Posredniški (proxy) strežnik – definicija, delovanje in varnost
V računalniških omrežjih je posredniški strežnik strežnik (računalnik), ki ga odjemalci (ljudje ali računalniki) uporabljajo za dostop do drugih računalnikov ali storitev. Posredniški strežnik deluje v imenu odjemalca: odjemalec pošlje zahtevo proxy strežniku, ta pa nato komunicira z želenim (ciljnim) strežnikom in vrne odgovor odjemalcu. Posredniški strežnik, ki posreduje informacije odjemalcem, ne da bi jih spremenil, se pogosto imenuje prehod (gateway) ali včasih tunelski posredniški strežnik (tunneling proxy).
Kako deluje posredniški strežnik — po korakih
Poenostavljena potek običajne zahteve preko proxy strežnika:
- Odjemalec (npr. brskalnik) pošlje zahtevo proxy strežniku (npr. "pridobi stran X").
- Posredniški strežnik preveri, ali ima zahtevan vir v svojem predpomnilniku. Če je na voljo in velja (ni potekel), vrne vsebino neposredno od tam.
- Če vira nima ali je zastarel, se proxy obrne na ciljnega strežnika in posreduje odjemalčevo zahtevo.
- Ko prejme odgovor, ga proxy po potrebi lahko spremeni (npr. filtrira vsebino, doda/odstrani glave, stisne podatke) in ga pošlje nazaj odjemalcu.
Vrste posredniških strežnikov
- Posredniški strežnik v smeri odjemalec→strežnik (forward proxy): deluje za odjemalce in jim omogoča dostop do zunanjih virov (pogosto za filtriranje, predpomnjenje ali anonimizacijo).
- Obratni posrednik (reverse proxy): stoji pred enim ali več strežniki in sprejema zahteve od interneta; uporablja se za uravnoteženje obremenitve, SSL terminacijo, predpomnjenje in skrivanje notranje arhitekture.
- Transparentni proxy: posrednik, ki deluje brez potrebe po konfiguraciji odjemalca; odjemalec pogosto ne ve, da je zahteva preusmerjena.
- Anonimni, distorting in high-anonymity (elite) proxyji: različno skrivajo IP naslov odjemalca; anonimni sporočajo, da so proxy, distorting podajajo lažen IP, elite pa ne razkrijejo netočne informacije o izvoru.
- Tunneling proxy (npr. SOCKS, HTTP CONNECT): omogočajo tuneliranje prometa (npr. HTTPS) med odjemalcem in strežnikom, pogosto za ne-HTTP protokole ali varne povezave.
Protokoli in tehnologije
- HTTP/HTTPS proxy: usmerjajo spletne zahteve. Za HTTPS se pogosto uporablja metoda CONNECT, da vzpostavijo tunel.
- SOCKS proxy (SOCKS5): nizkonivojski proxy, podpira različne protokole in avtentikacijo.
- SSL/TLS: nekateri proxyji uporabljajo Secure Sockets Layer ali sodobnejši TLS za zaščito povezave med odjemalcem in posrednikom; v upravnih okoljih lahko proxy tudi »terminira« TLS in ponovno šifrira promet za analiziranje vsebine (deep packet inspection).
Uporabe posredniških strežnikov
- Predpomnjenje (caching) za hitrejši dostop do pogosto zahtevanih vsebin in zmanjšanje pasovne širine.
- Filtriranje vsebine in nadzor dostopa (npr. blokiranje spletnih strani, starševski nadzor, delovna politika podjetja).
- Anonimizacija in zaščita zasebnosti (skrivanje izvornega IP naslova).
- Uravnoteženje obremenitve in povečanje razpoložljivosti strežnikov (reverse proxy).
- Varnostne funkcije: Web Application Firewall (WAF), odkrivanje zlonamerne vsebine, preprečevanje napadov DDoS.
- Šifriranje in dešifriranje prometa za varnostno skeniranje (vključno z antivirusi in filtriranjem vsebine).
Predpomnilnik in upravljanje z vsebino
Predpomnilnik je zbirka že zahtevanih informacij, shranjenih za prihodnjo uporabo. Proxy lahko preveri glave HTTP (Cache-Control, Expires, ETag) in uporabi odzive kot viri za hitrejše storitve. Če je vsebina v predpomnilniku veljavna, proxy lahko vrne hitrejši odgovor ali pošlje 304 Not Modified, da odjemalec sam pridobi veljavno različico iz lokalnega predpomnilnika.
Varnost, zasebnost in tveganja
- Proxyji beležijo promet: zanesljivost zasebnosti je odvisna od zaupanja v lastnika proxy strežnika — zabeleženi podatki lahko vključujejo URL-je, časovne žige, IP naslove in vsebino nešifriranega prometa.
