ماهو البروكسي web proxy
بسم الله الرحمن الرحيم
اليوم في موضوع نضري جديد ويصح القول أنه مقال حول مصطلح البروكسي ماهو هذا المصطلح وما هو عمله ومخاطره وسلبياته أنواع البروكسي فيما يستخدم كل هذه الأسئلة سأجيبك عنها علميا بالتفصيل ما عليك سوى قرائة الموضوع بتأني وأي سؤال أنا جاهز للإستفسارات للإشارة أن كل هذه المعلومات المطروحة سليمة مقتبسة من الويكيبيديا
ظهرت في أوقات مختلفة من حياة الشبكات الكثير من المصطلحات و الأدوات التي تساعد في زيادة كفائة الشبكة و إطالة عمرها و تأخير الغائها بتصميم جديد ويذكر في هذا السياق اخواني :
البروكسي web proxy
ماهو البروكسي web proxy؟
بداية البروكسي يعني الوكيل أو الوكالة وهناك الكثير من الأجهزة و البرمجيات التي تعمل في مجال الشبكات وتسمى البروكسي ومنها موضوع حديثنا هنا وهو بمعنى وكيل الويب اي انه عبارة عن جهاز او سوفتوير موجود بجهاز وسطي بين المستخدم و متصفح الأنترنت وبين خوادم (Server) الأنترنت الحقيقية ومهمته هي الخزن المؤقت للطلبات الأكثر تكرارا من قبل المستخدمين في الوقت الحاضر و استنادا الى التصفح الماضي ولتوضيح مفهومه أكثر انظر الى الصورة أدناه :
وتجدر الإشارة الى ان البروكسي يعتبر سيرفر من نوع خاص يستقبل طلباتالمستخدمين كأي نوع آخر من السيرفرات ولكنه لا يحتوي المعلومات بشكل مستقل و انما يحتوي جزء من معلومات السيرفرات الحقيقية ويعمل بالوكالة عنها فيما يتعلق بالمعلومات التي يحتويها و للتوضيح اكثر نستعرض المفاهيم المرتبطة بوكيل الويب وهي كما يلي:
- الكاش(Cache) : وهو مجموعة من البيانات المطلوبة بكثرة من قبل المستخدمين و المخزونة محليا بحيث يمكن الوصول اليها وعرضها للمستخدم بسرعة وهي تمثل مجموعة جزئية من الكم الهائل من البيانات المخزونة في سيرفرات الخزن ( Storage Server) ويكون الكاش دائما قريبا فيزيائيا من المستخدم للشبكة العنكبوتية ويتوفر الكاش اليوم فيالكثير من المعالجات الحديثة للحواسيب و السيرفرات ويضم الكودات و البيانات الأكثر طلبا حديثا .
تقوم معضم متصفحات الأنترنت الحديثة بخزن صفحات الويب الأكثر تكرارا في طلبات المستخدمين في الذاكرة الرئيسية للسيرفر المحلي او في اجهزة الخزن المغناطيسية (الهارد) للأجهزة القريبة مما يجعل أي شخص يستخدم الحاسوب الشخصي لتصفح الأنترنت يعتمد على مجموعة كاشات لأداء وظائفه.
2. كاش الويب (Web Cach): وهي مجموعة من صفحات الويب المخزونة محليا و تضم الصور و الملفات النصية وبيقية أنواع الوثائق التي يمكن أن يتعامل معها برتكول الـ(HTTP) ويقوم متصفح الويب يإدامة وصيانة و تحديث كاش الويب الذي يعمل كبرنامج منصب في السيرفرات الخاصة المحلية بأرشفة و استرجاع الوثائق التي يتم طلبها بكثرة و تكرار من قبل مجموعة من المستخدمين . يقوم البروكسي بإرجاع المستندات المطلوبة من قبل المستخدمين ان كانت مخزونة في سيرفره المحلي ليسجل (hit) ولكن في حالة عدم وجود الوثائق المطلوبة في السيرفر المحلي يقوم البروكسي بطلبها من السيرفر الرئيسي اي الأصلي وايصالها الى المستخدم الذي طلبها ليسجل حالة فقدان (miss) .أضن أنه اختلطت عليك أخي المتابع المور لا عليك أكمل فقط بقية السطور لتستوعب ما كنت تقرأه إذا من خلال استرجاع البيانات من السيرفر المحلي نحصل على زمن استجابة اسرع و نقل المرور فيالشبكة ونزيد عرض النطاق المتاح لكل مستخدم . يسمح سيرفر البروكسي بمنع جلب الصفحات السيئة الى المستخدم ويقوم بتفريغ مساحة للوثائق الجديدة بحذف القديمة و بالتالي يبقى الكاش يحدث بشكلديناميكي و بإستخدام خوارزمية استبدال الأقل استخداما حديثا (Used LRU Least Recently)
ماهو عمل سيرفر البروكسي:
كما ذكرنا هناك الكثير من أنواع البروكسيات وهي عموما تعمل بإحدى الوضيقتين التاليتين:
- حفظ البيانات الأكثر تكرارا وحداثة في طلبات المستخدمين و العمل ككاش للشبكة لتسريع العمل و تقليل المرور في نواقل الشبكة .
