Beruflich Dokumente
Kultur Dokumente
Servidores proxy
Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquina Asolicita un recurso a una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi originalmente de A. Su finalidad ms habitual es la de servidor proxy, que sirve para interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc.
Tipos de proxy
Servicio Proxy o Proxy Web Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero la diferencia fundamental es que la peticin se realiza mediante una Aplicacin Web embebida en un Servidor HTTP al que se accede mediante una direccin DNS, esto es, una pgina web que permite estos servicios.
Proxy Cach
Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su funcin es precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en futuras peticiones de la misma informacin de la misma mquina u otras.
Tipos de proxy
Proxies transparentes Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para reforzar las polticas de uso de la red o para proporcionar seguridad y servicios de cach. Normalmente, un proxy Web o NAT no es transparente a la aplicacin cliente:
debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuracin. Una ventaja de tal es que se puede usar para redes de empresa. Un proxy transparente combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).
Tipos de proxy
Reverse Proxy / Proxy inverso Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms servidores web. Todo el trfico entrante de Internet y con el destino de uno de esos servidores web pasa a travs del servidor proxy. Hay varias razones para instalar un "reverse proxy":
Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege los servidores web. Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el "reverse proxy", el cual est equipado con un hardware de aceleracin SSL (Security Sockets Layer). Distribucin de Carga: el "reverse proxy" puede distribuir la carga entre varios servidores web. En ese caso, el "reverse proxy" puede necesitar reescribir las URL de cada pgina web (traduccin de la URL externa a la URL interna correspondiente, segn en qu servidor se encuentre la informacin solicitada). Cach de contenido esttico: Un "reverse proxy" puede descargar los servidores web almacenando contenido esttico como imgenes u otro contenido grfico.
Tipos de proxy
Proxy NAT (Network Address Translation) / Enmascaramiento Otro mecanismo para hacer de intermediario en una red es el NAT. La traduccin de direcciones de red (NAT, Network Address Translation) tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ah el "enmascaramiento"). Esto es lo que ocurre cuando varios usuarios comparten una nica conexin a Internet. Se dispone de una nica direccin IP pblica, que tiene que ser compartida. Dentro de la red de rea local (LAN) los equipos emplean direcciones IP reservadas para uso privado y ser el proxy el encargado de traducir las direcciones privadas a esa nica direccin pblica para realizar las peticiones, as como de distribuir las pginas recibidas a aquel usuario interno que la solicit. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x
Tipos de proxy
Esta situacin es muy comn en empresas y domicilios con varios ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexin directa entre el exterior y la red privada, y as nuestros equipos no estn expuestos a ataques directos desde el exterior. Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una mquina concreta que haya sido determinada para tal fin en el propio proxy. La funcin de NAT reside en los Cortafuegos y resulta muy cmoda porque no necesita de ninguna configuracin especial en los equipos de la red privada que pueden acceder a travs de l como si fuera un mero encaminador.
Tipos de proxy
Proxy abierto Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red. En esta configuracin el proxy ejecutar cualquier peticin de cualquier ordenador que pueda conectarse a l, realizndola como si fuera una peticin del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envo masivo de correos de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegacin Web, mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuracin "abierta" a todo internet, se convierte en una herramienta para su uso indebido. Debido a lo anterior, muchos servidores, como los de IRC, o correo electrnicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras ("BlackList"). Cross-Domain Proxy Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc) que tienen restricciones para establecer una comunicacin entre elementos localizados en distintos dominios. En el caso de Ajax, por seguridad slo se permite acceder al mismo dominio origen de la pgina web que realiza la peticin. Si se necesita acceder a otros servicios localizados en otros dominios, se instala un Cross-Domain proxy2 en el dominio origen que recibe las peticiones ajax y las reenvia a los dominios externos. En el caso de flash, tambin han solucionado creando la revisin de archivos xml de CrossDomain, que permiten o no el acceso a ese dominio o subdominio.
Caractersticas
La palabra proxy se usa en situaciones en donde tiene sentido un unos algunos intermediario.
El uso ms comn es el de servidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino.
- De ellos, el ms famoso es el servidor proxy web (comnmente conocido solamente como proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. - Tambin existen proxies para otros protocolos, como el proxy de FTP. - El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores.
Caractersticas
Proxy (patrn de diseo) tambin es un patrn de diseo (programacin) con el mismo esquema que el proxy de red. Un componente hardware tambin puede actuar como intermediario para otros.
Como se ve, proxy tiene un significado muy general, aunque siempre es sinnimo de intermediario.
Funcionamiento
Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs de l. Cuando un equipo de la red desea acceder a una informacin o recurso, es realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado al equipo inicial. En unos casos esto se hace as porque no es posible la comunicacin directa y en otros casos porque el proxy aade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una pgina web) en una cach que permita acelerar sucesivas consultas coincidentes. Con esta denominacin general de proxy se agrupan diversas tcnicas.
