WPAD หรือ Web Proxy Automatic Discovery เป็นโปรโตคอลที่ถูกออกแบบมาให้ไคลเอนต์สามารถค้นหาพร็อกซีได้โดยอัตโนมัติผ่านเว็บเบราเซอร์ ซึ่งถ้าหากเราลองใช้งาน Network Sniffer ตรวจสอบข้อมูลในขณะที่เปิดเว็บเบราเซอร์ขึ้นมาในตอนเปิดเครื่องคั้งแรก ก็จะพบว่าจะมีการพยายาม Resolve Hostname ที่ชื่อ WPAD ก่อนโดยตลอด กระบวนการนี้คือการค้นหาพร็อกซีโดยอัตโนมัตินั่นเอง

ปกติแล้วเราสามารถใช้งาน WPAD ได้ 2 วิธี คือ DHCP และ DNS สำหรับ DHCP จะสามารถใช้ได้เฉพาะซอฟท์แวร์ของไมโครซอฟท์เท่านั้น (ยกเว้นเราจะเขียน Add-on สำหรับเว็บเบราเซอร์อื่นๆ) เพราะ DHCP Option ที่ใช้ใน WPAD นี้จะถูกระบุใน RFC ว่าเป็น Private Use นั่นหมายความว่า Vendor เจ้าไหนก็สามารถนำไปใช้กับซอฟท์แวร์ของตนเองได้หมด ซึ่งในกรณีนี้ก็คือไมโครซอฟท์ทำมาให้ใช้ ISA, TMG ทำให้ใช้ได้เฉพาะ IE ครับ

ในทาง Security แล้ว เราไม่ควรใช้งาน WPAD  ในระบบของเราเท่าใดนัก เพราะการใช้งาน WPAD จะทำให้ Attacker สามารถจะ Identify ตัว Proxy Server ของเราได้ ซึ่งแน่นอนว่าเมื่อได้ข้อมูลตรงนี้แล้ว การทำ Information Gathering รวมไปถึงการทำ Vulnerability Assessment กับตัว Proxy จะทำได้อย่างมีประสิทธิภาพมาก ในท้ายที่สุดก็จะนำมาสู่การโจมตีตัว Proxy นั่นเอง

อย่างไรก็ตามในบางระบบการใช้งาน WPAD ก็เป็นสิ่งที่จำเป็น ดังนั้นหากเราเลี่ยงไม่ได้แล้ว สิ่งที่ควรจะทำคือการ Hardening ตัว Proxy ของเราให้ดีที่สุด ซึ่งก็ทำได้หลายวิธีด้วยกันครับ

สำหรับ DHCP Option นั้นหากเราใส่เป็น Hostname เราก็ต้องกำหนดให้ไคลเอนต์ทุกคนใช้งาน DNS Server ที่สามารถ Resolve Hostname นั้นๆได้ ซึ่งอาจจะกำหนดจาก DHCP Parameter ก็ได้ครับ หรือจะกำหนด DHCP Options ให้เป็นหมายเลขไอพีของ Proxy Server เลยก็สามารถทำได้ครับ

Tags: Firewall, Forefront TMG, Proxy, Security, Web Filtering, WPAD

Categories: Story