We can define a transparent proxy as a server that acts as an intermediary system intercepting the connection between an end-user and a content provider. Other names for transparent proxy are inline proxy or forced proxy. We use the word ‘transparent’ with the proxy because it intercepts requests by intercepting packets directed to the destination
Şeffaf proxy'yi, son kullanıcı ile içerik sağlayıcı arasındaki bağlantıyı kesen bir aracı sistem olarak hareket eden bir sunucu olarak tanımlayabiliriz. Şeffaf proxy'nin diğer adları satır içi proxy veya zorunlu proxy'dir. Proxy ile 'şeffaf' kelimesini kullanıyoruz çünkü hedefe yönlendirilen paketleri yakalayarak istekleri keser ve hedefin kendisi isteği işliyormuş gibi görünmesini sağlar. Şeffaf proxy'ler son kullanıcı tarafından değil, web sitesi veya ağ operatörü tarafından kurulur.
Bazen şeffaf bir proxy için 'zorunlu proxy' terimini de kullanırız. Bunun nedeni, bilgisayarlarının proxy ayarlarını değiştirmeden bir kullanıcının bağlantısına uygulanabilmesidir. Sonuç olarak, şeffaf proxy'ler kullanıcılara rızaları olmadan dayatılabilir, ancak çoğu durumda varlıklarını bilirler.
Güvenlik duvarı, dahili bir ağ ile İnternet arasında trafik geçişine izin veren ancak güvenlik duvarının kural tablosunu ihlal etmesi durumunda trafiği engelleyen şeffaf bir proxy örneğidir.
Şeffaf proxy'lerin diğer örnekleri içerik dağıtım ağlarıdır (CDN'ler). Kaynak sistemi değiştirmeden veya açığa çıkarmadan yedeklilik, önbellekleme sağlar ve hızı artırırlar. Kullanıcı doğrudan hizmet sağlayıcısına bağlı olduğunu düşünür, ancak gerçekte CDN tüm taleplerini yerine getirir. Google, Twitter ve Facebook gibi teknoloji şirketleri milyonlarca isteği minimum kesinti süresiyle bu şekilde yönetir.
Aşağıdakiler, her kurduğumuzda standart şeffaf proxy ayarlarıdır:
İstemci tarafında şeffaf bir proxy konuşlandırabiliriz, yani proxy bir istemci uç noktasına giden ve gelen tüm trafiği engeller. İstemci tarafında şeffaf proxy'lerin kullanım alanları şunlardır:
Birden fazla kişi aynı içeriğe aynı bölgeden veya konumdan eriştiğinde - örneğin, birkaç öğrenci aynı haber sitesini üniversite ağları üzerinden görüntülediğinde, içeriği başlangıçta önbelleğe almak ve sonraki kullanıcılara önbellekten sunmak için şeffaf bir proxy kullanmak daha verimlidir.
Hücresel İnternet operatörleri ve halka açık wifi noktaları bazen kullanıcıları ağda kimliklerini doğrulamaya ve hizmet şartlarını kabul etmeye zorlamak için şeffaf proxy'ler kullanır. Yalnızca kullanıcı şartları ve koşulları onayladığında ve kabul ettiğinde sörf yapmalarına izin verilir.
Çoğu kullanıcı, şeffaf proxy aracılığıyla ilk kimlik doğrulama ekranından sonra bile tüm bağlantının operatör tarafından ele geçirilebileceği ve izlenebileceği konusunda hiçbir fikre sahip değildir.
Bir ağı işletirken, kullanıcı trafiğini ve davranışını izlemek için şeffaf bir proxy kurabiliriz, ancak trafik izlemenin birçok gayrimeşru kullanımı da vardır. Örneğin, vicdansız ve güvenilmez bir halka açık wifi operatörü, kullanıcının bağlantılarını kolayca izleyebilir ve kimlik bilgilerini ve verileri çalabilir.
Ağ trafiğini kurallara göre değiştirmek veya engellemek için bir ağ geçidi proxy'si kullanabiliriz. Bir ağ geçidi proxy'si örneği, yukarıdaki örnekte tartışılan şeffaf bir güvenlik duvarı proxy'sidir.
Gereksiz ve istenmeyen içeriği filtrelemek için şeffaf bir proxy de kullanabiliriz. Örneğin, proxy belirli bir web sitesi talep edildiğinde talebi web sunucusuna iletmekten kaçınabilir. Bunun yerine, bağlantıyı keser ve kullanıcıya bir bildirim veya hata mesajı görüntüler.