Funcionamiento
Ventajas
Ahorro de Trfico: las peticiones de pginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto, aligera el trfico en la red y descarga los servidores destino, a los que llegan menos peticiones. Velocidad en Tiempo de respuesta: el servidor Proxy crea un cach que evita transferencias idnticas de la informacin entre servidores durante un tiempo (configurado por el administrador) as que el usuario recibe una respuesta ms rpida. Demanda a Usuarios: puede cubrir a un gran nmero de usuarios, para solicitar, a travs de l, los contenidos Web. Filtrado de contenidos: el servidor proxy puede hacer un filtrado de pginas o contenidos basndose en criterios de restriccin establecidos por el administrador dependiendo valores y caractersticas de lo que no se permite, creando una restriccin cuando sea necesario. Modificacin de contenidos: basndose en la misma funcin del filtrado, y llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear direcciones y Cookies por expresiones regulares y modifica en la peticin el contenido.
Funcionamiento
Desventajas
Las pginas mostradas pueden no estar actualizadas si stas han sido modificadas desde la ltima carga que realiz el proxy cach. Un diseador de pginas web puede indicar en el contenido de su web que los navegadores no hagan una cach de sus pginas, pero este mtodo no funciona habitualmente para un proxy.
El hecho de acceder a Internet a travs de un Proxy, en vez de mediante conexin directa, impide realizar operaciones avanzadas a travs de algunos puertos o protocolos. Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin de la intimidad para algunas personas.
La configuracin de Squid se hace editando el archivo /etc/squid/squid.conf Para editar este archivo, presiona Alt+F2 y: gksu gedit /etc/squid/squid.conf
2.1 Nombrar el proxy Squid necesita conocer el nombre de la mquina. Para ello, ubica la lnea visible_hostname. Por ejemplo, si la mquina se llama ubuntu, pon: visible_hostname ubuntu
2.6 Autorizar los puertos no estndar Por defecto, Squid slo autoriza el trafico HTTP en algunos puertos (80, etc.) Esto puede ocasionar problemas a algunas pginas web que utilizan otros puertos Ejemplo: http://toto.com/: 81/images/titi.png seria bloqueado por Squid. Para evitar que lo bloquee, encuentra la lnea:
Ejecutamos la opcin Configurar una red domstica o para pequea oficina. Entonces, aparecer un asistente para configuracin de red, pulsamos Siguiente. Comprobamos que cumplimos los requisitos, es decir, tenemos un adaptador de red, mdem u otro tipo de dispositivo utilizado para la conexin a Internet y estamos conectados en este momento a Internet.
En la siguiente ventana, marcamos la primera opcin Este equipo se conecta directamente a Internet. Los otros equipos de mi red se conectan a Internet a travs de este equipo. Pulsamos Siguiente. Escogemos la conexin a Internet que estamos utilizando, y Siguiente. Seleccionamos el adaptador de red (u otro dispositivo) mediante el cual se conecta el equipo con los dems de la red local (LAN). Introducimos la descripcin del equipo y el nombre.Y en la siguiente ventana, el grupo de trabajo para la red y Siguiente. Es importante que si queremos permitir que los otros equipos puedan acceder a carpetas e impresoras compartidas del PC que hace de Servidor de Proxy marquemos la primera opcin: Activar el uso compartido de archivos e impresoras. En la ltima ventana nos aparece un resumen de las opciones seleccionadas, pulsamos Siguiente si todo es correcto.
Para consultar la configuracin de red que ha dejado el asistente, pulsamos el botn derecho del ratn sobre Mis sitios de red y Propiedades. Seleccionamos la tarjeta de red que utilizamos para la conexin entre los equipos de nuestra red y pulsamos con el botn derecho del ratn, Propiedades. Seleccionamos Protocolo Internet (TCP/IP) y pulsamos en Propiedades. El asistente configura como direccin IP del equipo que har de servidor Proxy, la direccin 192.168.0.1 y la mscara de subred: 255.255.255.0.
En este caso, el asistente marca todas las opciones como automticas para que las IPs y la puerta de enlace se asignen automticamente (las asignar el Servidor Proxy). Si queremos ver la IP que le ha asignado el Servidor Proxy al equipo cliente podemos hacerlo pulsando en Inicio Ejecutar y escribiendo cmd, y Aceptar. Nos aparece una ventana de consola donde escribimos el comando ipconfig y pulsamos Enter.
Este comando nos mostrar la configuracin de la red, algo de este estilo: IP: 192.168.0.48 Puerta de enlace: 192.168.0.1 (la del equipo Servidor Proxy).
Por defecto, el cach de Squid est activado, lo que permite que las pginas se carguen ms rpido.