- العملكجدار ناري ومنظم للمرور فيالشبكة حيث تمر كل البيانات الداخلة و الخارجة إلى الشبكة المحلية عبره فيمكن وضع عده انواع من المرشحات وقوائم الوصول لتقييد الوصول إلى نوع منعين من البيانات ولكل مستخدم نوع خاص من التقييد أي بإختصار تطبيق خوارزميات الـ(Access Control Lists) .
تقوم وحدات خدمة بروكسي بتنفيذ واحدة أو أكثر من الوظائف التالية:
بروكسي التخزين
يعمل بروكسي التخزين ـ Caching proxy على زيادة سرعة تلبية طلبات الجهاز التابع عن طريق استرجاع المحتوى أو الاستجابة التي تم تخزينها بناءً على طلب سابق تقدم به الجهاز التابع نفسه أو حتى غيره من الأجهزة. هذا وتحفظ وحدات خدمة بروكسي التخزينية نسخًا محلية من المصادر التي يتكرر طلبها باستمرار، مما يسمح للمؤسسات الكبيرة بتقليل استخدام وتكلفة سعة نقل البيانات من شبكات الاتصال البعيدة بشكل ملحوظ مع الحفاظ على السرعة في الأداء. يمتلك معظم مقدمي خدمات الإنترنت والشركات الكبيرة هذا النوع من وحدات الخدمة. جدير بالذكر أن أجهزة البروكسي يتم تصميمها لتُقدم أعلى أداء لمنظومة حفظ الملفات (في الغالب، باستخدام تقنية RAID التي توفر للمستخدمين أعلى مستوى من تخزين البيانات وتقسيمها على محركات الأقراص الصلبة وكذلك تقنية Journaling وهو نظام تخزين يقوم بتسجيل أية تغييرات تحدث في الملفات والأدلة في سجلات يومية). وتحتوي هذه الأجهزة أيضًا على نسخ محدثة من بروتوكول TCP المختص بتوفير وسيلة موثوقة لنقل البيانات عبر الإنترنت. وتجدر الإشارة هنا إلى أن وحدات خدمة بروكسي التخزينية تعتبر أول نوع من وحدات خدمة بروكسي عمومًا. يحتوي كل من بروتوكول 1.0 HTTP وغيره من البروتوكولات التي تليه في الإصدار على العديد من العناوين لتعريف المحتويات الثابتة (القابلة للتخزين) والتحقق من مدى حداثة المحتوى باستخدام ETAG (علامات ترميز تُستخدم للتحقق من إجراء تعديلات بمحتوى موقع ما من خلال المقارنة بين كيانين أو أكثر من نفس المصدر)، وكذلك باستخدام If-Modified-Since (لمعرفة ما إذا كان تاريخ آخر تعديل للموقع يتطابق مع التاريخ المسجل بذاكرة التخزين الخاصة بآخر تعديل بالموقع) وExpiry (التحقق من سلامة البيانات اعتمادًا على التاريخ)، وما إلى ذلك. وهناك نوع آخر من البروتوكولات مثل DNS الذي يدعم خاصية Expiry فقط الخاصة بالصلاحية ولا يحتوي خاصية التحقق من سلامة وصحة البيانات. وهناك بعض الجوانب السلبية التي تعيب بروكسي التخزين رديء التصميم (مثل عدم القدرة على استعمال خاصية توثيق المستخدم أي التحقق من هويته). وبعض المشكلات يتم التعبير عنها كالآتي: RFC 3143 (وتُعرف باسم مشكلات HTTP Proxy/Caching). هذا، ومن الاستخدامات المهمة الأخرى لوحدة خدمة بروكسي تقليل تكلفة المكونات الخاصة بالكمبيوتر. فقد تمتلك المؤسسة الواحدة عدة نظم على شبكة واحدة أو متصلة بوحدة خدمة واحدة، وذلك كي تمنع إمكانية اتصال كل نظام على حدة بشبكة الإنترنت. في مثل هذه الحالة، يمكن ربط الأنظمة المفردة ببروكسي واحد، بحيث تكون وحدة الخدمة البروكسي تلك متصلة بوحدة الخدمة الرئيسية.