- SSL/TLS terminacija in »man-in-the-middle«: če proxy razšifrava HTTPS za pregled vsebine, gre za posredno dešifriranje, kar zahteva zaupanje in pravilno upravljanje certifikatov.
- Zlonamerni ali slabo konfigurirani proxyji lahko izpostavijo podatke, vstavljajo oglasne skripte ali širijo zlonamerno programsko opremo.
- Nezadostno vzdrževanje in napačna pravila lahko povzročijo uhajanje informacij ali neugoden vpliv na razpoložljivost storitev.
Priporočila in dobre prakse
- Uporabljajte zaupanja vredne proxy rešitve in preverite politiko beleženja (logging policy).
- Za občutljive podatke uporabite end-to-end šifriranje (npr. HTTPS/TLS) in preverite integriteto certifikatov.
- Redno posodabljajte programsko opremo proxy strežnika, da odpravite varnostne ranljivosti.
- Omejite dostop in uporabite avtentikacijo ter stroge politike dovoljenj; spremljajte in analizirajte zapise za odkrivanje sumljivih aktivnosti.
- Pri uporabi SSL/TLS terminacije zagotovite pravilno upravljanje zasebnih ključev in certifikatov ter jasno komunicirajte uporabnikom, če promet pregleda podjetniški proxy.
Primerjava s VPN in NAT
Proxy in VPN imata skupni cilj posredovanja prometa, a delujeta drugače: proxy običajno deluje na nivoju aplikacije (npr. HTTP) in preusmerja posamezne zahteve, medtem ko VPN ustvari šifriran tunel za ves omrežni promet med napravama. NAT (Network Address Translation) spreminja naslovno informacijo paketov za usmerjanje v zasebnih omrežjih in ni namenjen filtiranju vsebine ali predpomnjenju kot proxy.
Kratek povzetek
Posredniški strežnik je vmesni člen med odjemalcem in ciljnim strežnikom, ki omogoča predpomnjenje, filtriranje, anonimizacijo, uravnoteženje obremenitve in varnostne funkcije. Čeprav izboljša delovanje in nudi varnostne prednosti, prinaša tudi tveganja glede zasebnosti in varnosti, zato je pravilna konfiguracija, nadzor in zaupanje ključnega pomena.


Strežnik proxy posredno poveže dva računalnika med seboj.
Prednosti posredniških strežnikov
Uporaba posredniškega strežnika ima številne prednosti. Prvič, odjemalski računalnik lahko izmenjuje podatke z oddaljenim strežnikom, ne da bi vzpostavil neposredno povezavo. Na ta način oddaljeni strežnik ne pozna pravega internetnega naslova odjemalca. To se včasih imenuje anonimiziranje, ker je odjemalec anonimen. Druga prednost je, da ko lahko posredniški strežnik sam postreže z zahtevo odjemalca, ne bo več stopil v stik z oddaljenim strežnikom. Tako se z uporabo posredniškega strežnika zmanjša obremenitev oddaljenega strežnika. Tovrstni posredniški strežniki se imenujejo strežniki predpomnilnika.
Velike organizacije (ali celo države) včasih uporabljajo posredniške strežnike za nadzor dostopa do interneta. Velika banka lahko uporablja proxy strežnik, ki omogoča povezave samo z drugimi spletnimi mesti, pomembnimi za bančništvo. Lahko pa proxy strežnik blokira dostop do spletnih mest, ki ponujajo brezplačno elektronsko pošto ali ponujajo pornografsko gradivo. Prav tako lahko blokira dostop do aplikacij za izmenjavo datotek. Omejitev dostopa do določene vsebine v internetu se imenuje tudi filtriranje interneta.
Vrste in funkcije
Proxy strežnik ima lahko eno ali več spodaj opisanih funkcij:
Proxy strežnik za predpomnjenje
Strežnik proxy s predpomnilnikom lahko servisira zahteve odjemalcev, ne da bi se obrnil na oddaljeni strežnik; namesto tega pošlje podatke, ki jih je shranil iz prejšnje zahteve. To se imenuje predpomnjenje.
Strežniki posredniškega strežnika za predpomnjenje zmanjšajo delovno obremenitev oddaljenega strežnika. Vendar imajo svoje težave, zlasti če niso dobro konfigurirani. Nekatere težave so opisane v dokumentu RFC 3143.
Spletni posrednik
Spletni posrednik je posredniški strežnik, ki se osredotoča na promet prek svetovnega spleta. Uporablja se lahko za blokiranje žaljive spletne vsebine ali za nadzor dostopa odjemalcev do spletnih vsebin. Uporabljajo jih lahko korporacije ali države.
