¿Los paquetes procesados por un proxy son nuevos o modificados?

1
Client ---> First packet ---> Proxy ---> New packet? ---> Server 

Si hablamos de sistemas proxy, ¿se descarta el primer paquete y se crea un nuevo paquete, o sigue siendo el mismo paquete (se reduce TTL) si solo se modifica el direccionamiento de Capa 2? Entonces, si se cambia el direccionamiento L2, ¿hablamos de un nuevo "paquete" / "marco"? ¿Qué pasa si SSL / TLS está involucrado?

    
pregunta adam86 08.07.2017 - 13:02
fuente

1 respuesta

3

Al usar un proxy, hay una conexión entre el cliente y el proxy y otra conexión entre el proxy y el servidor. Estas conexiones suelen ser totalmente independientes con respecto a TTL, control de flujo TCP, tamaño del paquete (cuando se usa TCP), etc. A menudo también tienen diferentes puertos e IP de origen y destino, es decir, con un proxy explícito, el objetivo de la conexión desde el servidor es el proxy , el destino de la conexión al servidor es el servidor (diferente del proxy) y el origen de esta conexión es el proxy (y no el cliente). Incluso el contenido de la capa de aplicación puede ser diferente, por ejemplo, al insertar X-Forwarded-For headers en la solicitud HTTP original al reenviar la solicitud o Via headers en la solicitud y la respuesta.

Algunos proxies extraen explícitamente información de la capa de paquetes de la conexión de origen y los aplican a la conexión de destino cuando reenvían los datos. A menudo, esta es la dirección IP de destino cuando el proxy está configurado para ser utilizado de manera transparente. También podría ser IP de origen (y puerto) si el proxy se utiliza de manera totalmente transparente (transparencia de destino y fuente). En teoría, también podría ser posible extraer el TTL original y aplicarlo cuando se reenvía, pero no conozco ningún proxy que haga esto.

Con SSL / TLS involucrado, la situación no es diferente. Si se realiza la intercepción SSL, entonces hay una conexión SSL del cliente al proxy y otra del proxy al servidor para que el proxy pueda obtener los datos de texto sin formato. Si no se realiza una intercepción SSL, todavía hay dos conexiones TCP pero el proxy enviará los datos cifrados directamente.

Tenga en cuenta que el comportamiento de un proxy como se usa en una puerta de enlace de capa de aplicación como se describe anteriormente es diferente de la Inspección de paquetes profundos (DPI) como se hace en muchos cortafuegos de próxima generación (pero no todos, algunos emplean proxies). Con DPI, el paquete original se reenvía, lo que incluye la misma fuente, dirección IP, puerto y también TTL. La intercepción SSL no es posible de esta manera, es decir, para esto los firewalls también emplean tecnologías de proxy (transparente) con una conexión SSL entre el cliente y el firewall y otra entre el firewall y el servidor.

    
respondido por el Steffen Ullrich 08.07.2017 - 13:52
fuente

Lea otras preguntas en las etiquetas