Proxyservers routeren internetverkeer om verschillende redenen. U kunt een proxyserver gebruiken om uw Internet Protocol-adres tijdens het browsen te verbergen, aangezien het IP-adres van een proxyserver uw eigen adres zal vervangen. Andere keren gebruiken lokale netwerken echter proxyservers om het verkeer in en uit een netwerk te regelen. In deze gevallen is authenticatie meestal vereist. Deze authenticatie kan plaatsvinden door middel van eenvoudige wachtwoorden of uitgebreidere authenticatiesuites zoals NT LAN Manager of Kerberos.
Transparant
Hoewel het strikt genomen geen type authenticatie is, heeft de status van niet-authenticatie in proxyservers een bepaalde klasse, de "transparante" proxy. Dit soort proxy vereist niet per se een gebruikersauthenticatie, maar dwingt bepaalde gebruikers tot bepaalde netwerken op basis van hun identiteit, en omvat als zodanig meestal een soort authenticatie. Dit werkt meestal door gebruikers te verifiëren op basis van IP-adres.
Op wachtwoord gebaseerd
Een eenvoudige vorm van proxy-authenticatie is eenvoudige wachtwoordauthenticatie. Om de proxyserver te gebruiken, moet u een gebruikersnaam en wachtwoord opgeven. Deze maatregel kan ongewenste gebruikers buiten de deur houden. Wachtwoordauthenticatie heeft echter enkele valkuilen, namelijk dat wachtwoorden vaak gemakkelijk te kraken zijn en slechts één beveiligingsniveau bieden. Gewoonlijk moet u wachtwoordverificatie verpakken met een andere verificatiemaatregel voor tweestapsverificatie.
Windows-uitdaging/reactie
Microsoft NTLM omvat wachtwoordverificatie in combinatie met een challenge/response-algoritme. Nadat u bent ingelogd op de NTLM-server, stuurt de server een pakket met gegevens op basis van het gebruikte wachtwoord en gebruikersnaam, evenals op het domein van de server. Uw clienttoepassing moet de gegevens versleutelen en terugsturen naar de server. Als de server het kan decoderen met behulp van zijn sleutel, is uw computer geverifieerd om die proxy te gebruiken.
Kerberos
Kerberos, ontwikkeld aan het MIT, werkt op dezelfde manier als NTLM. Wanneer uw clienttoepassing een Kerberos-proxy probeert te gebruiken, dient deze een ticket in bij de server. De server gebruikt de informatie op het ticket om een gegevenspakket te versleutelen, dat het terugstuurt naar uw clienttoepassing. De clienttoepassing moet het ticket ontsleutelen met een gedeelde verificatiesleutel. De gedecodeerde gegevens vertegenwoordigen nu een autorisatieticket waarmee uw computer toegang heeft tot de Kerberos-server.
