címből álló forrásból szerkesszenek. A még alkalmasabb támadók pedig távoli számítógépekre törhetnek be, és azokat "zombiként" használhatják a Wikipédia megtámadására. Mindkét esetben azonban blokkolhatjuk a proxykat és a zombikat, amint megjelennek, és ez a többi felhasználó számára csak nagyon kevés kellemetlenséggel jár. Így a támadó arra kényszerül, hogy folyamatosan új hosztokat keressen a kompromittálásra, és ez a legjobb módja annak, hogy lelassítsuk a támadásaikat.

Komolyabb fenyegetést jelent az internetszolgáltatók által használt HTTP-proxyk használata. A rosszul konfigurált proxyk lehetetlenné tehetik egy felhasználó blokkolását anélkül, hogy több ezer másikat blokkolnának - elfedik a támadó személyazonosságát azáltal, hogy összekeverik a támadó forgalmát az ugyanazon internetszolgáltató más ügyfeleinek forgalmával. Itt jön a képbe az XFF projekt.

Az X-Forwarded-For (XFF) fejléc a legtöbb HTTP proxy szoftver által támogatott de facto szabvány. A kliens IP-címét csatolja egy HTTP-fejléchez, melyet továbbít a kiszolgálónak. Így a kiszolgáló képes megállapítani az ügyfél IP-címét. Mivel ez a fejléc hamisítható, a Wikipédia és más Wikimédia weboldalak csak olyan XFF fejlécet fogadnak el, amely megbízhatónak ismert forrásból származik. Az XFF projekt céljai a következők:

• Az ISP proxy-címek és XFF-státuszuk katalógusának létrehozása
• Ösztönözze az internetszolgáltatókat, hogy konfigurálják a proxykat úgy, hogy XFF fejléceket adjanak meg

Hogyan konfiguráld a proxydat az XFF fejlécek küldésére:

1. Telepítsd a Winfrasoft X-Forwarded-For for ISA Server webszűrőt. Az ISA Server nem támogatja eredetileg az XFF-et.
2. A továbbító proxyhoz hozd létre a webes láncolás szabályát (ha még nem létezik), hogy a forgalmat egy upstream proxy-kiszolgálóra irányíthasd. A fordított proxynál nincs több teendő.

Hivatkozás: X-Forwarded-For az ISA Server részleteihez.

Ezt írd be a squid.conf fájlodba:

forwarded_for on

Ez az alapértelmezett, így valójában csak akkor kell eltávolítani az forwarded_for off értéket, ha jelen van.

Hivatkozás: Squid konfigurációs kézikönyv.

Válts át konfigurálási módba és futtasd:

http append x-forwarded-for-header

Hivatkozás: Cisco Cache Engine felhasználói kézikönyv, 2.1.0 verzió, A függelék.

A webes adminisztrációs felület Hálózati beállítások lapján kattints a "kikapcsolás" gombra az "Adatvédelem" mellett. Ez jelen tudásunk szerint csak az X-Forwarded-For fejlécet érinti.

Hivatkozás: ISP-Planet Cache Review Series - NetApp NetCache C720, A webes gyorsítótár hangolása

Konfiguráló módban:

reveal http

http add-header x-forwarded-for

Ha egy proxy szerepel a megbízható XFF listánkon, akkor a proxy mögül a Wikipédiát szerkesztő felhasználók úgy tűnnek, mintha a kliens IP címükről szerkesztenének, nem pedig a proxy IP címéről. A Wikipédia adminisztrátorai képesek lesznek egyenként blokkolni a klienseket; az egész proxy soha sem lesz blokkolva egyetlen vandál cselekedete miatt.

A megbízott XFF-listára akkor kerülnek fel a proxyk, ha tudomásunkra jutnak, hogy:

• Olyan fordított DNS-bejegyzéssel rendelkeznek, amely arra utal, hogy kifejezetten ISP-proxyként használják azokat, és
• Elsősorban nyilvános IP-címek továbbítása, nem pedig az RFC 1918 szerinti magánhálózatokban lévő címeké. Lásd RFC 1918 az ilyen címekre továbbító proxyk listáját.

Az ellenőrzött XFF-listát 2013 májusától a TrustedXFF MediaWiki kiterjesztés alatt, a "trusted-hosts.txt" nevű fájl alatt. Ez a fájl megtekinthető eme link követésével. A Wikimédiás wikik ezt a szöveges fájlt veszik, és egy PHP fájlt generálnak belőle, amely egy tömböt tartalmaz.

A trusted-hosts.txt fájl módosítását Gerrit segítségével lehet megtenni.