بروكسي التخزين
يعمل بروكسي التخزين ـ Caching proxy على زيادة سرعة تلبية طلبات الجهاز التابع عن طريق استرجاع المحتوى أو الاستجابة التي تم تخزينها بناءً على طلب سابق تقدم به الجهاز التابع نفسه أو حتى غيره من الأجهزة. هذا وتحفظ وحدات خدمة بروكسي التخزينية نسخًا محلية من المصادر التي يتكرر طلبها باستمرار، مما يسمح للمؤسسات الكبيرة بتقليل استخدام وتكلفة سعة نقل البيانات من شبكات الاتصال البعيدة بشكل ملحوظ مع الحفاظ على السرعة في الأداء. يمتلك معظم مقدمي خدمات الإنترنت والشركات الكبيرة هذا النوع من وحدات الخدمة. جدير بالذكر أن أجهزة البروكسي يتم تصميمها لتُقدم أعلى أداء لمنظومة حفظ الملفات (في الغالب، باستخدام تقنية RAID التي توفر للمستخدمين أعلى مستوى من تخزين البيانات وتقسيمها على محركات الأقراص الصلبة وكذلك تقنية Journaling وهو نظام تخزين يقوم بتسجيل أية تغييرات تحدث في الملفات والأدلة في سجلات يومية). وتحتوي هذه الأجهزة أيضًا على نسخ محدثة من بروتوكول TCP المختص بتوفير وسيلة موثوقة لنقل البيانات عبر الإنترنت. وتجدر الإشارة هنا إلى أن وحدات خدمة بروكسي التخزينية تعتبر أول نوع من وحدات خدمة بروكسي عمومًا. يحتوي كل من بروتوكول 1.0 HTTP وغيره من البروتوكولات التي تليه في الإصدار على العديد من العناوين لتعريف المحتويات الثابتة (القابلة للتخزين) والتحقق من مدى حداثة المحتوى باستخدام ETAG (علامات ترميز تُستخدم للتحقق من إجراء تعديلات بمحتوى موقع ما من خلال المقارنة بين كيانين أو أكثر من نفس المصدر)، وكذلك باستخدام If-Modified-Since (لمعرفة ما إذا كان تاريخ آخر تعديل للموقع يتطابق مع التاريخ المسجل بذاكرة التخزين الخاصة بآخر تعديل بالموقع) وExpiry (التحقق من سلامة البيانات اعتمادًا على التاريخ)، وما إلى ذلك. وهناك نوع آخر من البروتوكولات مثل DNS الذي يدعم خاصية Expiry فقط الخاصة بالصلاحية ولا يحتوي خاصية التحقق من سلامة وصحة البيانات. وهناك بعض الجوانب السلبية التي تعيب بروكسي التخزين رديء التصميم (مثل عدم القدرة على استعمال خاصية توثيق المستخدم أي التحقق من هويته). وبعض المشكلات يتم التعبير عنها كالآتي: RFC 3143 (وتُعرف باسم مشكلات HTTP Proxy/Caching). هذا، ومن الاستخدامات المهمة الأخرى لوحدة خدمة بروكسي تقليل تكلفة المكونات الخاصة بالكمبيوتر. فقد تمتلك المؤسسة الواحدة عدة نظم على شبكة واحدة أو متصلة بوحدة خدمة واحدة، وذلك كي تمنع إمكانية اتصال كل نظام على حدة بشبكة الإنترنت. في مثل هذه الحالة، يمكن ربط الأنظمة المفردة ببروكسي واحد، بحيث تكون وحدة الخدمة البروكسي تلك متصلة بوحدة الخدمة الرئيسية.
بروكسي الويب
يطلق على البروكسي الذي يركز على بيانات شبكة الويب الدولية (WWW) "بروكسي الويب ـ Web proxy". والاستخدام الأكثر شيوعًا لبروكسي الويب هو استخدامه كذاكرة تخزين على الويب. توفر معظم برامج البروكسي (مثل Squid) وسائل يمكن من خلالها منع الوصول إلى بعض عناوين المواقع (URL) المدرجة في القائمة السوداء وذلك لحجب هذه المواقع ـ الأمر الذي يُعرف باسم فلترة المحتوى. وتُستخدم مثل هذه البرامج في الشركات عادةً، على الرغم من أنه مع زيادة استخدام نظام التشغيل Linux في الشركات الصغيرة والمنازل أيضًا، فإن الاستفادة من خدمة فلترة المحتوى التي يوفرها نظام Linux أيضًا لم تعد تقتصر على الشركات الكبيرة فقط. هذا، ويقوم عدد من وحدات خدمة بروكسي الويب بإعادة تنسيق بعض صفحات الويب لكي تتناسب مع أغراض معينة أو جمهور محدد (مثل إمكانية عرضها على شاشات الهواتف المحمولة وأجهزة المساعد الشخصي الرقمي [PDA]). اعتاد عملاء أمريكا أون لاين (AOL) على مرور طلباتهم ببروكسي موسع للعمل على "ضغط" أو تقليل التفاصيل في صور JPEG. وقد أدى هذا إلى زيادة سرعة الأداء، لكنه تسبب في حدوث عدد من المشكلات مثل الحاجة إلى وجود درجة وضوح أعلى في الصور أو الحصول على نتائج غير صحيحة نتيجة لعملية الضغط التي تحدث. وكان هذا هو السبب في وجود رابط "AOL Users Click Here" في العديد من صفحات الويب في بداية استخدام شبكة الويب، وذلك لتخطي وحدة خدمة بروكسي الويب ولتجنب الأخطاء الناجمة عن استخدام نظام "الضغط".
يطلق على البروكسي الذي يركز على بيانات شبكة الويب الدولية (WWW) "بروكسي الويب ـ Web proxy". والاستخدام الأكثر شيوعًا لبروكسي الويب هو استخدامه كذاكرة تخزين على الويب. توفر معظم برامج البروكسي (مثل Squid) وسائل يمكن من خلالها منع الوصول إلى بعض عناوين المواقع (URL) المدرجة في القائمة السوداء وذلك لحجب هذه المواقع ـ الأمر الذي يُعرف باسم فلترة المحتوى. وتُستخدم مثل هذه البرامج في الشركات عادةً، على الرغم من أنه مع زيادة استخدام نظام التشغيل Linux في الشركات الصغيرة والمنازل أيضًا، فإن الاستفادة من خدمة فلترة المحتوى التي يوفرها نظام Linux أيضًا لم تعد تقتصر على الشركات الكبيرة فقط. هذا، ويقوم عدد من وحدات خدمة بروكسي الويب بإعادة تنسيق بعض صفحات الويب لكي تتناسب مع أغراض معينة أو جمهور محدد (مثل إمكانية عرضها على شاشات الهواتف المحمولة وأجهزة المساعد الشخصي الرقمي [PDA]). اعتاد عملاء أمريكا أون لاين (AOL) على مرور طلباتهم ببروكسي موسع للعمل على "ضغط" أو تقليل التفاصيل في صور JPEG. وقد أدى هذا إلى زيادة سرعة الأداء، لكنه تسبب في حدوث عدد من المشكلات مثل الحاجة إلى وجود درجة وضوح أعلى في الصور أو الحصول على نتائج غير صحيحة نتيجة لعملية الضغط التي تحدث. وكان هذا هو السبب في وجود رابط "AOL Users Click Here" في العديد من صفحات الويب في بداية استخدام شبكة الويب، وذلك لتخطي وحدة خدمة بروكسي الويب ولتجنب الأخطاء الناجمة عن استخدام نظام "الضغط".
أجهزة بروكسي الويب المختصة بفلترة المحتويات
توفر وحدات خدمة بروكسي الويب المختصة بعملية فلترة المحتويات رقابة إدارية على المحتوى الذي يتم نقله من خلال البروكسي. ويشيع استخدام هذا النوع من البروكسي في المؤسسات التجارية وغير التجارية أيضًا (وخاصةً في المدارس) لضمان استخدام الإنترنت بما يتفق مع سياسة الاستخدام المقبول. ولكن في أغلب الأحيان، يعمل الأفراد الذين يختلفون مع هذه السياسة على تنزيل واستخدام أنواع أخرى من البروكسي. هناك العديد من الأساليب التي يتم استخدامها في فلترة المحتوى وفقًا لها، ومنها: الفلترة وفق عناوين مواقع معينة أو وفق القوائم السوداء الخاصة بأسماء النطاقات (DNS) أو وفق التعبيرات المتكررة في عناوين المواقع URL regex)) أو الفلترة باستخدام معيار MIME أو وفقًا لتكرار كلمة رئيسية بعينها في المحتوى. جدير بالذكر أن بعض المنتجات عُرِف عنها استخدامها لتقنيات تختص بتحليل المحتوى من أجل البحث عن السمات المستخدمة في الغالب من قِبل أنواع معينة من الجهات المزودة للمحتويات. في كثير من الأحيان، يدعم البروكسي المختص بفلترة المحتويات خاصية توثيق المستخدم أو التحقق من هويته وذلك كوسيلة للتحكم في إمكانية الدخول على شبكة الويب. وهو عادةً ما ينشئ مجموعة من السجلات إما لإعطاء معلومات مفصلة عن عناوين المواقع التي يزورها بعض المستخدمين أو لمراقبة إحصائيات استخدام الباندويدث (سعة نقل البيانات) عبر الإنترنت. قد يقوم هذا البروكسي أيضًا بالاتصال ببرنامج مضاد للفيروسات يعتمد على Daemon و/أو بروتوكول ICAP، لتوفير الأمن والحماية من الفيروسات وغيرها من البرامج الضارة من خلال فحص المحتوى القادم قبل وصوله إلى الشبكة.
توفر وحدات خدمة بروكسي الويب المختصة بعملية فلترة المحتويات رقابة إدارية على المحتوى الذي يتم نقله من خلال البروكسي. ويشيع استخدام هذا النوع من البروكسي في المؤسسات التجارية وغير التجارية أيضًا (وخاصةً في المدارس) لضمان استخدام الإنترنت بما يتفق مع سياسة الاستخدام المقبول. ولكن في أغلب الأحيان، يعمل الأفراد الذين يختلفون مع هذه السياسة على تنزيل واستخدام أنواع أخرى من البروكسي. هناك العديد من الأساليب التي يتم استخدامها في فلترة المحتوى وفقًا لها، ومنها: الفلترة وفق عناوين مواقع معينة أو وفق القوائم السوداء الخاصة بأسماء النطاقات (DNS) أو وفق التعبيرات المتكررة في عناوين المواقع URL regex)) أو الفلترة باستخدام معيار MIME أو وفقًا لتكرار كلمة رئيسية بعينها في المحتوى. جدير بالذكر أن بعض المنتجات عُرِف عنها استخدامها لتقنيات تختص بتحليل المحتوى من أجل البحث عن السمات المستخدمة في الغالب من قِبل أنواع معينة من الجهات المزودة للمحتويات. في كثير من الأحيان، يدعم البروكسي المختص بفلترة المحتويات خاصية توثيق المستخدم أو التحقق من هويته وذلك كوسيلة للتحكم في إمكانية الدخول على شبكة الويب. وهو عادةً ما ينشئ مجموعة من السجلات إما لإعطاء معلومات مفصلة عن عناوين المواقع التي يزورها بعض المستخدمين أو لمراقبة إحصائيات استخدام الباندويدث (سعة نقل البيانات) عبر الإنترنت. قد يقوم هذا البروكسي أيضًا بالاتصال ببرنامج مضاد للفيروسات يعتمد على Daemon و/أو بروتوكول ICAP، لتوفير الأمن والحماية من الفيروسات وغيرها من البرامج الضارة من خلال فحص المحتوى القادم قبل وصوله إلى الشبكة.
