Введение
WPAD (Web Proxy Autodiscovery Protocol, протокол автоматического обнаружения веб-прокси) позволяет веб-браузерам и другим HTTP-клиентам автоматически находить и применять настройки прокси-сервера в корпоративной сети, не требуя ручной конфигурации каждого устройства. Администратор публикует PAC-файл (Proxy Auto-Configuration) с правилами маршрутизации трафика, и клиенты автоматически его находят.
Несмотря на удобство, WPAD имеет серьёзные проблемы с безопасностью: при недостаточной защите сети злоумышленник может подменить WPAD-ответ и перехватить весь HTTP-трафик пользователя (атака MITM).
История и контекст
WPAD был разработан Netscape и Microsoft в 1999 году для упрощения корпоративного управления прокси. Первоначально поддерживалось обнаружение через DHCP Option 252 и через DNS (запрос к хосту «wpad» в локальном домене). Стандарт так и не был формально принят как RFC IETF, однако реализован во всех основных браузерах (Internet Explorer, Chrome, Firefox) и ОС (Windows включает WPAD по умолчанию).
В 2016 году исследователи представили атаки «WPAD Name Collision» и «BADWPAD», использующие WPAD для угона трафика через NetBIOS/LLMNR. В Windows 10 и Server 2016 Microsoft ограничил поведение WPAD, однако полностью отключил его только при явной настройке. Сегодня большинство экспертов ИБ рекомендуют отключить WPAD в средах без строгих требований к автоматической конфигурации прокси.
Как это работает
Процесс WPAD-обнаружения состоит из нескольких шагов:
- DHCP Option 252: клиент при получении IP-адреса проверяет, содержит ли DHCP-ответ Option 252 с URL PAC-файла. Это наиболее безопасный метод.
- DNS-поиск: если DHCP не вернул результат, клиент отправляет DNS-запрос на имя «wpad.<домен>» (например, wpad.company.local). При положительном ответе загружает PAC-файл с найденного хоста.
- LLMNR/NetBIOS (Windows): если DNS не ответил, Windows может попытаться найти «wpad» через LLMNR и NetBIOS – широковещательные протоколы, уязвимые к перехвату в локальной сети.
- PAC-файл: JavaScript-файл с функцией FindProxyForURL(), определяющей, использовать ли прокси для конкретного URL.
Где применяется
- Корпоративные сети: автоматическая настройка прокси для тысяч рабочих станций без ручного вмешательства.
- BYOD-среды: когда сотрудники подключают личные устройства к корпоративной сети.
- Фильтрация трафика: направление корпоративного трафика через proxy/CASB для проверки контента.
Преимущества и ограничения
Преимущества: централизованное управление прокси-конфигурацией, автоматическое применение настроек при смене сети, поддержка дифференцированной маршрутизации (одни URL через прокси, другие – напрямую).
Ограничения (критические риски безопасности): уязвимость к MITM-атакам через LLMNR/NetBIOS-спуфинг; возможность захвата трафика злоумышленником в одной сети (кафе, аэропорт) при включённом WPAD; PAC-файл на HTTP без HTTPS может быть подменён. Большинство ИБ-стандартов рекомендуют отключить WPAD или использовать только DHCP Option 252 с защищённой инфраструктурой.
Связь с другими понятиями
WPAD тесно связан с DNS (механизм обнаружения), DHCP (альтернативный безопасный метод обнаружения) и PAC-файлами (конфигурация прокси). В контексте информационной безопасности WPAD является примером «legacy protocol exploitation» – эксплуатации устаревших протоколов, включённых по умолчанию. Корпоративный прокси-сервер, настраиваемый через WPAD, часто является компонентом CASB (Cloud Access Security Broker) или Secure Web Gateway. В рамках нулевого доверия (Zero Trust) WPAD и традиционные прокси заменяются ZTNA-решениями с явной аутентификацией каждого соединения.
