Vad är en proxyserver och hur fungerar den?

Även om en proxy är ett bra verktyg för integritet så är det bra mycket säkrare att använda ett VPN. Ett VPN erbjuder nämligen flera lager av säkerhet, inte bara omdirigering av trafik. Många VPN-tjänster krypterar till exempel din trafik, vilket en proxy inte gör av sig självt. Däremot kan man visserligen på egen hand implementera krypteringsalgoritmer på en proxy, men det kräver teknisk kunnighet många inte besitter. Ett VPN är alltså ett smidigt alternativ om du inte vill, eller inte är kapabel att hålla på och fippla med tekniken. Det finns många skillnader mellan en proxy och ett VPN som du kan läsa mer om här på vår hemsida.

Vad gör en proxyserver? Proxy är ett engelskt ord och betyder ombud, vilket perfekt beskriver en proxyservers funktionalitet. Den agerar mellanhand åt en klient eller server när det kommer till att skicka eller ta emot förfrågningar. I grund och botten är det inte mer komplicerat än så.

Steg för steg går det till så här: klienten gör en förfrågan efter webbinnehåll (bilder, text och annan data) från en server som har den lagrad. Istället för att direkt kontakta denna server, går förfrågan genom en proxy först. Proxyn kontrollerar så att klientens meddelande följer vissa i förväg fastställda regler. Om så är fallet går meddelandet vidare. Om inte, så får klienten upp ett felmeddelande som informerar om varför förfrågan inte gick igenom.

När meddelandet passerat tas det emot och behandlas av mottagarservern. Denna skickar sedan sitt svar till proxyn. Här kan proxyn ändra på meddelandet ytterligare. Till exempel cachelagra det, filtrera specifikt innehåll eller kräva autentisering. När meddelandet är färdigbehandlat når det till slut klienten. En proxy är inte bara någonting man kan implementera på klientsidan, utan det är också ett sätt för hemsidor att chacha innehåll och spåra användares aktiviteter utan att de vet om det.

Proxyservrar är ett väsentligt verktyg för att säkra och på olika sätt hantera nätverkstrafik. Eftersom definitionen av en proxy är så bred, täcker begreppet ett stort antal användningsområden.

Nätverksfiltrering

En proxyserver kan användas för att blockera användares åtkomst till vissa webbplatser eller webbinnehåll. De kan alltså fungera som en brandvägg och därigenom upprätthålla regelverk, implementera censur, motverka att nätverkets enheter utsätts för skadlig kod, stoppa nätfiske och förhindra att användare kommer åt olämpligt innehåll.

Men precis på samma sätt kan en proxy användas för att kringgå restriktioner. Genom att använda en proxy på klientsidan kan man omdirigera trafiken på ett sätt som undviker vissa begränsningar. Detta kan vara begränsningar som sätts av internetleverantören, administratörer eller myndigheter.

IP-maskering

Eftersom en proxyserver ansluter till nätet å en klients vägnar, är det enkelt att implementera maskering av IP-adressen. Istället för att mottagaren av en förfrågan ser avsändarens IP-adress så ser de serverns.

Detta är ett bra verktyg för att förbättra integritet på nätet, men saknar som sagt kryptering, vilket erbjuds av många VPN-tjänster utan att användaren behöver göra någonting. Om man låter en proxy hantera kryptering, gör man ofta det för att inte webbservern ska behöva hantera kryptografi (vars beräkningar kan bli tunga) eller leverans av innehåll. Proxyn kan sköta tyngre uppgifter och således lätta på lasten för nätverket.

Lastbalansering

Proxys erbjuder också många fördelar när det kommer till prestanda. En bra användning av en proxy på servernivå är att cachelagra resurser som ofta efterfrågas av klienter. En hemsida som alltid visar samma innehåll för varje användare kan dra fördel av cachelagring för att förbättra prestandan.

En proxyserver kan också fördela en stor volym förfrågningar på olika servrar för att förhindra överbelastning. Om du har ett nätverk av servrar som levererar innehåll till användare – till exempel om du driver en hemsida – vill du kunna lastbalansera så att ingenting kraschar eller går långsamt. En proxyserver kan omdirigera trafik och på så sätt se till så att allting fungerar korrekt.