وحدات خدمة البروكسي السري
تحاول وحدات خدمة البروكسي السري (التي يطلق عليها أحيانًا بروكسي الويب) عمومًا جعل التصفح على شبكة الويب مجهول المصدر. وهناك أنواع عديدة ومختلفة من البروكسي السري. ويتمثل أحد أكثر هذه الأنواع شيوعًا في البروكسي المفتوح. ولأن هذا النوع عادةً من الصعب تعقبه، فإنه يعتبر مفيدًا بوجه خاص لمن يسعون إلى إخفاء هويتهم في أثناء الاتصال بالإنترنت، مثل المعارضين السياسيين أو حتى مرتكبي جرائم الإنترنت. التحكم في الدخول على شبكة الإنترنت : تفرض بعض وحدات خدمة بروكسي إجراء تسجيل دخول قبل تصفح شبكة الإنترنت. ففي المؤسسات الكبيرة، يجب على المستخدمين المصرح لهم بالدخول على شبكة الويب ملء بيانات تسجيل الدخول أولاً. وبهذا، يمكن للمؤسسة التحكم في استخدام الشبكة من قِبل المستخدمين.
تحاول وحدات خدمة البروكسي السري (التي يطلق عليها أحيانًا بروكسي الويب) عمومًا جعل التصفح على شبكة الويب مجهول المصدر. وهناك أنواع عديدة ومختلفة من البروكسي السري. ويتمثل أحد أكثر هذه الأنواع شيوعًا في البروكسي المفتوح. ولأن هذا النوع عادةً من الصعب تعقبه، فإنه يعتبر مفيدًا بوجه خاص لمن يسعون إلى إخفاء هويتهم في أثناء الاتصال بالإنترنت، مثل المعارضين السياسيين أو حتى مرتكبي جرائم الإنترنت. التحكم في الدخول على شبكة الإنترنت : تفرض بعض وحدات خدمة بروكسي إجراء تسجيل دخول قبل تصفح شبكة الإنترنت. ففي المؤسسات الكبيرة، يجب على المستخدمين المصرح لهم بالدخول على شبكة الويب ملء بيانات تسجيل الدخول أولاً. وبهذا، يمكن للمؤسسة التحكم في استخدام الشبكة من قِبل المستخدمين.
البروكسي المُعادي (Hostile Proxy)
بالإضافة إلى الاستخدامات العديدة لأجهزة البروكسي، يمكن أيضًا استخدامها في التجسس على البيانات التي تنتقل بين الأجهزة التابعة والشبكة. فكل صفحات الويب التي يتم الدخول عليها، وكذلك كل النماذج التي يتم تقديمها، يمكن رصدها وتحليلها من قِبل مشغل وحدة خدمة البروكسي. لهذا السبب، يجب دائمًا تبادل كلمات المرور الخاصة بخدمات الإنترنت (مثل البريد الإلكتروني والمعاملات المصرفية) عبر قناة اتصال مشفرة وآمنة، مثل بروتوكول SSL.
بالإضافة إلى الاستخدامات العديدة لأجهزة البروكسي، يمكن أيضًا استخدامها في التجسس على البيانات التي تنتقل بين الأجهزة التابعة والشبكة. فكل صفحات الويب التي يتم الدخول عليها، وكذلك كل النماذج التي يتم تقديمها، يمكن رصدها وتحليلها من قِبل مشغل وحدة خدمة البروكسي. لهذا السبب، يجب دائمًا تبادل كلمات المرور الخاصة بخدمات الإنترنت (مثل البريد الإلكتروني والمعاملات المصرفية) عبر قناة اتصال مشفرة وآمنة، مثل بروتوكول SSL.
البروكسي الشفاف وغير الشفاف
في كثير من الأحيان، يحدث العكس ويُستخدم مصطلح "البروكسي الشفاف ـ Transparent Proxy" للإشارة بشكل خاطئ إلى "البروكسي الاعتراضي ـ Intercepting Proxy" (لأن الجهاز التابع لا يكون في حاجة إلى توصيف البروكسي ولا يمكنه معرفة أن طلباته تمر عبر بروكسي). يمكن تشغيل البروكسي الشفاف باستخدام بروتوكول WCCP الخاص بشركة "سيسكو". وهذا البروتوكول يكون موجود عند الموجه (Router) ويتم توصيفه من خلال ذاكرة التخزين ـ مما يسمح لذاكرة التخزين بتحديد المنافذ والبيانات التي ستُرسل إليها من قِبل الموجه عن طريق عمليات إعادة التوجيه. ومن الممكن أن تتم عملية إعادة التوجيه هذه من خلال إحدى الطريقتين التاليتين: GRE Tunneling (OSI Layer 3) أو MAC rewrites (OSI Layer 2. وعلى الجانب الآخر، فإن RFC 2616 (Hypertext Transfer Protocol -- http://1.1) يعرض تعريفات مختلفة:
'البروكسي الشفاف - Transparent Proxy': عبارة عن بروكسي لا يقوم بتعديل الطلب أو الاستجابة لأقصى مما هو مطلوب لبيانات لتوثيق وتعريف هوية وحدة خدمة بروكسي."
'البروكسي غير الشفاف ـ Non-Transparent Proxy': عبارة عن بروكسي يقوم بتعديل الطلب والاستجابة من أجل توفير بعض الخدمات المضافة لبرامج أو تطبيقات الجهاز التابع، مثل خدمات إضافة تعليقات من قٍبل المجموعات أو تحويل نوع الوسائط أو تقليل البروتوكول أو إجراء عملية فلترة بغرض السرية."
