7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

0'8/2  6(59,'25(6 352;<

,QWURGXFFLyQ Existen diferentes tipos de Proxys en funcin de las funcionalidades que realizan, pero en general distinguimos en el mercado dos tipos: 3UR[\V GH DSOLFDFLyQ: Son Proxys destinados a una aplicacin en concreto. As podemos hablar de Proxys Web, Proxys ftp, Proxys Gopher... Los ms tpicos son los Proxys de web. 6RFNV: son Proxys Genricos que pueden trabajar con cualquier aplicacin TCP y UDP.

6HUYLGRUHV 3UR[\

 GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

&RQFHSWRV Cuando hablamos de Proxys aparecen en nuestra mente diferentes trminos: Proxy, Proxy Server, Application Gateway, Proxy de Aplicacin, Proxy Sock... Vamos a intentar aclarar un poco estos trminos antes de profundizar ms en el tema. Como 3UR[\ entendemos un sistema intermediario entre hosts internos de una red y los hosts de Internet de tal forma que recibe las peticiones de unos y se las pase a los otros previa verificacin de accesos y privilegios. Llamamos 3UR[\ 6HUYHU a la aplicacin que realiza las funicones de Proxy y $SSOLFDWLRQ *DWHZD\ es el host donde reside el Proxy server. Los proxys de aplicacin y proxys socks son diferentes tipos de Proxys que se estudiarn a lo largo de este tema. )XQFLRQDPLHQWR GH XQ 3UR[\ Las IXQFLRQHV SULQFLSDOHV de un proxy son:

servir las peticiones de los clientes cachear contenidos (incluyendo proxy inverso y acelerador de contenidos) filtrado de paquetes hasta nivel 7 realizar un control de acceso, registro y autenticacin

El IXQFLRQDPLHQWR EiVLFR es el siguiente: El programa cliente del usuario se comunica con el servidor Proxy enviando pedido de conexin con un servidor real. El servidor Proxy evala esta peticin y decide si se permitir la conexin. Si el servidor Proxy permite la conexin, enva al servidor real la solicitud recibida del cliente.

)XQFLRQDPLHQWR EiVLFR

6HUYLGRUHV 3UR[\

 GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

,OXVLyQ GH XVXDULR
Servidor Proxy

Ilusin del Usuario Cliente Servidor

De este modo, un servidor Proxy se ve como servidor cuando acepta pedidos de clientes y como cliente cuando enva solicitudes a un servidor real. Una vez que est establecida la comunicacin entre un cliente y un servidor real, el servidor Proxy acta como un retransmisor pasando comandos y respuestas de un extremo a otro. &RQILJXUDFLyQ 5HDO

Internet

Cliente

Servidor Proxy

Servidor

Cuando el proxy est trabajando en PRGR FDFKLQJ, se encargar de almacenar en una cache el contenido ms solicitado. De esta forma se consigue que la prxima vez que se realice la misma peticin, sta se pueda servir con mayor rapidez.
6HUYLGRUHV 3UR[\  GH 

0RGR &DFKLQJ

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

0RGR FDFKH VL HO FRQWHQLGR QR VH HQFXHQWUD HQ OD FDFKp

Paso 1 Paso 2

Internet

Cliente

Servidor Proxy

Servidor

Cache

0RGR FDFKH FRQ HO FRQWHQLGR HQ OD FDFKp

Paso 1

Internet

Servidor Proxy
Paso 2

Servidor

Cache

Evidentemente existen contenidos que no son cacheables. Por ejemplo todos aquellos contenidos que varan ya sea porque son valores OnLine, en funcin del tiempo o bien en funcin de una variable de entrada.
6HUYLGRUHV 3UR[\  GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

Cuando estamos hablando de Proxys web aquellos contenidos que no son cacheables deben estar previamente marcados por el programador de la pgina web ya que el Proxy no puede saberlo a priori.

Imaginemos una pgina web con una imagen que corresponde a un grfico que es actualizado cada determinado tiempo. El Proxy al analizar la pgina vera que sta es esttica y por lo tanto la almacenara en su cache a la espera de nuevas peticiones. Si la siguiente peticin ha excedido el tiempo en que es actualizado el grfico, sta sera servida con un grfico no actualizado. Para evitar este problema los Proxys analizan las paginas web en funcin de un parmetro entrado por el programador de la misma y en funcin de este valor actuarn. Hay proxys que se encargan por ellos mismos de hacer las peticiones de aquellos FRQWHQLGRV QR FDFKHDEOHV a los servidores para asegurarse que siempre sirven peticiones actualizadas. 3UR[\ ,QYHUVR \ $FHOHUDGRU GH &RQWHQLGRV

