Technische Grundlagen zu Online-Sperren, Teil 2: Proxying.

Eine weitere, verhältnismäßig einfach einsetzbare Technologie zum Filtern von unerwünschten Inhalten aus dem Internet setzt an einer Technik an, die schon immer einen zweifelhaften Ruf hatte, die allerdings in Firmennetzwerken gang und gäbe ist: Dem guten, alten Proxying.

Wie funktioniert das Proxying?

Der Begriff „Proxy“ kommt aus dem Englischen und bedeutet übersetzt „Stellvertreter“. Und das beschreibt auch schon weitgehend die Funktion eines Proxys: Ein Rechner schickt eine Anfrage nicht direkt über das Internet an den Zielrechner, sondern schickt diese zunächst an einen Proxy, der diese dann weiterleitet. Der Einsatz eines Proxy kann hierbei mehrere Begründungen haben:

  • Man möchte die Rechner, die einen Proxy benutzen, verschleiern. Die Stellvertreterfunktion eines Proxy-Servers kann man dem Zielrechner mit einigen Übertragungsprotokollen signalisieren, muss das aber nicht. Wenn man beispielsweise in einem Unternehmensnetzwerk viele verschiedene Arbeitsplatzrechner hat, kann man deren Web-Zugriffe über einen Webproxy leiten, der dann nach außen hin als abrufender Rechner fungiert.
  • Man möchte redundante Abrufe möglichst verringern und setzt einen cachenden Proxy ein. Das ist in einigen Szenarien (beispielsweise einem Mailproxy) relativ sinnlos, bei einem Webproxy aber schon wieder interessant, denn ein cachender Webproxy kann so konfiguriert werden, dass er Seiteninhalte von häufig aufgerufenen Websites wie zum Beispiel eines Nachrichtenportals für einen bestimmten Zeitraum zwischenspeichert, so dass bei kurz aufeinanderfolgenden Abrufen diese zwischengespeicherten Seiteninhalte schneller und ohne neuerlichen Abruf aus dem Internet bereitstehen.

Beide Einsatzzwecke sind in Zeiten von Flatrates und NAT-Netzwerken inzwischen wieder am Aussterben, weil Datenverkehr inzwischen erheblich günstiger ist, als noch vor einigen Jahren und NAT-Netzwerke bereits von Hause aus ein hinter dem NAT-Gateway liegendes Netzwerk verschleiern – verschleiern müssen.

Dennoch ist Proxying noch nicht gänzlich verschwunden und versteckt sich manchmal sogar noch in Kommunikationsströmen, von denen der Nutzer glaubt, dass sie direkt wären, im Hintergrund aber über einen so genannten transparenten Proxy geleitet werden, in dem der Proxy-Einsatz nicht beim Benutzer eingestellt wird (wie zum Beispiel die Angabe der Webproxy-Adresse im Webbrowser), sondern die Kommunikation eines gesamten Übertragungsprotokolls über einen Proxy geleitet wird und dieser so ohne weiteres dadurch nicht sichtbar ist.

Wie wäre der Filteransatz im Proxying?

Der Filteransatz wäre ähnlich, wie beim Filteransatz per DNS: Eine Liste mit zu sperrenden Adressen würde bereitgestellt und in die Proxy-Konfiguration aufgenommen, die dann dafür sorgt, dass entsprechende Aufrufe nicht ausgeführt werden, mit einer Fehlermeldung enden oder an eine alternative Website weitergeleitet werden.

Würde ein transparenter Proxy eingesetzt werden, beispielsweise ein transparenter Webproxy, über den die gesamte Kommunikation, die von Anwendern über den HTTP-Standardport 80 initiiert werden, übertragen wird, so wäre die Überwachung – zumindest über diesen Standardport – weitgehend unumgänglich.

Wo hapert es im Filteransatz des Proxyings?

Das grundlegende Problem beim Proxying ist, dass es auch mit Einsatz von transparenten Proxys kaum möglich ist, dem Benutzer den Einsatz von alternativen Proxys zu verbieten. Beispiel:

Ein Provider setzt einen transparenten Webproxy ein, der alle Kommunikation über diesen leitet, der vom Benutzer über den HTTP-Standardport 80 initiiert wird. Der Benutzer stellt in seinem Webbrowser nun jedoch einen Webproxy ein, der beispielsweise im Ausland stationiert ist und der in dergestalt konfiguriert ist, dass dieser Proxy über eine andere Portadresse angesprochen wird, als der Port 80. Und schon ist der transparente Webproxy des Providers umgangen.