Det finns flera användningar av en proxy och de olika klassifikationerna är därför många. Det enklaste sättet att kategorisera dem är att ha i åtanke var i kedjan mellan klient och server proxyn befinner sig. Det vill säga, om det är en forward eller reverse proxy.

Forward proxy

När en klient som ingår i ett nätverk utrustat med en forward (framåtriktad) proxy försöker ansluta till internet eller annat externt nätverk, kommer all trafik först behöva passera proxyn. Proxyns specifika beteende beror på hur den är inställd, men per definition sköts all kontakt med externa klienter genom den.

En klients förfrågan kan antingen godkännas eller nekas beroende på hur proxyn är konfigurerad. Om förfrågan godkänns skickas den vidare till brandväggen för att sedan som vanligt nå sin destination. Så vitt externa klienter vet är det proxyn som skickat förfrågan, inte klienten. Svaret adresseras därför till proxyservern som ju vet vilken klient i det interna nätverket som inledde processen och kan därför vidarebefordra svaret rätt. En proxyserver håller reda på allt detta automatiskt.

Man behöver inte vara tekniskt insatt för att direkt se fördelarna med detta. Det tvingar all trafik att gå igenom en och samma port, vilket förbättrar säkerheten. En byggnad blir ju bra mycket säkrare om det bara finns en enda ingång. En forward proxy gör det alltså lättare att upprätthålla en säkerhetspolicy. Det förbättrar även förmågan att autentisera och kryptera data.

Reverse proxy

Precis som namnet antyder är en reverse (omvänd) proxy en proxy som, istället för att agera mellanhand för klienter, agerar mellanhand för servrar. Denna typ av proxy sitter mellan en eller flera servrar och vidarebefordrar förfrågningar från klienter till korrekt server. Detta skiljer sig från en forward proxy som sitter framför klienter som skickar förfrågningar.

Du har alltså en ganska subtil skillnad mellan en forward och en reverse proxy, men den är viktig att förstå. Från klientens sida ser forward proxyn till så att ingen server som är ordinarie avsändare av förfrågad data kommer i direkt kommunikation med klienten som begärde den. Från serverns sida ser reverse proxyn till så att ingen klients förfrågan kommunicerar direkt med ordinarie avsändare av datan klienten begärde.

En reverse proxy döljer varifrån trafiken kommer, men har egentligen flera olika användningar. Om man till exempel har en hemsida som lockar till sig många besökare krävs det ofta mer än bara en server för att hantera all trafik. En reverse proxy används ofta i syfte att balansera och distribuera inkommande trafik på flera olika servrar. På så sätt ser man till att ingen enskild server blir överbelastad.

En reverse proxy kan också användas som cache. Det vill säga, som lagringsenhet för data som ofta efterfrågas. Genom att ha en lokal proxyserver behöver inte data färdas från ordinarie avsändare varje gång, utan istället kan man lagra ofta eftersökt information externt. Det finns många fler användningar för en forward och reverse proxy än enbart det vi gått igenom ovan, bland annat SSL-kryptering, skydd mot DDoS-attacker, åtkomst av blockerat innehåll, osv.

Ett annat sätt att klassificera olika typer av proxys är baserat på vilken operatör som erbjuder tjänsten och var den befinner sig.

Residential proxy

Så kallade residential proxys är ett nätverk av mellanliggande enheter som ägs av riktiga personer och som tillhandahålls av en internetleverantör (ISP – Internet Service Provider). IP-adresserna är alltså direkt associerade med en fysisk enhet, vilket bland annat gör dem svårare att blockera. Till skillnad från en datacenterproxy som använder molnservrar och pooler av IP-adresser, kan man däremot identifiera ISP:n bakom en residential proxy. Anonymiteten får alltså lida något på den fronten.

Residential proxys roterar även IP-adressen, men intervallet varierar beroende på specifika omständigheter. Jämfört med en datacenterproxy är en residential proxy långsammare och kostar mer men erbjuder dessutom hög grad av anonymitet och fler valmöjligheter. Vilken som passar bäst varierar från fall till fall. Man kan inte säga att den ena är direkt bättre än den andra.

