Wikipedia:Open proxy's (uitleg)
Inleiding
bewerkenOpen proxy's zijn er in vele maten en soorten. De gebruiker van Wikipedia, geregistreerd of niet, gebruikt meestal een open proxy om te voorkomen dat hij/zij op eenvoudige wijze geblokkeerd kan worden. Hoewel er valide redenen aangevoerd kunnen worden om van een of andere vorm van open proxy's gebruik te maken, is dat voor het bewerken van Wikipedia in alle gevallen onnodig. Indien iemand toch hiervan gebruikmaakt is het in de meeste gevallen redelijk te veronderstellen dat hier een potentiële trol of ongewenste sokpop achter zit.
Om die reden is geruime tijd geleden een project gestart om de situatie in kaart te brengen.
Terminologie
bewerkenIn de volgende uitleg wordt de volgende terminologie gebruikt:
- HTTP-header
- Iedere keer als er iets via het internet van punt A naar punt B wordt verzonden, bestaat het bericht uit twee delen, de zogenaamde HTTP-header en de payload. De HTTP-header bevat ten minste informatie die bij normale post op de envelop gezet zou worden, zoals bestemming en afzender. De payload is de feitelijke inhoud van het bericht, zoals het verzoek om een pagina op te sturen of de inhoud van die pagina zelf.
- Om open proxy's op te sporen en te detecteren, is de informatie die in de HTTP-header zit essentieel. Deze informatie is voor een normale gebruiker van het internet onzichtbaar, tenzij speciale software wordt toegepast.
- cliënt
- De machine die iets initieert heet de cliënt. De machine die door ontvangst van een bericht geactiveerd wordt om iets te doen, heet de server.
- proxy
- Hoewel de fysieke verbinding tussen cliënt en server fysiek over vele schijven kan en zal lopen (via zogenaamde routers en switches), is het logischerwijs een directe verbinding. Het kan echter zijn dat er een andere machine (computer) als intermediair tussenzit. Dat is dan vaak een zogenaamde proxy(server). In de keten cliënt - proxy - server, ziet de server de proxy als afzender van het bericht. Het antwoord gaat daar ook naar terug.
- Proxy's worden veelvuldig gebruikt om interne netwerken met het openbare internet te verbinden.
- open proxy
- Een normale proxy is alleen door cliënten die op het interne netwerk zijn aangesloten te gebruiken. Er zijn allerlei uitzonderingen hierop.
- Als de proxy echter ook te gebruiken is door een cliënt op het openbare internet, spreekt men van een open proxy.
- Open proxy's ontstaan om uiteenlopende redenen:
- Bewust zo ingesteld
- Foutieve configuratie van een normale proxy
- Als gevolg van een virus in enigerlei vorm. Dit heten ook wel zombiecomputers.
- sniffer
- Een systeem (hardware en/of software) dat van een bepaalde computer het in- en uitgaande internetverkeer monitort.
Soorten open proxy's
bewerkenGewone open proxy's
bewerken- Transparant
- Een transparante open proxy is de eenvoudigste vorm en biedt de minste privacybescherming. Zo een proxy geeft het IP-adres van de cliënt mee in de zogenaamde HTTP-header. Dat kan op meerdere manieren.
- Anoniem
- Bij een anonieme open proxy wordt het IP-adres van de cliënt niet meegestuurd. Alleen een "sniffer" die bijvoorbeeld het ingaande en uitgaande IP-verkeer van zo een proxy monitort is in staat achter het IP-adres van de cliënt te komen.
- Elite
- Bij dit soort open proxy's, ook wel "high anonymous" genoemd, wordt een andere proxy als intermediair gebruikt om de verbinding met de server te leggen. Voor een sniffer wordt het daarmee een stuk moeilijker het IP-verkeer te monitoren.
- Elite proxy's kunnen altijd van dezelfde (al dan niet open) proxy als intermediair gebruikmaken, of van steeds wisselende. In het laatste geval ontstaat een soort netwerk met min of meer dezelfde eigenschappen als het TOR-netwerk (zie hierna).
Exit servers
bewerkenZoals hierboven aangegeven kan een elite proxy gebruikmaken van een andere proxy om contact te maken met de server. Dit kan een enkele extra proxy zijn of meerdere, waarmee een keten van proxy's ontstaat. Als deze keten ook nog eens varieert ontstaat een zeer hoge graad van anonimiteit van de cliënt.
Overigens dient bedacht te worden dat deze anonimiteit nog steeds betrekkelijk is. Met uitzondering van het TOR-netwerk, waarvan bekend is dat die dat niet doen, is het voor elke andere proxy in de keten nog steeds mogelijk een database bij te houden van IP-nummers.
