Proxy, reverzní proxy a VPN
Autor: Ondřej Svoboda
05. 01. 2023
VPN (Virtual Private Network, virtuální soukromá síť) představuje vzdálené síťové rozhraní, na které je směrována veškerá komunikace ze síťového rozhraní na koncovém zařízení. Tato komunikace se následně odesílá z VPN přímo k destinaci.
Veškerá síťová komunikace daného zařízení, ať už se jedná o prohlížení webu, mailovou komunikaci, hraní her nebo SSH přístup, je v případě používání VPN směrována z počítače na vzdálené síťové rozhraní. Váš poskytovatel internetového připojení tudíž o vaší síťové aktivitě neví skoro vůbec nic, akorát může zjistit, zda VPN používáte, což je opravdu snadno zjistitelné, protože veškerý datový tok proudí z vašeho počítače na jednu jedinou vzdálenou IP adresu.
VPN je zpravidla komerční produkt.
Proxy (prostředník) zpravidla funguje jako mezikrok mezi koncovým zařízením a jeho cílovou destinací. Proxy se zpravidla používá pro zpracování komunikace pouze jednoho určitého síťového protokolu nebo aplikace. Nejčastěji se jedná o prohlížeče, tedy HTTP/HTTPS protokol, port 80/443.
Mnohé proxy servery jsou dostupné zdarma, což je ale velmi často znát na rychlosti a stabilitě připojení. Komerční proxy servery jsou samozřejmě mnohem rychlejší. Proxy server se nejčastěji používá jako filtr HTTP/HTTPS komunikace.
Užití proxy
1. Omezení přístupu na internet v rámci firemní sítě
Jeden z nejčastějších důvodů užití proxy. Jak jinak levně zatrhnout zaměstnancům surfování na internetu v pracovní době? Zprovoznit HTTPS proxy a zablokovat IP adresy.
2. Přístup na zablokované webové stránky
Stejně jako lze přes proxy zablokovat přístup na dané webové stránky, stejně tak lze tuto blokaci pomocí proxy obejít.
3. Mezikrok mezi požadavkem a destinací
Pomocí proxy je možné filtrovat jak odchozí komunikaci, tak i příchozí. V případě příchozí komunikace se jedná o reverzní proxy.
Dejme tomu, že máte firmu a chcete skrýt svou síťovou infrastrukturu před uživateli internetu. Díky reverzní proxy bude veškerá vaše síťová infrastruktura vystupovat na internetu pod jednou jedinou IP adresou, která bude patřit právě reverse-proxy serveru. Pod tímto reverse-proxy serverem může být skryto x dalších serverů. S tím souvisí další bod.
4. Vyvažování zátěže (load balancing)
V rámci prevence přetížení může reverzní proxy komunikovat se servery, které jsou pod ní skryty, a na základě vytíženosti jednotlivých serverů určit, který server bude zpracovávat příchozí komunikaci.
5. Lepší krizový management
Je podstatně snadnější zamezit a řešit případné DoS útoky, pokud prochází pouze přes jedno síťové rozhraní, které patří právě reverzní proxy. Toto jediné síťové rozhraní celé siťové infrastruktury ale může zároveň být i tou největší slabinou. Kdyby reverzní proxy server spadl, tak v takovém případě nebude možné zpracovávat a předávat serverům veškeré příchozí požadavky, neboť jejich jediné spojení s internetem nebude dostupné.
VPN zkrátka předává veškerou komunikaci vaší síťové karty té vzdálené, odkud tato komunikace proudí k destinaci. Samotná VPN má většinou dvě IP adresy - jednu pro příchozí komunikaci, jednu pro odchozí. Koncového uživatele tak není možné identifikovat ani v případě, že by se provozovatel webu dohodl s poskytovatelem internetového připojení. ISP uvidí jednu adresu, web server jinou. Uživatele, který používá VPN, by tedy bylo možné letmo identifikovat pouze porovnáváním časových údajů v logu ISP a v logu cílového web serveru. To je ale samozřejmě nespolehlivý, nic nevypovýdající způsob, který by navíc v praxi byl velmi výpočetně náročný.
Proxy se vždy věnuje jednomu jedinému protokolu, nejčastěji se jedná o HTTP/HTTPS protokol, tudíž webová komunikace.