Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Integrantes:
Br. Yorledis Vsquez C.I.20.777.702
Br. Marylys Sorzano. C.I. 18.574.810
Introduccin
En el contexto de las redes informticas, el trmino proxy hace referencia a un
programa o dispositivo que realiza una accin en representacin de otro. Su
finalidad ms habitual es la de servidor proxy, que sirve para permitir el acceso a
Internet a todos los equipos de una organizacin cuando slo se puede disponer
de un nico equipo conectado, esto es, una nica direccin IP.
Internet en sus inicios no fue pensado para ser una red tan extensa, por ese
motivo se reservaron slo 32 bits para direcciones, el equivalente a
4.294.967.296 direcciones nicas, pero el hecho es que el nmero de mquinas
conectadas a Internet aument exponencialmente y las direcciones IP se
agotaban. Por ello surgi la NAT o Network Address Translation (en castellano,
Traduccin de Direcciones de Red)
La idea es sencilla, hacer que redes de ordenadores utilicen un rango de
direcciones especiales (IPs privadas) y se conecten a Internet usando una nica
direccin IP (IP pblica). Gracias a este parche, las grandes empresas slo
utilizaran una direccin IP y no tantas como mquinas hubiese en dicha empresa.
Tambin se utiliza para conectar redes domsticas a Internet.
SERVIDOR PROXY
1.1.
QU ES UN SERVIDOR PROXY?
1.4.
DESVENTAJAS
2. APLICACIONES
El concepto de proxy es aplicado de muy distintas formas para proporcionar
funcionalidades especficas.
2.1.
Proxy Cach
Proxy de Web
Se trata de un proxy para una aplicacin especfica: el acceso a la web con los
protocolos HTTP y HTTPS, y accesoriamente FTP. Aparte de la utilidad general de
un proxy puede proporcionar una cach compartida para las pginas web y
contenidos descargados, actuando entonces como servidor proxy-cache. Esta
cach es compartida por mltiples usuarios con la consiguiente mejora en los
proxy SOCKS usando el protocolo SOCKS de nivel 5, capa de sesin, del modelo
OSI. Una vez establecida la conexin todas la comunicaciones entre el cliente y
proxy se realizan usando el protocolo SOCKS. El cliente le dice al proxy SOCKS
qu es lo que quiere y el proxy se comunica con el servidor web externo, obtiene
los resultados y se los manda al cliente. De esta forma el servidor externo solo
tiene que estar accesible desde el proxy SOCKS que es el que se va a comunicar
con l.
El cliente que se comunica con SOCKS puede estar en la propia aplicacin (Ej.
Firefox, putty), o bien en la pila de protocolos TCP/IP a donde la aplicacin enviar
los paquetes a un tnel SOCKS. En el proxy SOCKS es habitual implementar,
como en la mayora de proxys, autenticacin y registro de las sesiones.
En los orgenes de la web fue un protocolo de acceso a web popular, pero el
rpido desarrollo de los proxies HTTP o incluso de NAT y otras opciones de
aseguramiento de las comunicaciones TCP/IP lo hizo caer en desuso
prcticamente absoluto llegado el siglo XXI.
2.4.
Proxies transparentes
2.7.
Proxy abierto
Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est
o no conectado a su red.
En esta configuracin el proxy ejecutar cualquier peticin de cualquier
ordenador que pueda conectarse a l, realizndola como si fuera una peticin del
proxy. Por lo que permite que este tipo de proxy se use como pasarela para el
envo masivo de correos de spam. Un proxy se usa, normalmente, para almacenar
y redirigir servicios como el DNS o la navegacin Web, mediante el cacheo de
peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios.
Este uso es muy beneficioso, pero al aplicarle una configuracin "abierta" a todo
internet, se convierte en una herramienta para su uso indebido.
Debido a lo anterior, muchos servidores, como los de IRC, o correo electrnicos,
deniegan el acceso a estos proxys a sus servicios, usando normalmente listas
negras ("BlackList").
2.8.
Cross-Domain Proxy
Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc)
que tienen restricciones para establecer una comunicacin entre elementos
localizados en distintos dominios.
En el caso de AJAX, por seguridad slo se permite acceder al mismo dominio
origen de la pgina web que realiza la peticin. Si se necesita acceder a otros
servicios localizados en otros dominios, se instala un Cross-Domain proxy2 en el
dominio origen que recibe las peticiones ajax y las reenvia a los dominios
externos.
En el caso de flash, tambin han solucionado creando la revisin de archivos
xml de Cross-Domain, que permiten o no el acceso a ese dominio o subdominio.