# cache_dir ufs /var/spool/squid 100 16 256 Modifcala, puedes cambiar el valor de 100 por el valor que desees (por ejemplo 200 para 200 Mo): cache_dir ufs /var/spool/squid 200 16 256
Configuracin de filtros
Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crear registros de actividad (logs) para guardar sistemticamente las peticiones de los usuarios cuando solicitan conexiones a Internet. Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del cliente como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del cliente con una lista de solicitudes autorizadas se denomina lista blanca; y el filtrado que se realiza con una lista de sitios prohibidos se denomina lista negra. Finalmente, el anlisis de las respuestas del servidor que cumplen con una lista de criterios (como palabras clave) se denomina filtrado de contenido.
Existen dos conceptos importantes para entender los modos de autenticacin. Tipo de desafo (type of challenge): indica el tipo de desafo que se le presentara al cliente. Credenciales sustitutas (surrogate credentials): las credenciales sustitutas son algo que se utiliza para autenticar la transaccin en lugar de las credenciales reales.
Auto: el modo default es seleccionado basndonos en la peticin que haga el cliente. Auto puede seleccionar cualquier de las opciones, proxy, origin, origin-ip, o origin-cookie-redirect dependiendo en el tipo de conexin (explicita o transparente) y la configuracin de la cookie de autenticacin en modo transparente. Proxy-IP: El proxy utiliza un desafo en forma explcita y la IP del cliente como credenciales sustitutas. Proxy-IP especfica un forward proxy inseguro. En algunos casos el desafo del proxy no funciona por lo que origin desafos deben de ser generados. Origin: El proxy acta como una OCS y genera desafos OCS. La conexin autenticada sirve como credenciales sustitutas. Origin-IP: el proxy acta como una OCS y genera desafos OCS. La direccin del cliente es usada como credenciales sustitutas. Origin-IP es usado para soportar autenticacin por IWA cuando el cliente no puede manejar credenciales por cookies. Origin-Cookie: El ProxySG actual como un servidor de origen y genera desafos de servidor de origen. Una cookie es generada como credenciales sustitutas. Origin-Cookie es usado en forward proxies para soportar autenticacin passthrough de manera ms segura que Origen-IP si en cliente entiende cookies. Solamente los protocolos HTTP y HTTPS soportan cookies; todos los dems protocolos son degradados a utilizar automticamente Origin-IP. Origin-cookie-redirect: El cliente es redirigido a una URL Virtual para ser autenticado, y las cookies son usadas como credenciales sustitutas. El Proxy SG no soporta Origin-Redirect con el mtodo de CONNECT. Para forward proxy, solamente modos origin-*-redirect son soportados para autenticacin por Kerberos/IWA. (Cualquier otro modo utiliza NTLM) SG2: Este modo es seleccionado automticamente, basando en la peticin, y usa las reglas definidas del SGOS 2.x. From-IP: una forma es presentada para recolectar las credenciales del usuario. La forma es presentada cada vez que el cach de las credenciales del usuario expiren. From-Cookie: Una forma es presentada para colectar las credenciales del usuario. Las cookies son setiadas en el dominio OCS solamente y el usuario es presentado con una nueva forma para cada dominio. Este modo es ms utilizado en escenarios de proxy reverso donde hay un nmero limitado de dominios. From-Cookie-Redirect: Una forma es presentada para colectar las credenciales del usuario. El usuario es re direccionado a la URL Virtual antes de ser presentada la forma. La cookie de autenticacin es setiada en ambos, la URL Virtual y el dominio OSC. El usuario es desafiado solamente cuando el cache de las credenciales expira. From-IP-Redirect: Este es similar a From-IP con la excepcin que el usuario es re direccionado a la URL Virtual de autenticacin antes que la forma sea presentada.
proxys inversos
Un proxy inverso es un servidor proxy-cach "al revs". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.
El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor web est protegido de ataques externos directos, lo cual fortalece la red interna. Adems, la funcin cach de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razn por la cual se lo denomina en ocasiones acelerador de servidor. Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo mediante la redireccin de las solicitudes a otros servidores similares. Este proceso se denomina equilibrio de carga .
proxys encadenados
Si usted ya tiene un servidor proxy que de los usuarios de los navegadores estn configurados para utilizar, usted debera ser capaz de salir de los navegadores configuraciones sin cambiar y configurar el proxy existente para reenviar todo el HTTP, HTTPS, FTP y solicita a la seguridad Web de Cloud. Si su poder es capaz de utilizar un archivo PAC, puede utilizar la proporcionada por la nube de Seguridad Web. De lo contrario, le recomendamos que descargue una copia de la Gran Nube de archivo Web Security PAC y duplicar su funcionalidad en la configuracin de su proxy.
El Cach Test de Lagado comprueba si estamos viendo contenidos web reales o cacheados.
Procedemos a realizar el test:
Debemos modificar el nodo del servicio de grficas para aadirle la URL del mismo, que ser del tipo maquina/snpservices. Tambin hay que establecer la versin 2.0.