أساليب المراوغة
يُقصد بأسلوب المراوغة (Circumventor) اختراق سياسات حجب مواقع معينة تفرضها بعض الجهات مستخدمة في ذلك وحدات خدمة بروكسي. ومن المثير للسخرية، أن أغلب أساليب المراوغة تستخدم وحدات خدمة بروكسي – ويحدث ذلك على درجات متفاوتة من التعقيد. وتعتمد عملية المراوغة في مضمونها على استخدام صفحة ويب تقوم بأخذ الموقع الممنوع وتحاول فتحه بالحيلة في موقع ويب آخر غير محظور ـ لتسمح للمستخدم بمشاهدة صفحاته المحجوبة. ويعد أحد الأمثلة الشهيرة على ذلك بروكسي elgooG الذي مَكّن المستخدمين في الصين من الوصول إلى موقع Google بعد أن تم منعه هناك، لكن تختلف وحدة خدمة البروكسي هذه عن الأخرىات بأنها صُممت لتجاوز عملية حجب واحدة. في سبتمبر 2007 أصدر معمل Citizen Lab تقريرًا يوضح فيه أنواع معينة من وحدات خدمة بروكسي التي تُستخدم في أغراض المراوغة، مثل ProxifyProxify [1] وStupidCensorship [2]، وCGIProxy. http://www.jmarshall.com ويمكن بدلاً من ذلك، أن يتواصل المستخدمون في دولة معينة مع أفراد آخرين بعيدًا عن نطاق المراقبة الذي يخضع له الإنترنت في هذه الدولة؛ وذلك باستخدام بروكسي من نوع Psiphon http://psiphon.civisec.org أو Peacefire/Circumventor. http://peacefire.org. كما أن هناك أسلوب أكثر تطورًا يقترح استخدام برامج مجانية مثل UltraSurf http://www.ultrareach.com وFreeGate، http://www.dit-inc.us أو استخدام غيرها من البرامج مدفوعة الأجر، مثل Anonymizer http://anonymizer.com وGhost Surf. http://tenebril.com هذا بالإضافة إلى أنواع أخرى من البرامج المجانية لتضمين البيانات لنقلها بشكل آمن، مثل Gpass http:/ / gpass1.com وHTTP Tunnel http://www.http-tunnel.com وتطبيقات تضمين البيانات مدفوعة الأجر، مثل Relakks [https : / / www.relakks.com] وGuardster.-[2] - وأخيرًا تقدم شبكات الاتصال السريJAP ANON http://anon.inf.tu-dresden.de/index_en.html وTor http://tor.eff.org وI2P http://www.i2p.net مجموعة كبيرة من الوسائل التي تمكن المستخدمين من التصفح والتواصل بطريقة آمنة عبر شبكة الإنترنت.[8] يمكن للطلاب الوصول إلى المواقع المحجوبة (مثل شبكات التواصل الاجتماعي ومواقع الألعاب وغرف الدردشة والماسنجر والمواقع التي تقدم محتويات إباحية أو هجومية) باستخدام وحدات خدمة بروكسي تستخدم أساليب المراوغة.وبالسرعة نفسها التي يحجب بها برنامج الفلترة صفحات الويب الخاصة بوحدات خدمة بروكسي المستخدمة للمراوغة، تظهر غيرها من الصفحات الأخرى. لكن في بعض الحالات، قد يظل الفلتر يعترض طريق البيانات المتدفقة إلى البروكسي المراوغ، وبالتالي فإن الشخص الذي يدير الفلتر تظل لديه القدرة على رؤية المواقع التي تتم زيارتها. يستخدم أيضًا الأشخاص الذين يتم منعهم من الدخول على مواقع معينة في شبكة الويب بروكسي المراوغة. كما يُستخدم أيضًا بروكسي المراوغة بحيث يمكن لأي شخص في أي دولة أخرى من دول العالم لاستفادة من الخدمات التي تُقَدّم في دول معينة لمواطنيها فقط. على سبيل المثال، يمكن الاستفادة من الخدمات المتاحة في دول بعينها فقط والتي يستطيع من خلالها المواطنون إعادة إنتاج وسائط معينة أو بث معين خاص بالويب. جدير بالذكر أن بروكسي المراوغة يعتبر آمنًا في الغالب إلا في حالة واحدة وهي أن تكون مواقع الويب التي يُستخدم فيها هذا البروكسي يتم إدارتها من قِبل طرف ثالث غير موثوق به وغير مُعْلِن لنواياه - والتي قد تكون جمع بيانات شخصية عن المستخدمين. ونتيجة لذلك، يُنصح المستخدمون دائمًا بعدم إدخال أي بيانات شخصية أو مهمة، مثل أرقام بطاقات الائتمان أو كلمات المرور، في أثناء استخدامهم لهذا النوع من البروكسي. وإحدى الطرق التي يمكن من خلالها التحايل على بروكسي حجب المواقع والمسئول عن فلترة المحتويات هي نقل البيانات مضمنة باستخدام بروتوكول آمن إلى بروكسي آخر (يتحكم فيها مستخدم يمتلك حق دخول غير مقيد على أي موقع على الإنترنت). وكثيرًا ما يتم ذلك عن طريق إنشاء اتصال آمن تكون فيه حزم البيانات المرسلة بتنسيق بروتوكول VPN أو بروتوكول SSH مضمنة داخل بروتوكول آخر ناقل (فيما يُعرف باسم Tunneling)، ليتم في النهاية فك تضمينها من قِبل الجهاز المستلم الذي يتم الدخول عليه من خلال أحد المنافذ المفتوحة.