Datacenterproxy

En datacenterproxy, även känd som DC-proxy, allokerar IP-adresser till klienter från pooler som drivs av datacenter och tredjepartsleverantörer av molntjänster. Eftersom en datacenterproxy inte är kopplad till din internetleverantör kan de effektivt dölja användarens faktiska IP-adress. Denna typ av proxy har också större beräkningskraft bakom sig, vilket gör att den är lämplig att använda för storskaliga implementationer av proxy där hög prestanda är ett krav.

En datacenterproxy används för olika ändamål, bland annat för effektiv web-scraping, efterforskning relaterad till marknadsföring, sökmotoroptimering och i syfte att kringgå IP-baserade begränsningar. Numera finns det tjänster som kan upptäcka om en datacenterproxy används och därmed begränsa tillgång, så i vissa fall måste man använda andra alternativ.

Mobilproxy

En mobilproxy är en proxy där den intermediära IP-adressen använder ett mobilt nätverk. När du använder mobila proxyservrar omdirigeras alltså din internettrafik via mobila enheter som är anslutna till diverse nätverksleverantörer. Någonting som är viktigt att notera är dock att det inte räcker att anslutningen kommer från en mobil enhet. Den måste också använda mobildata. Du kan alltså inte använda wifi. Om enheten är ansluten till wifi betraktas det som en residential proxy, inte en mobilproxy.

Det som skiljer mobila proxyservrar från andra och som även gör dem dyrare, är att hemsidor helst inte vill blockera dem. Anledningen till detta är bristen på IPv4-adresser. IPv4 är det primära protokollet för IP-adresser och stöder endast drygt 4 miljarder unika IP-adresser. Detta är en numerisk betingad begränsning som inte går att komma undan, utan som är inbyggd i protokollet. Många av dessa är dessutom frysta adresser som används av myndigheter och institutioner, så protokollet har bristande kapacitet.

Mobiloperatörerna kom in på marknaden relativt sent. Mobilen började bli populär när de flesta IPv4-kombinationerna redan hade tilldelats. Med dessa begränsningar var de tvungna att tillgodose det snabbt växande antalet mobila enheter genom att införa CGNAT-teknik. Detta innebär att varje offentlig IP-adress representerar hundratals användare.

Låt oss nu säga att du äger en hemsida. Skulle du hellre tillåta att en viss IP-adress potentiellt gör saker du annars hade blockerat (t.ex. web-scraping) eller helt förbjuda den och därmed riskera att blockera åtkomsten för hundratals användare som är helt oskyldiga? Det är ett svårt beslut att fatta, och det är just därför en mobilproxy är svår att blockera.

När det gäller prissättningen är det tyvärr inte lika fördelaktigt. Mobila anslutningar kräver nämligen lite mer arbete och resurser. Bandbredden är till exempel dyrare. Kostnaden tenderar att avspegla detta och vara betydligt högre än vanliga residential proxys.

Att använda en proxy kan förbättra integriteten på nätet. Men graden av anonymitet beror på vilken typ av proxy man använder.

Transparent proxy

En vanlig proxy fungerar som en mellanhand mellan dig och internet. Den tar emot dina förfrågningar och vidarebefordrar dem åt dig. Din begäran skickas först till en proxyserver, som ändrar din privata IP-adress till en offentlig och vidarebefordrar informationen till avsedd destination. En transparent proxy skiljer sig från en anonym i att den bland annat inte maskerar klientens IP-adress. En transparent proxy modifierar alltså enbart meddelandet för att det ska kunna identifiera och autentisera sig mot proxyn, inte för att dölja användaren.

Transparenta proxys kräver ingen konfiguration på klientsidan, utan kan användas utan klientens samtycke eller godkännande. Som användare är du inte nödvändigtvis medveten om att din trafik omdirigeras genom en transparent proxy. En transparent proxy används bland annat för att blockera tillgång till vissa hemsidor, övervaka aktivitet på ett nätverk och se till så att bandbredd inte slösas på saker som nätverket inte är gjort för. Myndigheter, företag, skolor och universitet använder transparenta proxys för att hindra åtkomst till vissa hemsidor som i sammanhanget inte är lämpliga.

