Manchmal möchte man mit Sicherheit nicht preisgeben das man über einen Proxy Server auf das Internet zugreift und wie dieser heißt. Noch schwerer wiegt die Tatsache, das mittels der X_FORWARDED_FOR und VIA Header unter Umständen auch die interne Client IP Adresse herausgefunden werden kann.

Synology bietet seit der DSM Version 5.0 offiziell auch ein Proxy Server Paket zur Installation an. Dieser Proxy Server basiert auf dem weit verbreiteten Squid Proxy. Daher kann man die nachfolgenden Änderungen an der squid.conf natürlich ebenfalls an jeder anderen squid.conf (also bei einer NON-Synology Installation) vornehmen.

Vor der Änderung gibt der Synology Proxy Server folgende Daten in das Internet hinaus (die interessanten Werte habe ich rot markiert):

HTTP_USER_AGENT: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:45.0) Firefox/45.0
HTTP_ACCEPT_ENCODING: gzip, deflate
HTTP_CONNECTION: close
REQUEST_METHOD: GET
SERVER_PROTOCOL: HTTP/1.1
SERVER_PORT: 80
HTTP_X_FORWARED_FOR: 192.168.3.22
HTTP_VIA: 1.1 DS (squid)

Wichtig ist an dieser Stelle, dass der X_FORWARDED_FOR Header auch nach der Änderung noch mit Werten gefüllt sein wird. Allerdings ist an dieser Stelle dann nicht mehr die (interne) Client IP Adresse zu finden sondern die externe IP Adresse des Synology Proxy Servers.

Um die X_FORWARDED_FOR und VIA Header zu deaktivieren müssen wir mittels SSH auf die Synology zugreifen. Die für die Änderung erforderliche Konfigurationsdatei namens squid.conf ist unter /var/packages/ProxyServer/target/squid/etc/ zu finden. Es besteht natürlich die Möglichkeit, dass Synology bei zukünftigen Updates die Verzeichnisstruktur anpassen. Die hier angegebenen Verzeichnisse und Dateien beziehen sich auf das DSM 6.0 Release.

Ein wichtiger Hinweis noch: Die Änderungen nehmt ihr auf eigene Verantwortung vor. Ich garantiere nicht für die ordnungsgemäße Funktion der nachfolgenden Konfigurationsänderungen.

Folgende Befehle sind in der squid.conf zu hinterlegen:

via off
forwarded_for off
follow_x_forwarded_for deny all
request_header_access X-Forwarded-For deny all
header_access X_Forwarded_For deny all

synology_proxyserver_x_forwarded_for

Anschließend die squid.conf Datei speichern und den Synology Proxy Server Dienst neu starten. Wenn wir nun erneut den Netzwerkverkehr zwischen dem Internet und dem Synology Proxy Server mitschneiden, sind folgende Werte zu erkennen:

HTTP_USER_AGENT: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:45.0) Firefox/45.0
HTTP_ACCEPT_ENCODING: gzip, deflate
HTTP_CONNECTION: close
REQUEST_METHOD: GET
SERVER_PROTOCOL: HTTP/1.1
SERVER_PORT: 80
HTTP_X_FORWARED_FOR: XXX.XXX.XXX.XXX
HTTP_VIA: not set

Wie bereits erwähnt sind die X_FORWARDED_FOR und VIA Header noch immer existent, doch sind sie mit anderen Daten gefüllt. Der X_FORWARDED_FOR Header enthält nun die öffentliche IP Adresse des Synology Proxy Servers (die öffentliche IP Adresse meines Systems habe ich aus Sicherheitsgründen entfernt) und der VIA Header wurde nicht übertragen.

 

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Close