3. CONFIGURACIN DE UN PROXY
Para qu configurar un proxy
Los servidores proxy estn presentes en muchas redes particulares y sobre
todo empresariales. Hacen de intermediarios. El cliente y el servidor no se
conectan de forma directa, sino a travs del proxy. Eso tiene varias utilidades:
Es algo muy parecido a lo que hace Explorer con sus archivos temporales de
Internet. Ellos y el historial de navegacin tienen ciertos riesgos. Ve cules y cmo
combatirlos en:
Configurar un proxy en Explorer
Lo primero que debes tener claro son los datos de conexin del proxy:
Direccin. Lo ms normal es que el proxy se identifique mediante su IP. Es un
nmero de cuatro cifras separadas por puntos (82.165.35.26, por ejemplo). Pero a
veces utiliza un nombre.
Puerto. Es algo as como la va de entrada que usa el proxy para conectarse. Se
indica con un nmero (80, 6515, 3128, etc.).
Es habitual que los datos de un proxy se representen juntos. Primero la direccin y
luego el puerto, separados por dos puntos. Un ejemplo, 89.188.141.51:80 quiere
decir que la direccin es 89.188.141.51 y el puerto el 80.
1. Abre Explorer y haz clic en el botn Herramientas (puede poner eso o tener
el icono de una rueda dentada). Luego pincha en el men Opciones de
Internet.
2. Haz clic en la solapa Conexiones. Abajo encontrars el botn Configuracin
de LAN. Plsalo.
3. Comprueba que est seleccionada la casilla Usar un servidor proxy para la
LANPincha en ella para habilitarla si no lo est.
4. Rellena los campos de Direccin y Puerto del proxy (los de la imagen son
slo un ejemplo). Pulsa Aceptar. Y luego otra vez en la ventana de
Opciones de Internet a la que regresas
4. CONFIGURACIN DE UN NAT
La traduccin de direcciones de red o NAT (del ingls Network Address
Translation) es un mecanismo utilizado por routers IP para intercambiar paquetes
entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en
convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados.
Tambin es necesario editar los paquetes para permitir la operacin de protocolos
que incluyen informacin de direcciones dentro de la conversacin del protocolo.
NAT: Sirve para traducir una serie de direcciones en otras segn una tabla
de equivalencias. Muy usado para conectar a Internet redes IP que usan rangos
privados (RFC 1918: 10.*.*.*, 172.16-31.*.*, 192.168.0-255.*). Suele realizarla el
router que conecta la red con el exterior.
Dado que las IP asignadas son privadas y adems duplicadas, vamos a
configurar NAT para que nos haga traduccin de IP y puerto, de forma controlada,
para evitar el solape de direcciones.
Vamos adems a suponer que no disponemos de muchas IP y por eso
usaremos la misma IP de las interfaces serie, que supondremos que son pblicas
y estn asignadas por el operador para realizar PAT (NAT overload) sobre ellas.
Adems, hay que tener en cuenta, que el NAT slo se configura en un nico punto
de salida de toda la red, esto es importante tenerlo en cuenta en la LAN.
Ventajas de la NAT
El uso de la NAT tiene varias ventajas:
Funcionamiento
Conseguir un router real podra no ser fcil para llevar a cabo esta
experiencia, sin embargo, puede optar por utilizar un simulador de router real,
como el Cisco Packet Tracer. Eso supone que en esta muestra, contamos con 3
routers, un Switch y tres computadores.
NAT con sobrecarga (conexiones del equipo desde Internet a la red con
ips'privadas)
1. Conecte los dispositivos entre s por los puertos adecuados en cada caso
(ethernet, ATM, Serial, etc.)
2. Asumimos que usted sabe enrutamiento IP y cmo hacer converger la red
usando protocolo de enrutamientos. RIP se recomienda para
configuraciones ms sencillas y rpidas.
3. Parametrizaciones del ejemplo:
El puerto conectado a internet es el Ethernet0
El puerto conectado a la red LAN es el Ethernet1
El rango IP de la LAN es 192.168.1.0 con mscara 255.255.255.0 y
wildmask 0.0.0.255
La lista de accesos se llamar INTERNET
PAT:Orientando puerto de Http 80 sobre mquina 192.168.0.1 puerto 8080
Router(config)#ip nat inside source list INTERNET interface Dialer0 overload
Router(config)#ip access-list standard INTERNET
Router(config)#permit 192.168.1.0 0.0.0.255
Router(config)#deny any
Router(config)#interface ethernet0
Router(config)#ip nat outside
Router(config)#interface ethernet1
Router(config)#ip nat inside
Router(config)#ip nat inside source static tcp 192.168.0.1 8080 interface ethernet0
80
3. Configure NAT para poder lograr lo que defini arriba. Basndose en lo que
defini en el paso 2, deber determinar qu funcin, de las que indicamos a
continuacin, utilizar:
NAT esttico
NAT dinmico
Sobrecarga
Cualquier combinacin de las anteriores
Ahora ya est listo para configurar NAT. Para poder cumplir lo que ha definido
anteriormente, utilice NAT dinmico. Con este NAT dinmico, la tabla de
traducciones del router estar vaca al principio y se ir llenando cuando el trfico
que debe traducirse pase a travs del router. (En oposicin a NAT esttico, donde
una traduccin se configura estticamente y se pone en la tabla de traducciones
sin necesidad de que haya trfico).
