Cos'è#
Un server proxy agisce come intermediario tra un client e un server. A differenza del NAT che lavora a basso livello (IP), il proxy lavora solitamente a livello applicativo. Il client chiede al proxy, e il proxy chiede al server finale "per conto" del client.
Come funziona#
[DIAGRAMMA ASCII - Intermediazione Proxy]
[ Client ] [ Proxy Server ] [ Server ]
│ │ │
│── "Voglio google.com" ─▶│ │
│ │── "Barno vuole questo" ─▶│
│ │ │
│ │◀── [ Risposta ] ─────────│
│◀── [ Risposta ] ───────│ │Funzionalità principali:
- Caching: Salva una copia dei siti visitati per velocizzare le richieste successive.
- Filtraggio: Blocca l'accesso a siti web specifici (es. social network-defense in ufficio).
- Anonimato: Il server finale vede l'IP del proxy, non quello del client originale.
Perché è importante per Blue Team#
I proxy sono miniere d'oro per l'analisi forense. Nei log di un proxy (come Squid) puoi vedere esattamente CHI ha visitato COSA, a che ora, e se ci sono stati tentativi di esfiltrazione dati via HTTP/HTTPS.
Dove l'ho incontrato#
- progetto-lab-vm — Configurazione potenziale per far passare il traffico delle VM attraverso un'ispezione centralizzata.
Note personali#
Differenza chiave: Il NAT è trasparente (il client non sa che esiste), il Proxy spesso richiede una configurazione nel browser o nel sistema operativo. Esistono anche i Reverse Proxy (es. Nginx) che proteggono i server invece dei client.
Collegato a#
- network — categoria
- log — categoria (analisi dei log web)
- incidents — categoria (investigazione traffico)