Anonym och höganonym proxy

En anonym proxy döljer användarens IP-adress för externa servrar. Tyvärr räcker inte alltid detta. Annan information kan användas för att identifiera vem det är som kopplar upp sig. En anonym proxy kan avslöja information som till exempel vilken webbläsare en specifik klient använder, operativsystem och språkinställningar. Det är svårare att personligen identifiera dig, men genom att analysera informationen som läcks kan man göra bättre gissningar.

Det är här en höganonym proxy kommer in i bilden. Med en höganonym proxy döljs mer än bara IP-adressen. Även annan sorts identifierande information som följer med i meddelandet i form av en HTTP-header döljs. För aktiviteter som kräver hög integritet är detta ett bra alternativ.

Roterande proxy

En roterande proxy har en uppsättning IP-adresser som den regelbundet roterar mellan. Ju fler IP-adresser, desto säkrare. Denna metod förbättrar anonymitet och tar bort problematiken med IP-blockering. En roterande proxy kan vara till nytta för till exempel webbskrapning, datainsamling och andra sorters aktiviteter som kräver att klienten skickar många förfrågningar under en kort period.

Distorting proxy

En distorting proxy, eller mer försvenskat, en förvrängande proxy, är en proxyserver som döljer sina klienters IP-adresser genom att ge servern som mottar förfrågan en falsk IP-adress.

Tillgänglighet är också någonting som är viktigt att tänka på. Här finns det några olika kategorier att känna till.

Allmän proxy

En allmän proxy (känd på engelska som public proxy) är en proxyserver som alla har åtkomst till. Du behöver inte autentisera dig, vilket bland annat sänker tillförlitligheten och hastigheten. Naturligtvis löper dessa större risk att blockeras.

Gemensam proxy

En gemensam eller delad proxy är en proxyserver som används av flera användare samtidigt. Dessa användare delar alltså samma IP-adress. Tack vare speciell programvara kan de skiljas åt av proxyn så att svar på förfrågningar kan skickas rätt. Vad som skiljer dessa från allmänna proxys är att det kräver autentisering för att användas. Vem som helst har inte tillgång.

Privat proxy

Om en proxy endast används av en person, institution eller organisation kallas det för en privat proxy. Dessa proxyservrar ger användare en helt egen IP-adress. Kostnaden är tyvärr högre än för föregående två varianter, men det får man tillbaka många gånger om i form av säkerhet och prestanda.

Den tekniska sidan av proxyservrar är också bra att kunna. Här går vi igenom hur olika nätverksprotokoll som brukar användas.

HTTP-proxy

HTTP står för Hypertext Transfer Protocol och är ett av internets mest grundläggande protokoll. En HTTP-proxy hanterar – vilket man kanske förväntar sig – HTTP-förfrågningar. En HTTP-proxy lämpar sig bra för saker som cachelagring tack vare dess effektivitet. Däremot är det inte det bästa valet för säker trafik.

HTTPS-proxy

Till skillnad från HTTP hanterar inte HTTPS förfrågningar i ohanterat textformat. HTTPS står för Hypertext Transfer Protocol Secure och är en variant av HTTP som dessutom krypterar innehållet. Om integritet och säkerhet är viktigt för dig, bör du använda HTTPS istället för HTTP.

SSL-proxy

En SSL-proxy hanterar SSL-trafik mellan klienter och servrar. Den har kapacitet att dekryptera och analysera trafik för att förbättra säkerheten. Den kan bland annat se till så att enbart behöriga användare har åtkomst till vissa hemsidor.

SMTP-proxy

SMTP står för Simple Mail Transfer Protocol. En SMTP-proxy hanterar e-posttrafik mellan klienter och servrar. En SMTP-proxy kan skanna meddelandet och säkerställa att det inte är spam eller innehåller skadlig kod. Den kan dessutom optimera trafiken genom cachelagring.

FTP-proxy

FTP står för File Transfer Protocol. En FTP-proxy hanterar, återigen precis som namnet antyder, FTP-trafik. Dessa proxys hanterar filöverföring över nätet och ger ökad säkerhet och kontroll genom att sätta begränsningar på filer. Ibland vill man begränsa filöverföringen så att inte för stora filer kan överföras.