Noch viel banaler wird es mit SSL-verschlüsselten Websites, also mit HTTPS. HTTPS-Kommunikation erfolgt im Normalfall mit einer Ende-zu-Ende-Verschlüsselung, der Übertragungsweg zwischen Absender und Empfänger wird also im Normalfall von Webbrowser des Absenders und Webserver des Empfängers verschlüsselt. Da ein Webproxy hier bei einer hinreichend starken Verschlüsselung nicht ohne weiteres in den Kommunikationspfad „hineinschauen“ kann, kann es nur zwei Wege geben: HTTPS-Kommunikation untersagen oder unberührt durchlassen. Ersteres ist undenkbar, letzteres weitgehend Usus und damit das Schlupfloch. Eine theoretische Alternative wäre, dass der Webproxy auch HTTPS-Proxying beherrscht, also beim SSL-Verbindungsaufbau als „Mittelsmann“ automatisch eingebunden wird. Auch das halte ich jedoch im Sinne des Schutzes der elementarsten Privatsphäre für undurchsetzbar, zumal das auch technisch äußerst hochklassig und teuer ist.

Nicht zu unterschätzen ist generell der hardware-seitige Aufwand, der auf Seiten des Providers getroffen werden muss. Wollte man alle Web-Zugriffe über Proxys leiten, so müssen diese Server dementsprechend dimensioniert sein, diese Mengen an Datenverkehr auch in annehmbarer Zeit zu verarbeiten. Das ist schon bei mittelgroßen Providern eine herausfordernde Angelegenheit und wird bei nationalen Carriern eine zweifellos unternehmenskritische Geschichte.

Fazit

Proxying ist für Online-Sperren schon mal ein deutlich ambitionierterer Weg, als lahmes DNS-Filtering, allerdings auch ein Ansatz, der gewaltige Ressourcen und Investitionen erfordert und allein schon aus diesem Blickwinkel heraus kaum zu leisten ist – wir reden hier schon bei einem kleinen- bis mittelgroßen Provider von sechs- bis siebenstelligen Anschaffungskosten für Hardware und nachfolgenden Services wie Klimatisierung, Stromverbrauch etc. Zudem kommt hinzu, dass der Aufwand überproportional steigt, je stärker die technisch bedingten Schlupflöcher gestopft werden sollen. Wollte man darüberhinaus ernsthaft auch HTTPS-Kommunikation über Proxys leiten und analysieren – was, so derb sich das auch anhört, nur konsequent sein müsste – wäre dies das Ende aller gesicherten Anwendungen wie Online-Banking oder Online-Shopping, weil es einen direkten Eingriff in gesicherte Kommunikationskanäle bedeutet.

3 Gedanken zu „Technische Grundlagen zu Online-Sperren, Teil 2: Proxying.

  1. […] Teil 2: Proxying Bookmarken: sociallist_b2ecd2cb_url = ‚http://blog.netplanet.org/2009/03/30/technische-grundlagen-zu-online-sperren/‘; sociallist_b2ecd2cb_title = ‚Technische Grundlagen zu Online-Sperren.‘; sociallist_b2ecd2cb_text = “; sociallist_b2ecd2cb_tags = ‚Artikelserie,Grundlagen,Online-Sperre‘; Tags: Artikelserie, Grundlagen, Online-Sperre Dieser Artikel wurde am 30. März 2009 um 22:37 veröffentlicht und unter Netztechnik abgelegt. Sie können alle Reaktionen zu diesem Artikel mit dem RSS 2.0-Feed beobachten. Sie können eine Reaktion hinterlassen, oder einen Trackback zu Ihrer eigenen Site. […]

  2. Du beschreibst den Aufwand für eine Proxy-Infrastruktur schon recht drastisch. Ich würde aber mal behaupten, dass selbst das noch untertrieben ist. Ohne mehrere zig oder hundert Millionen Euro in eine solche Infrastruktur zu investieren, wird man keinen wesentlichen positiven Effekt erzielen. Hinzu kommen noch die negativen Effekte für die Wirtschaft, wie z.B. langsamere Datenübertragung.

    Man müsste das deutsche Internet schon recht stark abschottten, um die meisten oder alle Umgehungsversuche zu verhindern. Und das ist bei einer internationalen Wirtschaftsmacht im Zentrum von Europa so gut wie unmöglich zu erreichen, wenn man nicht gleichzeitig der Wirtschaft Schaden zufügen will. Und das will wohl keiner.

    1. Das zu beziffern, ist nicht einfach, denn es ist ja nicht nur ein Router, den man mehr braucht, sondern gleich komplette Server und Serverfarmen. Server brauchen Strom, erzeugen Abwärme, müssen gekühlt werden, brauchen Rackspace, einen größeren Raum, Überwachung, Vorhaltung von Ersatzteilen etc.

      Wichtig ist, dass man die Frage begreift, ob das Kosten-Nutzen-Verhältnis stimmt. Die Antwort dazu kann man sich dazu weitgehend denken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *