Unsichtbarer Proxy möglich?

[mensa]

Guten Morgen,

gibt es eine Möglichkeit einen ganz einfachen Proxy einzurichten, der sämtlichen HTTP und HTTPS Transfer ohne Authentifizierung durchläßt und dabei für die Website Betreiber aber völlig unsichtbar bleibt, dass die Anfrage über einen Proxy kam? Ich möchte den Proxy so konfigurieren, dass es nach außen hin so aussieht, als würde man direkt auf die Seite kommen, ohne den Proxy.
Selbst merkt man davon eh nichts, das ist mir schon klar. Aber kann man es so konfigurieren, dass der Seitenbetreiber auch nichts merkt?

 

[TCM]

Klar, einfach keine Header schicken, die auf Proxies hindeuten (z.B. Via, Forwarded, X-Forwarded-For etc.)

 

[mensa]

Danke für die rasche Antwort. Ich möchte mir einen Squid Proxy auf einer kleinen Linux Kiste für ein paar Tests einrichten.
Also grundsätzlich funktioniert der ja eh schon, aber ich möchte den halt so konfigurieren, dass nach außen hin eben nichts erkennbar ist. Weißt du wie man so eine Konfiguration nennt? Damit ich überhaupt mal einen Suchbegriff hab.
Oder ist der Squid Proxy von Haus aus eh so konfiguriert?

 

[TCM]

Versuch mal squid stealth mode oder sowas. Von Haus aus ist er nicht so konfiguriert, weil die Standards sagen, dass ein Proxy bestimmte Header zu setzen hat, blabla.

Du kannst auch Seiten wie z.B. httpbin(1): HTTP Client Testing Service nutzen, die dir alle Header ausgeben, die sie erhalten haben.

 

[dirk11]

Und das soll für https funktionieren? Glaube ich nicht.

 

[TCM]

squid : ssl_bump configuration directive bzw. einfach mal die SSL-Optionen durchgucken.

 

[mensa]

Danke, ich habe inzwischen diesen Link gefunden: https://adamscheller.com/systems-administration/remove-proxy-headers-squid/
So hab ichs jetzt konfiguriert und die Header sehen aus, wie wenn ich ohne Proxy daherkomme.
Wie kann ich es denn für HTTPS testen? Wozu brauche ich ssl_bump, das habe ich leider nicht verstanden.

 

[TCM]

Für HTTPS musst du wesentlich mehr Aufwand betreiben. Wenn dir auf Anhieb nicht klar ist, warum und wie, dann hilft leider auch kein Config-Schnipsel, der das mal eben umsetzt.

Falls du dich doch versuchen willst: SQUID Transparent Proxy (HTTP+HTTPs) z.B.

 

[mensa]

Meinst du für HTTPS muss man wesentlich mehr Aufwand betreiben, dass es überhaupt funktioniert, oder dass man nach außen surft, als hätte man keinen Proxy in Verwendung?

 

[TCM]

Das HTTP im HTTPS ist dasselbe. Es geht nur um die TLS/SSL-Schicht drumrum.

 

[mensa]

Ok, danke für die Erklärung.
Also HTTPS Seiten kann ich problemlos erreichen. Muss ich mir jetzt sorgen machen, dass die Header bei HTTPS doch geschwätziger sind, als bei HTTP und es ist somit erkennbar, dass ich einen Proxy benutze?

 

[TCM]

Im Moment wird HTTPS höchstwahrscheinlich einfach direkt per CONNECT durchgehen, d.h. der Inhalt wird nicht verändert. An der Stelle wäre es interessant, was der Proxy überhaupt für einen Zweck haben soll und ob der Inhalt von HTTPS-Verbindungen für den überhaupt relevant ist.

 

[mensa]

Es geht um folgendes:

Auf meinem Windows 10 PC habe ich als Gateway standardmäßig meinen ersten Router mit der Adresse 192.168.1.1 eingetragen, diesr geht geht per 50 MBit/s DSL ins Internet.
Für Testzwecke habe ich in meinem LAN noch einen zweiten Router (192.168.1.99) mit eigener DSL 30 MBit/s Leitung.

Mein kompletter PC, bis auf eine einzige Ausnahme soll eben die schnelle Hauptleitung verwenden, das passiert ja über die Windows Netzwerk-Einstellungen. Die Ausnahme sollte der Google Chrome Browser sein. Gibt es irgendeine Möglichkeit, dass ich Chrome beibringe, dass er nicht über das, in den Windows-Netzwerkeinstellungen eingetragene, Gateway 192.168.1.1 ins Internet geht, sondern über Gateway 192.168.1.99?
In Chrome direkt finde ich leider nicht. Kennt ihr eine Möglichkeit oder ein Chrome Add-On oder ein Windows Programm, das mir hier helfen könnte?
Würde eine zweite Netzwerkkarte helfen / das erleichtern?