Los FRQFHSWRV GH SUR[\ LQYHUVR \ DFHOHUDGRU GH FRQWHQLGRV son muchas veces confundidos. Un SUR[\ LQYHUVR es aquel proxy que se encarga de servir contenidos internos a peticiones procedentes del exterior. Imaginemos que nuestra empresa dispone de servidores web, el Proxy ser el encargado de servir las peticiones procedentes del exterior. 3UR[\ ,QYHUVR

Internet

Servidor Proxy Servidor

Cliente

Cache

6HUYLGRUHV 3UR[\

 GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

Un Proxy con cache est realizando bsicamente las mismas funciones que un acelerador de contenidos. Existen varios productos en el mercado que realizan las funciones de DFHOHUDGRU GH FRQWHQLGRV. Estos equipos lo que hacen es incrementar la entrega de contenidos, normalmente web, utilizando una tecnologa de compresin y transformacin. Adems son capaces de adaptar el contenido en tiempo real, a las caractersitcas de velocidad de acceso del usuario y tipo de navegador utilizado. Despus de ver el concepto de acelerador de contenidos podemos entender que est realizando las mismas funciones bsicamente que un proxy con cach. Normalmente un mismo proxy es el que sirve a todos los clientes de una subred. Esto permite al proxy cachear documentos que han solicitado varios clientes de forma eficiente. Un servicio Proxy no es transparente al usuario ya que cada usuario debe ser configurado para que se realicen las peticiones pasando por el proxy y no directamente al exterior. )LOWUDGR

Un proxy permite tambin hacer un ILOWUDGR de las transacciones de los clientes a nivel 7. Este control puede realizarse por servicio y por dominio. Todas las peticiones que atraviesan el proxy son filtradas segn las reglas de filtrado que le han sido configuradas. Estas reglas son normalmente direcciones URL a las cuales no se quiere dar acceso. Por ejemplo son muy tpicas las empresas que filtran el contenido a pginas pornogrficas o a cualquier tipo de contenido que no tenga una relacin directa con el desarrollo del trabajo a realizar. &RQWURO GH $FFHVR 5HJLVWUR \ $XWHQWLFDFLyQ

Otra funcionalidad muy importante de los proxys es la de FRQWURO GH DFFHVR \ ORJJLQJ. Los proxys permiten un alto nivel de registro (logging) de las transacciones de los clientes en donde se incluye la direccin IP del cliente, fecha y hora, URL, contador de bytes....

6HUYLGRUHV 3UR[\

 GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

/RV SUR[\V LQFUHPHQWDQ OD VHJXULGDG GH QXHVWUD LQIUDHVWUXFWXUD \D TXH HQWUH RWUDV IXQFLRQDOLGDGHV VRQ FDSDFHV GH DXWHQWLFDU D ORV XVXDULRV TXH GHVHHQ UHDOL]DU XQD WUDQVDFFLyQ Disponen de una lista, al igual que con las reglas de filtraje, que les permite evaluar si el usuario que intenta acceder a determinados destinos dice quien dice ser. 9HQWDMDV GH XWLOL]DU VHUYLGRUHV SUR[\ Las caractersticas mostradas a continuacin son las ventajas debidas a la utilizacin de un proxy. Permite a los usuarios acceder a los servicios de Internet ocultando totalmente la red interna. El nombre de los sistemas internos (a travs de DNS) se ocultan al mundo exterior. Slo el proxy necesita conocer el nombre de los host internos. Permite un buen servicio de logs a nivel de cada aplicacin. Debido a que todo el trfico pasa a travs del servidor Proxy se puede registrar gran cantidad de informacin con fines de auditora, seguridad y estadsticas. El trafico puede ser pre-autentificado antes de que llegue al host interno. ste adems puede ser registrado (ficheros log) ms eficientemente que si se realiza con un host estndar de logging. El software y el hardware necesario para la autenticacin y el registro se encuentran localizadas en el mismo equipo. Las reglas de filtraje de los routers son ms simples si se trabaja con un proxy que si el router se encuentra solo filtrando y dirigiendo trfico. Con un proxy el router slo necesita permitir el trfico dirigido al proxy y bloquear el resto.

'HVYHQWDMDV GH XWLOL]DU VHUYLGRUHV SUR[\ Las principales desventajas de utilizar servidores proxy son: Normalmente se requiere la modificacin del software cliente. Hay software que est disponible slo para ciertas plataformas: Por ejemplo IGATEWAY es un paquete de Proxy para ftp y telnet de SUN que corre slo sobre SUN.