Spletne posrednike je mogoče uporabiti tudi za sledenje, kako različni posamezniki uporabljajo dostop do interneta.
Anonimiziranje posredniškega strežnika
Anonimizacijski posredniški strežnik zaradi anonimnosti iz zahtevkov odjemalcev odstrani identifikacijske podatke. Uporabljajo se lahko tudi za prebijanje filtriranih vsebin v internetu.
Odprti proxy
Strežnik proxy se imenuje odprt strežnik proxy, če se lahko vsakdo poveže z njim in ga uporablja. Običajno so odprti proxy strežniki slabo konfigurirani proxy strežniki. Odprte posrednike je mogoče zlahka zlorabiti; slab uporabnik lahko na primer pošlje škodljivo zahtevo oddaljenemu strežniku, vendar se skrije za odprtim posrednikom, tako da ga skrbniki oddaljenega strežnika ne morejo ustaviti. Odprti posredniki se lahko uporabljajo tudi za pošiljanje neželene pošte. Zato nekatera spletna mesta ne dovoljujejo povezav do svojih spletnih strežnikov ali urejanja vsebine na njih prek znanih odprtih proxyjev.
Prisilni pooblaščenec
Prisilni posredniški strežnik je posredniški strežnik, ki skrbi za ves promet od odjemalca do interneta. Odjemalec ne bo vedel, da posredniški strežnik obstaja, vendar bodo vse informacije potekale prek posredniškega strežnika. Včasih jih imenujemo "transparentni" posredniški strežniki, ker uporabnik ne ve, da je med odjemalcem in oddaljenim strežnikom posredniški strežnik.
Proxy strežnik SMTP
Transparentni posredniški strežnik SMTP je posredniški strežnik SMTP, ki je vstavljen med poštni strežnik pošiljatelja in poštni strežnik prejemnika. Glavni namen posredniškega strežnika SMTP je filtriranje nezaželene pošte. Proxy se maskira tako, da odjemalec in strežnik verjameta, da se pogovarjata drug z drugim, čeprav je vmes proxy.
Programska oprema
Za delovanje posredniškega strežnika je na voljo veliko programske opreme. Nekatera programska oprema lahko deluje samo kot posredniški strežnik, druga pa lahko deluje tudi kot požarni zid ali strežnik predpomnilnika. Squid, Varnish in Microsoft Internet Security and Acceleration Server (ISA Server) so med najbolj znanimi deli programske opreme za strežnike proxy. Nekatera proxy programska oprema uporablja protokol SOCKS. Tak primer je Java SOCKS Proxy Server.
Vprašanja in odgovori
V: Kaj je posredniški strežnik?
O: Posredniški strežnik je računalnik, ki ga odjemalci uporabljajo za dostop do drugih računalnikov. Deluje kot posrednik med odjemalcem in oddaljenim strežnikom ter posreduje informacije sem in tja, ne da bi jih spremenil.
V: Kaj je prehod ali predorski posredniški strežnik?
O: Prehodni ali tunelski posredniški strežnik je vrsta posredniškega strežnika, ki odjemalcem posreduje informacije, ne da bi jih spremenil.
V: Kako deluje posredniški strežnik?
O: Ko se odjemalec poveže s posredniškim strežnikom, zaprosi za neko storitev, na primer datoteko, povezavo, spletno stran ali drug vir, ki je na voljo v drugem strežniku. Posredniški strežnik gre nato v drugi strežnik in zahteva, kar odjemalec želi zanj.
V: Kaj lahko proxy strežniki počnejo z informacijami?
O: Pooblaščenci lahko spreminjajo informacije, ki jih posredujejo svojim odjemalcem, in če različni odjemalci večkrat dostopajo do istih informacij, lahko uporabijo predpomnilnik, da bi bile stvari hitrejše. Predpomnjenje vključuje shranjevanje predhodno dostopnih podatkov za prihodnjo uporabo, tako da če je treba do istih podatkov ponovno dostopati, jih ni treba zahtevati od drugega strežnika.
V: Kje se lahko namestijo posredniki glede na odjemalce in strežnike?
O: Pooblaščenci so lahko nameščeni kjer koli med odjemalcem in oddaljenim strežnikom, vključno s programsko opremo na obeh računalnikih ali na katerem koli računalniku med njima.
V: Katere varnostne ukrepe uporabljajo nekateri posredniki?
O: Nekateri posredniki lahko uporabljajo Secure Sockets Layer (SSL) za zavarovanje povezav med odjemalci in oddaljenimi strežniki, tako da noben drug računalnik ne more prebrati ali razumeti, kaj se od njega zahteva.