جدير بالذكر أن المنفذ رقم 80 يظل مفتوحًا دائمًا للسماح باستخدام HTTP، كما هو الحال بالنسبة للمنفذ رقم 443 الذي يظل مفتوحًا أيضًا للسماح باستخدام HTTPS. ومن خلال استخدام التشفير، لا يكون فقط من الصعب كشف نقل البيانات المنقولة بطريقة Tunneling إلى وحدة خدمة بروكسي بعيدة - بشرط أن تكون وحدة خدمة البروكسي البعيدة نفسها مؤمّنة جيدًا - بل يكون من الصعب اعتراضها أيضًا. في بعض عمليات توصيف الشبكات، يتم إعطاء العملاء الذين يحاولون الوصول إلى وحدة خدمة بروكسي مستويات مختلفة من امتيازات الوصول تعتمد على مكان جهاز الكمبيوتر الخاص بهم أو حتى على عنوان ماك (MAC) الخاص بكارت الشبكة.ومع ذلك، إذا كان في وسع أحد الأشخاص الوصول إلى نظام باستخدام امتيازات دخول أعلى، فيمكنه استخدام هذا النظام كوحدة خدمة بروكسي يمكن للأجهزة التابعة الأخرى استخدامه للدخول على وحدة خدمة البروكسي الأصلية، وبالتالي تتغير امتيازات الدخول الخاصة بهم.
في كثير من الأحيان، يحدث العكس ويُستخدم مصطلح "البروكسي الشفاف ـ Transparent Proxy" للإشارة بشكل خاطئ إلى "البروكسي الاعتراضي ـ Intercepting Proxy" (لأن الجهاز التابع لا يكون في حاجة إلى توصيف البروكسي ولا يمكنه معرفة أن طلباته تمر عبر بروكسي). يمكن تشغيل البروكسي الشفاف باستخدام بروتوكول WCCP الخاص بشركة "سيسكو". وهذا البروتوكول يكون موجود عند الموجه (Router) ويتم توصيفه من خلال ذاكرة التخزين ـ مما يسمح لذاكرة التخزين بتحديد المنافذ والبيانات التي ستُرسل إليها من قِبل الموجه عن طريق عمليات إعادة التوجيه. ومن الممكن أن تتم عملية إعادة التوجيه هذه من خلال إحدى الطريقتين التاليتين: GRE Tunneling (OSI Layer 3) أو MAC rewrites (OSI Layer 2. وعلى الجانب الآخر، فإن RFC 2616 (Hypertext Transfer Protocol -- http://1.1) يعرض تعريفات مختلفة:
'البروكسي الشفاف - Transparent Proxy': عبارة عن بروكسي لا يقوم بتعديل الطلب أو الاستجابة لأقصى مما هو مطلوب لبيانات لتوثيق وتعريف هوية وحدة خدمة بروكسي."
'البروكسي غير الشفاف ـ Non-Transparent Proxy': عبارة عن بروكسي يقوم بتعديل الطلب والاستجابة من أجل توفير بعض الخدمات المضافة لبرامج أو تطبيقات الجهاز التابع، مثل خدمات إضافة تعليقات من قٍبل المجموعات أو تحويل نوع الوسائط أو تقليل البروتوكول أو إجراء عملية فلترة بغرض السرية."
أساليب المراوغة
يُقصد بأسلوب المراوغة (Circumventor) اختراق سياسات حجب مواقع معينة تفرضها بعض الجهات مستخدمة في ذلك وحدات خدمة بروكسي. ومن المثير للسخرية، أن أغلب أساليب المراوغة تستخدم وحدات خدمة بروكسي – ويحدث ذلك على درجات متفاوتة من التعقيد. وتعتمد عملية المراوغة في مضمونها على استخدام صفحة ويب تقوم بأخذ الموقع الممنوع وتحاول فتحه بالحيلة في موقع ويب آخر غير محظور ـ لتسمح للمستخدم بمشاهدة صفحاته المحجوبة. ويعد أحد الأمثلة الشهيرة على ذلك بروكسي elgooG الذي مَكّن المستخدمين في الصين من الوصول إلى موقع Google بعد أن تم منعه هناك، لكن تختلف وحدة خدمة البروكسي هذه عن الأخرىات بأنها صُممت لتجاوز عملية حجب واحدة. في سبتمبر 2007 أصدر معمل Citizen Lab تقريرًا يوضح فيه أنواع معينة من وحدات خدمة بروكسي التي تُستخدم في أغراض المراوغة، مثل ProxifyProxify [1] وStupidCensorship [2]، وCGIProxy. http://www.jmarshall.com ويمكن بدلاً من ذلك، أن يتواصل المستخدمون في دولة معينة مع أفراد آخرين بعيدًا عن نطاق المراقبة الذي يخضع له الإنترنت في هذه الدولة؛ وذلك باستخدام بروكسي من نوع Psiphon http://psiphon.civisec.org أو Peacefire/Circumventor. http://peacefire.org. كما أن هناك أسلوب أكثر تطورًا يقترح استخدام برامج مجانية مثل UltraSurf http://www.ultrareach.com وFreeGate، http://www.dit-inc.us أو استخدام غيرها من البرامج مدفوعة الأجر، مثل Anonymizer http://anonymizer.com وGhost Surf. http://tenebril.com هذا بالإضافة إلى أنواع أخرى من البرامج المجانية لتضمين البيانات لنقلها بشكل آمن، مثل Gpass http:/ / gpass1.com وHTTP Tunnel http://www.http-tunnel.com وتطبيقات تضمين البيانات مدفوعة الأجر، مثل Relakks [https : / / www.relakks.com] وGuardster.