Keela WPAD Windowsis, et jääda turvaliseks avalikes Wi-Fi võrkudes
Web Proxy Auto-Discovery (WPAD) annab organisatsioonidele võimaluse automaatselt oma süsteemis puhverserverit konfigureerida. Windows lubab selle sätte vaikimisi. Siin on põhjus, miks see on probleem.
WPAD on tõesti kasulik, kui organisatsioon, nagu teie ettevõte või kool, peab konfigureerima oma võrguga ühenduse loomiseks puhverserveri. See säästab teid sellest, et teil on vaja asju ise üles seada. WPAD võib siiski tekitada probleeme, kui ühendate pahatahtliku avaliku Wi-Fi-võrguga. Kui WPAD on sisse lülitatud, saab see Wi-Fi võrk puhverserverit automaatselt Windowsis konfigureerida. Kogu veebibrauseriliiklus suunatakse läbi puhverserveri, kui olete ühendatud Wi-Fi-võrguga, mis võib potentsiaalselt avaldada tundlikke andmeid. Enamik operatsioonisüsteeme toetab WPAD-i. Probleem on selles, et Windowsis on WPAD vaikimisi lubatud. See on potentsiaalselt ohtlik seade ja seda ei tohiks lubada, kui te seda tõesti ei vaja.
WPAD, selgitatud
Proxy servereid, mida ei tohi segi ajada virtuaalsete eravõrkudega (VPN-idega), on mõnikord vaja veebi sirvimiseks mõnes äri- või koolivõrgus. Kui konfigureerite oma süsteemis puhverserverit, saadab teie süsteem teie sirvimisliikluse läbi puhverserveri, mitte otse külastatud veebisaitidele. See võimaldab organisatsioonidel veebi filtreerimist ja vahemällu salvestamist teha ning võib osutuda vajalikuks mõnede võrkude tulemüüride möödahiilimiseks.
WPAD-i protokoll on loodud selleks, et võimaldada organisatsioonidel hõlpsalt puhverserveri seadeid pakkuda kõigile võrguga ühendavatele seadmetele. Organisatsioon võib paigutada WPAD-i konfiguratsioonifaili tavalisse kohta ja kui WPAD on lubatud, kontrollib teie arvuti või muu seade, kas võrgus on olemas WPAD-i puhverserveri teave. Seejärel kasutab teie seade automaatselt kõiki puhverserveri konfigureerimisfaili (PAC) seadeid, saates kogu liikluse praeguses võrgus puhverserveri kaudu.
Windows vs. teised operatsioonisüsteemid
Kuigi WPAD võib osutuda kasulikuks funktsiooniks mõnes äri- ja koolivõrgus, võib see põhjustada suuri probleeme avalikes Wi-Fi-võrkudes. Te ei soovi, et teie arvuti konfigureeriks puhverserverit automaatselt, kui loote kohvikus, lennujaamas või hotellis avaliku WiFi-võrguga ühenduse.
Sellepärast keelavad enamik operatsioonisüsteeme vaikimisi WPAD. iOS, macOS, Linux ja Chrome OS toetavad WPAD-i, kuid see on välja lülitatud. Kui soovite, et seade avastaks puhverserveri sätted automaatselt, peate WPADi lubama.
See ei kehti Windowsi puhul. Windows lubab WPADi vaikimisi, nii et see konfigureerib automaatselt proksiserveri seaded mis tahes võrku ühendate.
Mis on risk?
Kui teie süsteem on konfigureeritud kasutama ohtlikku puhverserveri pahatahtliku Wi-Fi-võrgu kaudu, võib teie sirvimine olla haavatav ja teiste rünnakute suhtes.
HTTPSi krüpteerimine aitab tavaliselt kaitsta teie sirvimise sisu tundlikel veebilehtedel. Seega, kui loote oma panga veebisaidiga ühendust, võidakse teil suunata sellisele aadressile https://your_bank.com/account?token=secret_authentication_token
. Tavaliselt näeb igaüks, kes võrku sattub, lihtsalt näha, et olete ühendatud https://your_bank.com
ja ei tea kogu aadressi. Aga kui teie arvuti sirvib puhverserverit, ütleb teie arvuti puhverserverile kogu aadressi, mis võib sisaldada potentsiaalselt tundlikku teavet.
Puhverserver võib muuta ka teie kasutatavaid veebilehti. Isegi kui kasutate turvalisi HTTPS-lehekülgi, mida puhverserver ei suuda muuta, võib puhverserver suunata teid võltsitud sisselogimislehele, et püüda oma paroole ja muid tundlikke andmeid lüüa. Samuti võivad ründajad varastada OAUTH autentimismärgid, mida kasutatakse teiste veebisaitide sisselogimiseks Google'i, Facebooki või Twitteri kasutajakrediidi abil.
See ei ole ainult teoreetiline risk. Turvateadlased demonstreerisid WPAD-i rünnakuid DEF CON 24-s 2016. aasta suvel. Me pole näinud mingeid aruandeid selle rünnaku kohta looduses, kuid see on siiski risk.
Kuidas keelata WPAD Windows 8 ja 10 puhul
Operatsioonisüsteemis Windows 10 leiate selle võimaluse jaotisest Seaded> Võrk ja Internet> Proksi. Operatsioonisüsteemis Windows 8 on sama ekraan saadaval ka PC Settings> Network Proxy. WPADi keelamiseks lülitage lihtsalt valik „Automaatne seadete tuvastamine” välja.
Kuidas keelata WPAD Windows 7-s
Windows 7-s saate WPADi keelata Interneti-suvandite aknas. Pöörduge juhtpaneeli> Võrgu ja Interneti> Interneti-suvandid juurde. Pange tähele, et seda meetodit saab kasutada ka Windows 8 või 10 puhul.
Aknas „Internet Properties“ (Interneti-atribuudid) lülitage vahekaardile „Connections” (Ühendused) ja klõpsake nupul „LAN settings“ (LAN-seaded).
Aknas „Kohalike võrkude (LAN) seaded” tühjendage märkeruut „Automaatselt tuvastage seaded” ja klõpsake seadete salvestamiseks kaks korda „OK“..
Isegi kui peate kasutama puhverserverit, siis olete kindlam, kui määrate täpse aadressi automaatsele puhverserveri konfiguratsiooniskriptile (tuntud ka kui .PAC-fail) või sisestate oma puhverserveri andmed käsitsi. Te ei saa tugineda WPAD-ile, mis võib lubada teie puhverserveri seaded kaaperdada avalikes Wi-Fi võrkudes.