Voor Wikipedia is van belang te weten wat het IP-adres van de exitserver is. Immers de Wikipedia-servers zien alleen dat.
- TOR
- Dit is het meest bekende netwerk met de bedoeling anoniem op het internet te kunnen surfen. Om het te kunnen gebruiken is de installatie van een stukje software nodig. De verbinding tussen cliënt en server wordt opgebouwd via een willekeurige reeks van zogenaamde onion nodes (in feite dus semi-open proxy's) om uiteindelijk via een zogenaamde exit node de laatste stap naar de server te maken.
- De gebruiker van het netwerk kan zelf kiezen of hij/zij al dan niet een onion node en/of een exit node kan zijn.
- In de praktijk blijken er op enig moment van de dag rond de duizend IP-adressen een van deze of beide rollen te vervullen. Hiervan fungeert ongeveer de helft ook als exitserver. De lijst is voortdurend aan verandering onderhevig.
- Voor de bescherming van Wikipedia zijn alleen de IP-adressen van de exit nodes van belang.
- Soortgelijke netwerken
- Naast TOR zijn er soortgelijke netwerken, waarvan het bekendste CoDeeN (en) is. CoDeeN is een Content Distribution Network (CDN) gebouwd door Princeton University. CoDeeN biedt naast veel andere ook een soortgelijke functionaliteit als in het geval van TOR.
- Voor elite open proxy's
- Zoals hierboven aangegeven kunnen zogenaamde elite proxy's ook gebruikmaken van een stabiel of ad-hocnetwerk om daarmee een keten te bouwen van cliënt naar server.
Provider proxy's
bewerken- Normaal
- Er zijn internetproviders die hun klanten de mogelijkheid bieden gebruik te maken van een proxy. Hiermee zou aan snelheid gewonnen (kunnen) worden.
- Als zo een proxy juist geconfigureerd is, kunnen alleen klanten van die provider daar gebruik van maken.
- Een provider kan een of meerdere proxy's voor dit doel hebben. Het kan zijn dat de cliënt het IP-adres van een van die proxy's moet instellen in bijvoorbeeld de browser, het kan ook zijn dat de provider een mechanisme biedt waarbij van een pool van proxy's gebruikgemaakt kan worden. AOL bijvoorbeeld heeft voor dit doel een 55.000 proxy's in gebruik.
- Het gebruik van een proxy van de provider is in het algemeen niet verplicht.
- Safe surfen
- Er zijn aanbieders die beogen het surfen op het internet veilig te maken. Daartoe moet de browser zodanig ingesteld worden dat die altijd de proxy van die aanbieder gebruikt. Bepaalde url's met bijvoorbeeld pornografie worden dan gefilterd.
- Er zijn ook landen waarbij de providers verplicht worden om gebruik te maken van dit soort filters. Saoedi-Arabië is daar een voorbeeld van. Omdat in deze landen ook open proxy's voorkomen die vanaf het hele internet benaderbaar zijn, promoveren de IP-adressen van dit soort gateways zich automatisch tot exitserver.
- Gehackt
- Hierboven staat in het kort beschreven hoe provider proxy's zouden moeten werken. Het is echter niet uitgesloten dat dit soort proxy's gehackt zijn.
Gewone proxy's
bewerkenVoor de volledigheid ook een korte uitleg over gewone proxy's.
- Bedrijven / scholen e.d.
- Bedrijven, scholen, universiteiten, e.d. maken veelvuldig gebruik van proxy's. Het voordeel is dat maar 1 publiek IP-adres benodigd is en het interne netwerk voorzien kan worden van een van de IP-adressen die voor dit soort doeleinden gereserveerd zijn. Een IP-adres als 192.168.0.xxx bijvoorbeeld komt waarschijnlijk op miljoenen machines voor.
- Als de proxy juist geconfigureerd is, kan die alleen vanuit het interne netwerk gebruikt worden. In de praktijk blijkt dit echter niet altijd het geval. In een recent geval bijvoorbeeld ontstond een mailwisseling met de ICT-beheerder van een school, die geblokkeerd was, nadat vastgesteld was dat er een open proxy gebruikt werd. Na enige mails heen en weer, bleek er inderdaad een foutje te zitten in een configuratietabel in het systeem van de school.
- Gehackt
- Behalve dat configuratiefouten tot gevolg kan hebben dat een normale proxy ongewild open wordt, is ook gebleken dat dit soort proxy's gehackt kunnen worden.