-[2] - وأخيرًا تقدم شبكات الاتصال السريJAP ANON http://anon.inf.tu-dresden.de/index_en.html وTor http://tor.eff.org وI2P http://www.i2p.net مجموعة كبيرة من الوسائل التي تمكن المستخدمين من التصفح والتواصل بطريقة آمنة عبر شبكة الإنترنت.[8] يمكن للطلاب الوصول إلى المواقع المحجوبة (مثل شبكات التواصل الاجتماعي ومواقع الألعاب وغرف الدردشة والماسنجر والمواقع التي تقدم محتويات إباحية أو هجومية) باستخدام وحدات خدمة بروكسي تستخدم أساليب المراوغة.وبالسرعة نفسها التي يحجب بها برنامج الفلترة صفحات الويب الخاصة بوحدات خدمة بروكسي المستخدمة للمراوغة، تظهر غيرها من الصفحات الأخرى. لكن في بعض الحالات، قد يظل الفلتر يعترض طريق البيانات المتدفقة إلى البروكسي المراوغ، وبالتالي فإن الشخص الذي يدير الفلتر تظل لديه القدرة على رؤية المواقع التي تتم زيارتها. يستخدم أيضًا الأشخاص الذين يتم منعهم من الدخول على مواقع معينة في شبكة الويب بروكسي المراوغة. كما يُستخدم أيضًا بروكسي المراوغة بحيث يمكن لأي شخص في أي دولة أخرى من دول العالم لاستفادة من الخدمات التي تُقَدّم في دول معينة لمواطنيها فقط. على سبيل المثال، يمكن الاستفادة من الخدمات المتاحة في دول بعينها فقط والتي يستطيع من خلالها المواطنون إعادة إنتاج وسائط معينة أو بث معين خاص بالويب. جدير بالذكر أن بروكسي المراوغة يعتبر آمنًا في الغالب إلا في حالة واحدة وهي أن تكون مواقع الويب التي يُستخدم فيها هذا البروكسي يتم إدارتها من قِبل طرف ثالث غير موثوق به وغير مُعْلِن لنواياه - والتي قد تكون جمع بيانات شخصية عن المستخدمين. ونتيجة لذلك، يُنصح المستخدمون دائمًا بعدم إدخال أي بيانات شخصية أو مهمة، مثل أرقام بطاقات الائتمان أو كلمات المرور، في أثناء استخدامهم لهذا النوع من البروكسي. وإحدى الطرق التي يمكن من خلالها التحايل على بروكسي حجب المواقع والمسئول عن فلترة المحتويات هي نقل البيانات مضمنة باستخدام بروتوكول آمن إلى بروكسي آخر (يتحكم فيها مستخدم يمتلك حق دخول غير مقيد على أي موقع على الإنترنت). وكثيرًا ما يتم ذلك عن طريق إنشاء اتصال آمن تكون فيه حزم البيانات المرسلة بتنسيق بروتوكول VPN أو بروتوكول SSH مضمنة داخل بروتوكول آخر ناقل (فيما يُعرف باسم Tunneling)، ليتم في النهاية فك تضمينها من قِبل الجهاز المستلم الذي يتم الدخول عليه من خلال أحد المنافذ المفتوحة.جدير بالذكر أن المنفذ رقم 80 يظل مفتوحًا دائمًا للسماح باستخدام HTTP، كما هو الحال بالنسبة للمنفذ رقم 443 الذي يظل مفتوحًا أيضًا للسماح باستخدام HTTPS. ومن خلال استخدام التشفير، لا يكون فقط من الصعب كشف نقل البيانات المنقولة بطريقة Tunneling إلى وحدة خدمة بروكسي بعيدة - بشرط أن تكون وحدة خدمة البروكسي البعيدة نفسها مؤمّنة جيدًا - بل يكون من الصعب اعتراضها أيضًا. في بعض عمليات توصيف الشبكات، يتم إعطاء العملاء الذين يحاولون الوصول إلى وحدة خدمة بروكسي مستويات مختلفة من امتيازات الوصول تعتمد على مكان جهاز الكمبيوتر الخاص بهم أو حتى على عنوان ماك (MAC) الخاص بكارت الشبكة.ومع ذلك، إذا كان في وسع أحد الأشخاص الوصول إلى نظام باستخدام امتيازات دخول أعلى، فيمكنه استخدام هذا النظام كوحدة خدمة بروكسي يمكن للأجهزة التابعة الأخرى استخدامه للدخول على وحدة خدمة البروكسي الأصلية، وبالتالي تتغير امتيازات الدخول الخاصة بهم.
ليست هناك تعليقات :
إرسال تعليق