DHCP-proxy

DHCP står för Dynamic Host Configuration Protocol. DHCP hämtar IP-adresser och annan nätverksrelaterad information. Det är vanligt att DHCP-proxys används av stora nätverk i syfte att dela ut IP-adresser.

DNS-proxy

DNS står för Domain Name System och en DNS-proxy hanterar DNS-förfrågningar från klienter och vidarebefordrar dem till korrekt DNS-server. Dessa proxys används för att blockera och omdirigera trafik så att den hamnar rätt.

Smart DNS-proxy

En smart DNS-proxy är en DNS-proxy som är optimerad för att strömma media. DNS-förfrågningar tas emot och skickas vidare till en speciell DNS som är gjort för att hantera denna specifika typ av trafik.

SIP-proxy

SIP står för Session Initiation Protocol och en SIP-proxy hanterar röstkommunikation i form av bland annat lastbalansering och optimering av prestanda. Speciella säkerhetsfunktioner som kryptering och skydd mot DDoS-attacker medföljer också.

Trots den stora mängden olika varianter av proxyservrar, erbjuder många av dem samma fördelar.

Integritet och säkerhet

Genom att använda en proxyserver kan trafik filtreras. Detta är i sig ett bra verktyg för att öka säkerheten i ett givet system. Du kan till exempel blockera skadliga hemsidor, förhindra att nätverkets klienter kommer i kontakt med skadlig kod och förhindra mer förödande angrepp som DDoS-attacker. En proxy kan också användas för att maskera IP-adresser, vilket gör det svårare att spåra internetaktivitet. Det ger dig alltså mer integritet och högre säkerhet när du är ute på nätet.

Prestanda

En proxyserver används ofta av operatörer av hemsidor för att cachelagra innehåll som ofta levereras. Detta ger bättre responstider och en bättre upplevelse för användare. Proxyservern kan också göra saker som att komprimera data och lastbalansera, vilket nästan är ett måste om du driver, eller håller på att utveckla, en tjänst som du vet har eller kommer ha många kunder.

Kontroll

Om ett företag eller institution vill kunna upprätthålla vissa policyer över hela företaget beträffande internetanvändning, är en proxy ett utmärkt alternativ. Här kan trafik blockeras och utsättas för samma kontroller oavsett var i företaget den kommer från. Vissa hemsidor kanske man inte vill att anställda ska ha tillgång till. Man kanske heller inte vill att nätverket används utanför arbetstid. Detta är enkelt att implementera med en proxy.

Även om det finns många fördelar med att använda proxyservrar, kan man inte ignorera problemen som ibland uppstår.

Säkerhetsrisker

Att använda en proxyserver kräver att administratören som konfigurerar och underhåller den vet vad hen gör. Eftersom en större volym trafik passerar en proxy än vanliga komponenter i ett nätverkssystem, är det viktigt att de har installerats med säkerhet i åtanke. Konsekvenserna av en äventyrad proxy kan vara förödande. Om rätt kryptering används och om dataloggningen utförs på ett säkert sätt, behöver man för det mesta inte oroa sig alltför mycket.

Latens

Eftersom all trafik måste passera och behandlas av en proxy, kommer hastigheten naturligtvis vara långsammare. Lyckligtvis är detta sällan märkbart. Den ökade säkerheten man får är mer än värt den knappt kännbara latensen. Som vi nämnt tidigare kan dock en proxy i vissa fall öka hastigheten. Åtminstone om den implementeras på serversidan och gör så att servern kan nyttja metoder som cachelagring och lastbalansering. Men den där lilla extra tiden det tar som en följd av att trafiken passerar proxyn är oundviklig.

Kostnad

Att överhuvudtaget ha den tekniska kunskapen för att kunna implementera och underhålla en proxy, kräver som sagt att man anlitar någon. Personen som sköter proxyn har ett mycket viktigt arbete eftersom attacker mot den eller fel i dess konfiguration kan innebära fullständigt driftstopp för hela nätverket. Allt detta kostar pengar. Underhåll av en proxy kräver inte bara personalresurser, utan också att man använder korrekt mjuk- och hårdvara. För mindre företag som behöver mer avancerad funktionalitet kan detta vara en avgörande nackdel.