Protocol de descoberta automàtica de servidor intermediari web

El protocol de descoberta automàtica de servidor intermediari web (WPAD) és un mètode utilitzat pels clients per localitzar l'URL d'un fitxer de configuració mitjançant mètodes de descobriment DHCP i/o DNS. Un cop finalitzada la detecció i la descàrrega del fitxer de configuració, es pot executar per determinar el proxy per a un URL especificat.

Història[modifica]

El protocol WPAD només descriu el mecanisme per descobrir la ubicació d'aquest fitxer, però el format de fitxer de configuració més utilitzat és el format de configuració automàtica de proxy dissenyat originalment per Netscape el 1996 per a Netscape Navigator 2.0.^[1] El protocol WPAD va ser redactat per un consorci d'empreses com Inktomi Corporation, Microsoft Corporation, RealNetworks, Inc. i Sun Microsystems, Inc. (ara Oracle Corp.). WPAD està documentat en un INTERNET-DRAFT que va expirar el desembre de 1999.^[2] Tanmateix, WPAD encara és compatible amb tots els navegadors principals.^[3]^[4] WPAD es va incloure per primera vegada amb Internet Explorer 5.0.

Context[modifica]

Perquè tots els navegadors d'una organització rebin la mateixa política de servidor intermediari, sense configurar cada navegador manualment, calen les dues tecnologies següents:

Estàndard de configuració automàtica de proxy (PAC): creeu i publiqueu un fitxer de configuració central de proxy. Els detalls es discuteixen en un article separat.
Estàndard del protocol de detecció automàtica de servidor intermediari web (WPAD): assegureu-vos que els navegadors d'una organització trobaran aquest fitxer sense la configuració manual. Aquest és el tema d'aquest article.

L'estàndard WPAD defineix dos mètodes alternatius que l'administrador del sistema pot utilitzar per publicar la ubicació del fitxer de configuració del servidor intermediari, mitjançant el protocol de configuració dinàmica d'amfitrió (DHCP) o el sistema de noms de domini (DNS):

Abans d'obtenir la seva primera pàgina, un navegador web que implementa aquest mètode envia una consulta DHCPINFORM al servidor DHCP local i utilitza l'URL de l'opció WPAD a la resposta del servidor. Si el servidor DHCP no proporciona la informació desitjada, s'utilitza DNS. Si, per exemple, el nom de xarxa de l'ordinador de l'usuari és pc.department.branch.example.com, el navegador provarà els URL següents al seu torn fins que trobi un fitxer de configuració del servidor intermediari dins del domini del client:

{{format ref}} http://wpad.department.branch.example.com/wpad.dat
{{format ref}} http://wpad.branch.example.com/wpad.dat
{{format ref}} http://wpad.example.com/wpad.dat
{{format ref}} http://wpad.com/wpad.dat (en implementacions incorrectes, vegeu la nota a Seguretat a continuació)

A més, a Windows, si la consulta DNS no té èxit, s'utilitzarà la resolució de noms de multidifusió local d'enllaç (LLMNR) i/o NetBIOS.^[5]^[6]

Requisits[modifica]

Perquè WPAD funcioni, s'han de complir alguns requisits:

Per utilitzar DHCP, el servidor s'ha de configurar per oferir l'opció "site-local" 252 ("auto-proxy-config") amb un valor de cadena de per exemple {{format ref}} http://example.com/wpad.dat on " example.com" és l'adreça d'un servidor web.
Per utilitzar el mètode només DNS, cal una entrada DNS per a un host anomenat WPAD.
L'amfitrió a l'adreça WPAD ha de poder servir una pàgina web.
En ambdós casos, el servidor web s'ha de configurar per servir el fitxer WPAD amb un tipus MIME d' application/x-ns-proxy-autoconfig.
Si s'utilitza el mètode DNS, s'ha d'ubicar un fitxer anomenat wpad.dat al directori arrel del lloc web WPAD.
Els fitxers PAC es discuteixen a l'article de configuració automàtica del servidor intermediari.
Aneu amb compte quan configureu un servidor WPAD en un entorn d'allotjament virtual. Quan s'utilitza la detecció automàtica de proxy, WinHTTP i WinINET a Internet Explorer 6 i anteriors envien una capçalera "Amfitrió: <adreça IP>" i IE7+ i Firefox envien una capçalera "Amfitrió: wpad". Per tant, es recomana que el fitxer wpad.dat estigui allotjat a l'amfitrió virtual predeterminat en lloc del seu propi.
Internet Explorer versió 6.0.2900.2180.xpsp_sp2_rtm sol·licita "wpad.da" en lloc de "wpad.dat" al servidor web.
Si s'utilitza Windows Server 2003 (o posterior) com a servidor DNS, és possible que s'hagi de desactivar la llista global de consultes bloquejades del servidor DNS, o bé es pot modificar el registre per editar la llista de consultes bloquejades.