Draadloos
bewerken- Open WLAN's
- Van een aantal regio's in Europa is bekend dat daar privé-initiatieven in ontwikkeling zijn om een ieder binnen het bereik van het netwerk draadloos toegang te bieden tot internet. Afgezien van de legitimiteit van dit soort projecten, is het netto effect hiervan voor Wikipedia te vergelijken met een open proxy.
Dit soort netwerken gebruikt in het algemeen ook meerdere vaste internetverbindingen en dus publieke IP-adressen.
- WLAN access points (hot spots)
- <volgt>
- UMTS/GPRS-proxy's
- Wanneer gebruikgemaakt wordt van mobiele apparatuur om te surfen, wordt dynamisch een IP-adres uit een blok toegewezen. Een aantal van dit soort blokken zijn inmiddels in kaart gebracht.
CGI/PHP-proxy's
bewerken- Anonymizers
- Een anonymizer, ook wel CGI- of PHP proxy genoemd, is een website die het mogelijk maakt via proxy's (een of meerdere) van die website te surfen. Deze proxy's zijn gelijk te stellen aan de exit servers van open netwerken (zie hierboven).
- Zombie CGI/PHP-proxy's
- Sommige (meestal goedkope) webhosting providers hosten websites (meestal Apache/PHP-configuraties), waar bij de installatie kennelijk - bewust of onbewust - een PHP (of CGI ?) proxy geconfigureerd wordt. Dergelijke websites hebben geen HTML-pagina die voor dit doel gebruikt kan worden, maar kunnen via poortscanning wel opgespoord en misbruikt worden.
Detectie en verificatie
bewerkenHet vinden van open proxy's is een probleem dat gelijk staat met het zoeken naar een speld in een hooiberg. Er zijn ongeveer 3 miljard publieke IP-adressen uitgegeven en er worden ook nog eens vele honderden poorten gebruikt om zo een open proxy aan te kunnen spreken.
Op het internet zijn talloze scanners actief, die alle mogelijke combinaties van IP-adressen en poorten testen op dit fenomeen. De resultaten worden op uiteenlopende sites gepubliceerd.
Een flink aantal daarvan worden via een automatisch proces dagelijks gescand en de resultaten worden in een database opgeslagen. Bij zo een scan worden dagelijks tussen de 500 en 1000 nieuwe ip-poort combinaties aan de database toegevoegd. Het aantal gescande combinaties is echter enkele ordegroottes groter. Er zitten dus veel duplicaten en "oude" open proxy's tussen.
Een ander proces, dat hele dagen (en nachten) doorloopt heeft als doel de open proxy eigenschap van zo een IP-adres te verifiëren. Dat kan in een bevestiging resulteren, maar ook tot de conclusie leiden dat het nummer langere tijd geen open proxy meer is. Dat laatste kan meerdere oorzaken hebben (herstel foute configuratie, verwijdering virus, etc.). In feite is het onmogelijk met 100% vast te stellen dat een bepaald IP-adres absoluut geen open proxy is of dat nooit geweest is. Maar na bijvoorbeeld 100 keer op willekeurige momenten niet in staat blijken om zelfs maar een connectie tot stand te brengen, rechtvaardigt toch wel de conclusie dat hier geen sprake (meer) is van een open proxy.
Een ander type scan verzamelt IP-adressen van anons die ooit een bewerking op wikipedia hebben gedaan. Ook die IP-adressen worden periodiek gescand op de eigenschap "open proxy" of niet. De "opbrengst" van dit soort scans is relatief niet zo groot, maar levert in een maand toch ruim 20 extra IP-poort combinaties die niet op een van de vele lijsten op internet voorkwamen.
Bij het verifiëren van de open proxy eigenschap van een IP-adres wordt tevens gekeken of daar weer andere open proxy's in cascade achter zitten. Dat levert de lijst van exit servers (niet te verwarren met TOR).
Eveneens periodiek worden beide hoofdstromen IP-adressen (mogelijke open proxy's enerzijds en IP-adressen die een bewerking op Wikipedia hebben gedaan anderzijds) via een aantal database queries tegen elkaar aangelegd. Dat is dan input voor het nader bekijken van de bijdragen van dat IP-adres en zonodig het blokkeren.
Dit is slechts een zeer beknopte beschrijving van het proces "achter de schermen". Om evidente redenen is het bewust zo beknopt gehouden.
Blokkeringsbeleid
bewerkenBlokkering van een open proxy van enigerlei type, kan preventief of reactief gebeuren.
Bij preventieve blokkering geschiedt deze ongeacht of het IP-adres wel of geen bewerking heeft gedaan. Dit betreft de voor Wikipedia meest "gevaarlijke" proxy's, die in de praktijk ook het lastigst te bestrijden blijken.