6HUYLGRUHV 3UR[\

 GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

En el caso de servidores Proxy de Aplicacin se requiere un servidor Proxy para cada servicio. Veremos que este problema desaparece con los Socks al ser mucho ms genricos. Algunos servicios no son viables para trabajar con servidores Proxy (Ej. Talk,servicio utilizado para realizar chats en UNIX). El uso de servidores comunicaciones. Proxy introduce algn retardo en las

)LUHZDOOV \ 3UR[\V GLIHUHQFLDV \ VHPHMDQ]DV Dentro del concepto de Firewall distinguimos: filtrado de paquetes y servidores Proxy. Un Firewall o tambin conocido por Filtrado de paquetes (Packet Filtering Router) enruta paquetes entre host internos y host externos de forma selectiva. Estos sistemas disponen como mnimo de dos puertos: puerto confiable (trusted) y desconfiable (untrusted). )LJXUD  3XHUWRV 7UXVWHG \ 8QWUXVWHG GH XQ 'LVHxR )LUHZDOO
, 


 

  

-.


'0=
  %"'&   !"$#

8QWUX

/$1

 *+

 

/ 
102 (  ) 
Host

7UX
Cuando un paquete llega al puerto untrusted se analizan los encabezados de los paquetes. Mediante los datos que obtiene del encabezado y segn las
6HUYLGRUHV 3UR[\  GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

reglas de filtrado configuradas deber decidir si el paquete tiene permiso para acceder a la red interna o no tiene. Las reglas de filtrado se almacenan en un rden especfico y segn este orden se aplican a los paquetes entrantes. Si una regla bloquea la transmisin o recepcin del paquete, el paquete no se acepta. Un filtrado de paquetes adems es capaz de detectar si se est realizando un ataque en funcin de unos patrones. Los tipos de ataques que puede detener un firewall deben venir listados en las especificaciones del equipo. El problema que presentan los firewall es que trabajan a nivel 3/4 y por tanto no analizan el campo datos de las tramas. Esto nos lleva a pensar que cualquier tipo de paquete no permitido puede viajar en el interior de paquetes con cabeceras que nos permitan el acceso a una red interna. Por ejemplo protocolos de tunneling como IP sobre IP. Un servidor proxy trabaja hasta nivel 7 e incorpora entre otras caractersticas la de autenticacin, es decir la verificacin de accesos y privilegios.

Muchos profesionales del sector consideran que el proxy es el autntico firewall debido a que el resto carecen de autenticacin. De hecho muchas empresas utilizan slo un proxy como puerta de entrada, mientras que otras slo disponen de firewall. Esta decisin depende mucho de las caractersiticas de la empresa y lo que pretenda conseguir con el sistema de proteccin. La solucin ideal es la combinacin de ambos sistemas, proxy y firewall para incrementar el nivel de seguridad y flexibilidad. 62&.6 Un sock es un sistema que permite a los clientes que se encuentran detrs de un firewall acceder a los diferentes servicios de Internet. El programa permite centralizar el control de acceso de las transacciones entre la red corporativa e Internet. Con un Sock se puede permitir servicios especficos para clientes determinados, denegar acceso a determinados clientes y registrar las comunicaciones tanto como se desee. Pueden trabajar con todo tipo de aplicaciones TCP y UDP. Al igual que con los Proxys, los Socks no son transparentes al usuario y por tanto es necesario que se reconfigure cada uno de los clientes. De esta forma cada vez que un cliente intente realizar una conexin con un servidor que se encuentre en Internet, el Sock interceptar el intento de conexin y abre una
6HUYLGRUHV 3UR[\  GH 

7pFQLFR HQ 6HJXULGDG ,QIRUPiWLFD

conexin con el cliente. Una vez realizada esta conexin el Sock servidor averigua la direccin IP, el puerto destino al cual se quiere conectar y el nombre de usuario del cliente. A partir de estos datos el Sock consulta su lista de accesos para comprobar si la peticin puede ser aceptada o por el contrario debe ser rechazada. Debido a su simplicidad y flexibilidad, los Socks se utilizan como firewalls, proxys genricos, en redes privadas virtuales y para aplicaciones de la extranet. La ltima versin de Socks es la v5. Las versin anterior SOCKSv4 no soportaba autenticacin ni proxy UDP mientras que en la ltima ya viene implementado. &RPR KHPRV FRPHQWDGR ORV 6RFNV VRQ PXFKR PiV JHQpULFRV TXH ORV 3UR[\ GH $SOLFDFLyQ \D TXH HQ XQ VROR VLVWHPD WHQHPRV XQ SUR[\ SDUD WRGDV ODV DSOLFDFLRQHV 7&3 \ 8'3

6HUYLGRUHV 3UR[\

 GH