Seguretat[modifica]

Tot i que simplifica enormement la configuració dels navegadors web d'una organització, el protocol WPAD s'ha d'utilitzar amb cura: errors simples poden obrir les portes als atacants per canviar el que apareix al navegador d'un usuari:

Un atacant dins d'una xarxa pot configurar un servidor DHCP que distribueixi l'URL d'un script PAC maliciós.
Si la xarxa és "company.co.uk" i el fitxer {{format ref}} http://wpad.company.co.uk/wpad.dat no es publica, els navegadors demanaran {{format ref}} http://wpad.co.uk /wpad.dat. Abans de la introducció de la llista de sufixos públics a la dècada de 2010, alguns navegadors no podien determinar que wpad.co.uk ja no era dins de l'organització.
El mateix mètode s'ha utilitzat amb {{format ref}} http://wpad.org.uk. Això solia servir un fitxer wpad.dat que redirigiria tot el trànsit de l'usuari a un lloc de subhastes a Internet.
Els ISP que han implementat el segrest de DNS poden trencar la cerca de DNS del protocol WPAD dirigint els usuaris a un host que no és un servidor intermediari.
Les consultes WPAD filtrades podrien provocar col·lisions de noms de domini amb esquemes de noms de xarxes internes. Si un atacant registra un domini per respondre a consultes de WPAD filtrades i configura un servidor intermediari vàlid, hi ha la possibilitat de dur a terme atacs d'home-in-the-middle (MitM) a través d'Internet.

Referències[modifica]

↑ «Navigator Proxy Auto-Config File Format» (en anglès). Netscape Navigator Documentation, March 1996. Arxivat de l'original el 2007-03-07. [Consulta: 10 febrer 2015].
↑ Gauthier, Paul; Josh Cohen; Martin Dunsmuir; Charles Perkins IETF, 28-07-1999 [Consulta: 10 febrer 2015].
↑ «Chromium #18575: Non-Windows platforms: WPAD (proxy autodetect discovery) does not test DHCP» (en anglès), 05-08-2009. [Consulta: 10 febrer 2015].
↑ «Firefox #356831 - Proxy autodiscovery doesn't check DHCP (option 252)» (en anglès), 16-10-2006. [Consulta: 10 febrer 2015].
↑ «Troubleshooting Web Proxy Auto Discovery (WPAD) issues» (en anglès). GFI Software. Arxivat de l'original el 2021-04-14. [Consulta: 10 febrer 2015].
↑ Hjelmvik, Erik. «WPAD Man in the Middle» (en anglès), 17-07-2012. [Consulta: 10 febrer 2015].

[1] «Navigator Proxy Auto-Config File Format» (en anglès). Netscape Navigator Documentation, March 1996. Arxivat de l'original el 2007-03-07. [Consulta: 10 febrer 2015].

[2] Gauthier, Paul; Josh Cohen; Martin Dunsmuir; Charles Perkins IETF, 28-07-1999 [Consulta: 10 febrer 2015].

[chrome-3] «Chromium #18575: Non-Windows platforms: WPAD (proxy autodetect discovery) does not test DHCP» (en anglès), 05-08-2009. [Consulta: 10 febrer 2015].

[firefox-4] «Firefox #356831 - Proxy autodiscovery doesn't check DHCP (option 252)» (en anglès), 16-10-2006. [Consulta: 10 febrer 2015].

[5] «Troubleshooting Web Proxy Auto Discovery (WPAD) issues» (en anglès). GFI Software. Arxivat de l'original el 2021-04-14. [Consulta: 10 febrer 2015].

[6] Hjelmvik, Erik. «WPAD Man in the Middle» (en anglès), 17-07-2012. [Consulta: 10 febrer 2015].

[1]

[2]

[3]

[4]

[5]

[6]