Bir sunucuyu SYN-flood Denial of Service (DoS) saldırısına karşı bir tür şeffaf proxy, yani TCP intercept kullanarak koruyabiliriz. Bir web sunucusuna giden tüm trafiği durdurma, istemci isteklerini kabul etme ve üç yönlü bir el sıkışma gerçekleştirme işlevini yerine getirir. Ayrıca, trafiğin kesilmesi başarılı olursa, sunucu ile üç yönlü bir el sıkışma gerçekleştirir, böylece istemci ve sunucu arasındaki iki yarı bağlantıyı birleştirir.
İletim Kontrol Protokolü, TCP isteklerini kontrol eder ve genellikle bağlantı kurmak için 30 saniye bekler. Aktif olmayan bağlantı sayısı belirli bir eşiği aştığında 'agresif moda' girer. Bu modda, gelen her yeni bağlantı en eski pasif bağlantının silinmesine neden olur.
Ancak yukarıda belirtilen teknik artık modern, büyük ölçekli Dağıtılmış Hizmet Engelleme (DDoS) saldırılarına karşı etkili değildir. Bunun nedeni, saldırganların günümüzde milyonlarca zombi bilgisayarı ve yüksek güçlü sunucuları kontrol ederek bir TCP engelleme denetleyicisini alt eden SYN selleri yaratmalarıdır.
Bu nedenle günümüzde çoğu kuruluş Imperva'nın DDoS Koruması gibi bulut tabanlı hizmetleri kullanmaktadır. Bu hizmetler büyük DDoS saldırılarına karşı koruma sağlayabilir ve ayrıca talep üzerine ölçeklendirilerek büyük ölçekli saldırılarla daha fazla başa çıkabilir.
Örneğin, DDoS hizmetleri uygulama katmanı saldırılarını ve TCP katmanında gerçekleşmeyen protokol saldırılarını önleyebilir.
Bir İçerik Dağıtım Ağını (CDN), coğrafi konumlarına yakın kullanıcılara içerik sunan ve önbelleğe alan, küresel olarak dağıtılmış bir proxy sunucu ağı olarak tanımlayabiliriz.
Bir CDN örneği, sunucu tarafında çalışan şeffaf bir proxy olan Imperva'nın Global Content Delivery Network'üdür. Amacı, son kullanıcı deneyimini iyileştirmek için ön uç optimizasyonu gerçekleştirmektir. Bir web sunucusuna giden trafiği keser ve kullanıcının sunucuya doğrudan erişmesine izin vermek yerine sunucu önbelleğinden aynı içeriği sunar. Sonuç olarak, kullanıcı performansı iyileştirilir ve sunucuda gereken sistem kaynakları azaltılır.
Şeffaf proxy çok çeşitli avantajlara sahip olsa da, karmaşık kurumsal ortamlarda bazı hayal kırıklıkları yaratabilir.
Sağlamlık Eksikliği: Bir istemci ile önbellek arasında bir bağlantı kurulursa ve istemcinin artık "yönlendiren" ağ cihazından geçmeyen bir yolu benimsemesine neden olan bir yönlendirme değişikliği meydana gelirse, oturum kesilir ve kullanıcı sayfayı yeniden yüklemek zorunda kalır.
Öte yandan, İnternet'teki yönlendiriciler çırpınıyorsa (bir yönlendirici bir hedef ağın reklamını hızlı bir sırayla dönüşümlü olarak yapıyorsa), sonuçlar daha da öngörülemez olacaktır.
Tarayıcı bağımlılığı: Çoğu şeffaf proxy, başarılı bir çalışma için tarayıcının HTTP istek başlığında kaynak sunucunun ana bilgisayar adını sağlamasına güvenir.
Bu önbellekler, paketin IP adresinden kaynak sunucunun hedef IP adresine erişemediği için gereklidir.
Bu nedenle, bir önbellek özlemi oluştuğunda, isteği gönderecekleri kaynak sunucu adresini belirleyemezler.
İnternet trafiğinin şeffaf bir proxy kullanılarak izlenebileceğini ve filtrelenebileceğini tartıştık. Ayrıca web ile etkileşim şeklimizi de şekillendiriyor. İster istenmeyen içeriği filtreleyerek, ister önbelleğe alarak veya işletmelere ağları üzerinde daha fazla kontrol sağlayarak verileri daha hızlı sunsun, şeffaf proxy herhangi bir rahatsızlık vermeden internete işlevsellik katar.