Bij reactieve blokkeringen wordt vooralsnog handmatig beoordeeld of blokkering noodzakelijk is en zo ja wat voor soort blokkering.
Preventieve blokkeringen worden automatisch uitgevoerd. Er wordt geen sjabloon op de GP of OP van de gebruiker gezet, maar de uitgevoerde blokkeringen worden in een raadpleegbare lijst gezet. Dit betreft voornamelijk exit servers, waarvan publicatie van de IP-adressen voor potentiële trollen op andere wiki's geen waarde heeft.
Blokkering van een IP-adres kan op meerdere manieren plaatsvinden. Minimaal worden anonieme bewerkingen vanaf het betreffende IP-adres geblokkeerd. Daarnaast kunnen vanaf dit IP-adres bewerkingen door geregistreerde gebruikers wel of niet toegelaten worden. Tevens kan het aanmaken van nieuwe accounts vanaf zo een IP-adres wel of niet toegelaten worden. De volgende tabel geeft hiervan een overzicht.
Type proxy | Blokkering | Geregistreerd bewerken toegestaan |
Aanmaken accounts toegestaan |
Opmerkingen |
---|---|---|---|---|
Gewone open proxy's | ||||
Open Transparant | reactief | neen | neen | |
Open Anoniem | reactief | neen | neen | |
Open Elite | reactief | neen | neen | Voor de gebruikte exit node(s), zie hieronder |
Exit Servers | ||||
TOR exit node | preventief | neen | neen | Lijst van geblokkeerde TOR exit servers; |
Exit node ander netwerk | preventief | neen | neen | Lijst van geblokkeerde CoDeeN servers |
Exit node voor Elite | preventief | neen | neen | Lijst van geblokkeerde exit servers |
Provider proxy's | ||||
Provider proxy – normaal | reactief | ja | neen | Alleen bij gebleken vandalisme |
Provider proxy – safe surfen | preventief | ja | neen | |
Provider – gehackt | preventief | neen | neen | |
Gewone proxy's | ||||
Bedrijven/scholen e.d. | reactief | ja | neen | Bij veelvuldig vandalisme (scholen e.d.) |
Gewone proxy's – gehackt | reactief | neen | neen | De beheerder meldt zich zonodig wel |
Draadloos | ||||
Open WLAN | preventief | neen | neen | |
WLAN access point | preventief | ja | neen | Gebruikers kunnen via een andere internet aansluiting een account aanmaken |
UMTS/GPRS | preventief | ja | neen | idem Lijst van geblokkeerde IP-adressen voor mobiel |
Anders | ||||
Anonymizer | preventief | neen | neen | Lijst van geblokkeerde anonymizers |
Zombie-CGI/PHP-proxy's | preventief | neen | neen | Lijst van geblokkeerde webhosting ranges |
Speciale gevallen | preventief | variabel | neen | Voor speciale gevallen (meestal ranges), zie Open proxy's - Speciale gevallen |
Slotopmerkingen
bewerken- De database van open proxy's bevat ook IP-adressen die niet door de IANA zijn vrijgegeven. Dit kan alleen maar doordat DNS-servers op een of andere manier zijn gehackt.
- Het kan natuurlijk zijn dat gebruikers die altijd geregistreerd werken maar dit via een van de hierboven vermelde proxytypen doen, door een blokkering op IP-niveau getroffen worden. Omdat zulke gebruikers de mogelijkheid hebben om ook zonder tussenkomst van deze proxyverbinding met de Wikipediaservers verbinding te maken, zijn zij niet blijvend uitgesloten. Als ze hun pc zodanig hebben ingesteld dat ze standaard via een open proxy werken, weten ze ook hoe dit ongedaan is te maken.
Meldteksten
bewerken- Type 1: Tor exit servers.
- Type 2: CoDeeN exit servers.
- Type 3: Andere exit servers.
- Type 4: Anonymizers.
- Type 5: Proxyservers van ISP's.
- Type 6: Dynamische IP's mobile.
- Type 7: Speciale gevallen (ranges).
- Type 8: "Gewone" open proxies.
- Type 9: Server hosts.
- Type 10: Spam/enkel vandalisme.
- Type 11: SOCKS proxy.
- Type 12: VPN (open).
- Type Z: Zombies.
- Type Zr: Dynamic ranges met zombies.
Zie ook
bewerken- Een peiling in De Kroeg uit 2007 over het toestaan van edits vanaf open proxies: Wikipedia:De kroeg/Peiling proxies
- Een peiling over de wenselijkheid van preventieve blokkades van hot spots en mobiel internet uit 2018: Wikipedia:Opinielokaal/Preventief blokkeren mobiel internet en wifi-spots