Går det att upptäcka transparent proxy?

För att försöka svara på själva frågan: I princip är det möjligt att upptäcka en transparent proxy, eftersom ingen proxy är perfekt, men det kräver expertkunskaper och en grundlig analys för att hitta eventuella avvikelser i beteende. Det är teoretiskt möjligt att skapa en transparent proxy som inte går att upptäcka, i alla fall för okrypterad HTTP-trafik. Det är inte heller nödvändigt att implementera en transparent proxy för att övervaka trafik på ett nätverk, det kan göras utan att det syns alls.

Men så fort trafiken blir krypterad med HTTPS så är det omöjligt att ha en transparent proxy som kan undersöka själva innehållet i kommunikationen, såvida inte den som driver den transparenta proxyn har åtkomst till en certifikatutfärdare (CA / certificate authority) som är betrodd av din dator. Certifikatutfärdare blir betrodda antingen genom att de godkänns av t.ex. Microsoft, Google, Mozilla (Firefox), eller genom att de manuellt installerats på in dator. Detta kan förekomma på nedlåsta företagsnät och liknande, där man har åtkomst till att installera betrodda CA på varje dator, men är väldigt osannolikt att det skulle finnas på din egna privata dator.

Även om det finns HTTPS så är det möjligt att upptäcka vilka servrar på Internet du kommunicerar med. Det går t.ex. att se att du kommunicerar med Sweclockers forum, men inte vad du läser och vad du skriver. Detta antingen genom att undersöka din DNS-trafik (såvida du inte kör någon slags krypterad DNS) eller genom att titta på de IP-adresser du kommunicerar med (ibland kan samma IP-adress användas för flera webbsidor, så det är inte alltid helt träffsäkert.)

Är du oroad för att den som driver ditt lokala nätverk loggar din trafik (fullt möjligt, de här funktionerna finns ofta installerade i en router i form av föräldrarfilter etc) så finns det inget bra sätt att helt utesluta att en sådan övervakning sker. Det du däremot kan göra är att använda ett VPN. Allt som den som övervakar nätverket då kan se är kommunikation till och från VPN-tjänsten. De kan inte se vad du gör inuti VPN-tjänsten.

Däremot innebär detta i gengäld att den som driver VPN-tjänsten kan se din trafik, och trafiken kan även ses på väg från VPN-tjänsten till slutdestinationen (men är svår eller omöjlig att korrelera till en enstaka användare, om det inte är så att du t.ex. är inloggad på siten...)

För att sammanfatta: Om du är oroad för att någon övervakar din internettrafik kan är ett VPN vara lösningen. Men trade-offen blir då att det är VPN-operatören som potentiellt kan snoka på din trafik istället. Om du även kör deras egna VPN-klienter så betyder det också att du måste lita på att VPN-klienten i sig inte har något snokprogram i sig. Vilken risk du hellre tar är upp till dig och din individuella situation.

En transparent proxy fungerar som så att en router eller brandvägg någonstans är inställd att skicka all din trafik en omväg via en speciell server. Det är inget som installeras på din dator, utan är en egenskap i nätverket som du ansluter till. En transparent proxy kan alltså inte hänga med till ett annat nätverk. Däremot så kan ju en icke-transparent proxy, d.v.s. en som explicit konfigureras med datorn, så klart följa med till ett annat nätverk. Men det kräver ju att någon konfigurerat datorn att använda den.

Det är inte det installerade CA:t i sig som skickar din trafik genom en transparent proxy, det installerade CA:t är en förutsättning för att datorn inte ska säga ifrån när TLS-förbindelsens äkthet inte kan bekräftas. (En av funktionerna i TLS är just att varna användaren om man är ansluten till någon annan än man tänkt sig, t.ex. en transparent proxy.)

Om den som du blivit övervakad av har haft åtkomst till att installera ett CA på datorn så kan hen lika gärna ha installerat allsjöns spionprogram som kan se exakt allt på din dator. Är det på det sättet det ligger till är det enda att installera om datorn. Misstänker något slags "rootkit" eller hårdvaruövervakning så måste du nästan göra sig av med datorn och skaffa en ny, och sedan se till att din hyresvärd aldrig kan pilla på den, genom att den alltid är inlåst, eller att du alltid har med dig datorn när du inte är hemma.

Om du inte har någon anledning att tro att din hyresvärd gått till den sorters längder för att övervaka din dator (osannolikt, men jag känner ju inte din hyresvärd...) så är det ju en rimlig lösning att köra på ditt eget 4G-bredband. Men du får då se till att din hyresvärd inte kan fippla med det, eller ens ansluta till det, genom att hemlighålla eventuella lösenord. I många fall räcker det att kunna ansluta till ett nätverk för att kunna kapa all trafik på det. Det kan vara bra att ändra lösenorden från de som är trycka på enheten som standard. (Han kan fortfarande fabriksåterställa enheten så klart men då märker du det eftersom din dator inte kopplar upp längre.)

Men om du är så rädd för din hyresvärd, att du tror han ska börja fippla med dina grejer när du inte ser på, så skulle jag säga att enda lösningen är att flytta.

Meddelandet betyder att DNS-servern inte lyckades hitta servern i fråga. NXDOMAIN är en förkortning för "non-existent domain", d.v.s. DNS-servern berättar att domänen inte existerar.

DNS fungerar som Internets telefonkatalog, det är mekanismen som översätter domännamn, som t.ex. www.sweclockers.com till IP-adresser, som t.ex. 158.174.189.9. Internet kan inte skicka något direkt till ett domännamn, all kommunikation måste ske med IP-adresser.

Det du beskriver är inte en giltig metod för att ta reda om du har en transparent proxyserver.