Siehe auch eigener Thread dazu: Eigenes Gateway für bestimmtes Programm (z.B. Chrome Browser)

Da ich aber leider bis jetzt keine Lösung gefunden habe, wie Chrome dazu bringen könnte, eine bestimmte Netzwerkkarte oder Gateway zu verwenden, habe ich das vorübergehend einfach so gelöst, dass ich im Chrome meinen Proxy eingetragen habe. Der Proxy soll einfach total alles durchschleifen, ohne User Authentifizierung oder irgendwas und halt nicht erkennbar sein, dass ein Proxy verwendet wird.
Vielleicht fällt dir in dem Zusammenhang noch eine andere Möglichkeit ein? Oder bin ich mit meiner Konfiguration eh am richtigen weg?

EDIT: Noch lieber wärs mir ja, wenn ich einfach meinen Tomato Router als Proxy eintragen könnte, der alles unverändert durchreicht und nicht als Proxy erkennbar ist, aber das scheint nicht so einfach möglich zu sein.

EDIT2: HTTPS Verbindungen müssen mit dem Proxy schon funktionieren, da ich viele Websites verwende, welche HTTPS verwenden.

 

[TCM]

Achso, dann vergiss das alles mit dem HTTPS aufbrechen. Das kannst du einfach so lassen, da kann der Proxy so nichts dran ändern und auch keine Header einschleusen.

 

[mensa]

Cool, danke für deine vielen Tipps und sorry, dass ich mich zu Beginn vielleicht nicht ganz klar ausgedrückt habe.
Eine Idee, wie ich ein bestimmtes Windows Programm über eine bestimmte Netzwerkkarte "zwingen" (oder zumindest ein eigenes Gateway vorgeben) könnte, hast du eh nicht zufällig? Das wäre halt noch eine bessere Lösung.

 

[dirk11]

squid : ssl_bump configuration directive bzw. einfach mal die SSL-Optionen durchgucken.

Und das wirft bei mir im Client keinen Fehler? Ist doch eigentlich MITM, oder nicht?

 

[NTB]

Magst du nochmal erklären, warum die Seite den Proxy nicht sehen darf?
Welcher Seitenbetreiber interessiert sich denn dafür?

Edit: wie wäre es einfach mit einer Virtual Machine?

 

[Boy2006]

Servus
Ich möchte das selbe machen wie du mit den Proxy nur halt auf Win weil dort kann ich einen Antivirus rennen lassen der alles was über den Proxy rennt überprüfen kann.
Und je nach Hersteller bricht dieser HTTPS auf.

 

[TheBigG]

Warum macht man sich den Aufwand mit Squid? Ein SSH Tunnel geht auf allen Linuxkisten mit SSH und da wird nicht an den Headern rumgespielt. Guck dir mal proxifier an für Programme die kein SOCKS5 können

 

[NTB]

Ich verstehe nicht, was du in diesem Zusammenhang mit SSH willst. Kannst du das erläutern?

 

[TCM]

Und das wirft bei mir im Client keinen Fehler? Ist doch eigentlich MITM, oder nicht?

Wenn das dein eigener Proxy ist und du legitim für dich selbst SSL aufmachen willst, musst du dann natürlich auch ein entsprechendes CA-Zertifikat erstellen und in deinem Browser installieren. Ansonsten gibt es natürlich zurecht Warnungen. Aber das war ja hier letztendlich komplett übers Ziel hinaus.

 

[TheBigG]

Ich verstehe nicht, was du in diesem Zusammenhang mit SSH willst. Kannst du das erläutern?

Als Proxy nutzen ohne irgendwelchen Aufwand und für eine Webseite nicht erkennbar

 

[p4n0]

Das geht nicht ohne weiteres. Schon gar nicht mit deinen Vorkenntnissen.

 

[NTB]

Als Proxy nutzen ohne irgendwelchen Aufwand und für eine Webseite nicht erkennbar

Ich weiß immer noch nicht, wie du das machen willst. Magst du nicht genauer werden?

 

[mensa]

Wie könnte man denn einen Tomato Router so hinbiegen, dass er als Proxy arbeitet? Er soll einfach sämtliche Daten unverändert und ungefiltert durchschleifen.

 

[Boy2006]

Squid installieren ka ob das teil genug Speicher hat.

 

[p4n0]

Er kann aber nicht sämtliche Daten unverändert und ungefiltert durchstreifen. Bei https hoerts naemlich auf ^^

 

[mensa]

Er kann aber nicht sämtliche Daten unverändert und ungefiltert durchstreifen. Bei https hoerts naemlich auf ^^

Warum hörts da auf? Der Squid Proxy, was aktuell auf einer Linux Kiste läuft, schafft das von Haus aus. Also ich kann ohne Probleme HTTPS Seiten verwenden.

 

[p4n0]

Das https zeug wird standardmaeßig bypassed. Ansonsten steckst du ruck zuck in mim-konfigurationen.

 

[mensa]

Was heißt bypassed? Es muss doch genau so über die Leitung des Proxies gehen, oder?
Oder glaubst du, dass Chrome für HTTPS Seiten nicht den Weg über den Proxy geht?