En este ejemplo, podemos configurar NAT para traducir todos los dispositivos
internos a una nica direccin vlida o todos los dispositivos internos a la misma
direccin vlida. Este segundo mtodo se denomina sobrecarga. A continuacin se
proporciona un ejemplo de cmo configurar cada mtodo.
Configuracin de NAT para permitir que los usuarios internos accedan a
Internet
Router NAT
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
exterior.
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!
!--- Define una agrupacin de NAT llamada no-overload con un
rango de direcciones
!--- 172.16.10.1 - 172.16.10.63.
ip nat inside source list 7 pool no-overload
!
!
!--- Indica que a todos los paquetes recibidos en la interfaz
interna que
!--- tienen permiso de la lista de acceso 7
!--- se les traducir la direccin de origen a una direccin
que est fuera de la
!--- agrupacin NAT "no-overload".
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!--- La lista de acceso 7 permite paquetes con direcciones de
origen comprendidas entre
!--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.
Nota: Cisco recomienda encarecidamente que no configure con permit any las listas de
acceso a las que hacen referencia comandos de NAT. Si utiliza permit any, NAT puede llegar a
consumir demasiados recursos de router, lo que a su vez puede producir problemas en la red.
interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside
Otra variacin de este comando es ip nat inside source list 7 interface serial 0
overload, que configura NAT a sobrecarga en la direccin que est asignada a la
interfaz serial 0.
Cuando se configura una sobrecarga, el router mantiene suficiente informacin
de los protocolos de nivel superior (por ejemplo, nmeros de puerto TCP o UDP)
para traducir la direccin global a la direccin local correcta. Para obtener
informacin sobre las definiciones de direcciones globales y locales, consulte NAT:
Local and Global Definitions (NAT: definiciones locales y globales)
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Ejemplo: Habilitacin de Internet para acceder a dispositivos internos
Puede necesitar que dispositivos internos intercambien informacin con
dispositivos en Internet, donde se inicia la comunicacin desde los dispositivos de
Internet, por ejemplo, el correo electrnico. Por lo general, los dispositivos de
Internet envan correo electrnico a un servidor de correo que reside en la red
interna.
En segundo lugar, definiremos que queremos que los usuarios del interior
puedan originar comunicaciones con el exterior. Los dispositivos del exterior deben
poder originar comunicaciones slo con el servidor de correo electrnico del
interior.
El tercer paso consistir en configurar NAT. Para realizar las operaciones que
acabamos de indicar, podemos configurar juntos NAT dinmico y esttico. Para
obtener ms informacin sobre cmo configurar este ejemplo, consulte
Configuring Static and Dynamic NAT Simultaneously (Configuracin simultnea de
NAT esttica y dinmica).
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Ejemplo: Redirigir el trfico de TCP a otro puerto o direccin TCP
Tener un servidor Web en una red interna es otro ejemplo de cundo podra ser
necesario que los dispositivos en Internet inicien comunicacin con los dispositivos
internos. En algunos casos, el servidor Web interno puede configurarse para
escuchar el trfico Web en un puerto TCP que no sea el puerto 80. Por ejemplo, el
servidor Web interno puede estar configurado para escuchar el puerto TCP 8080.
En dicho caso, puede utilizar NAT para redireccionar al puerto TCP 8080 el trfico
que estaba destinado al puerto TCP 80.
Router NAT
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside
!--- Define Ethernet 0 con una direccin IP y como interfaz
NAT interior.
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT
exterior.
ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8
80
!--- Comando de NAT esttico que indica que cualquier paquete
recibido dentro de la
!--- interfaz con una direccin IP de origen de
172.16.10.8:8080 se
!--- traducir a 172.16.10.8:80.
Despus de definir las interfaces tal como se indica ms arriba, es posible que
decida que NAT permita que los paquetes del exterior destinados a la antigua
direccin del servidor (172.16.10.8) se traduzcan y se enven a la nueva direccin
del servidor. Observe que el nuevo servidor est en una LAN diferente y que los
dispositivos de esta LAN o de cualquier otra LAN a la que se pueda llegar a travs
de esta LAN (dispositivos en la parte interna de la red) deberan ser configurados,
si es posible, para utilizar la direccin IP del nuevo servidor.
Se puede utilizar NAT esttico si es necesario. A continuacin mostramos una
configuracin de ejemplo.
Configuracin del uso de NAT durante una transicin de la red
Router NAT
interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat outside
!--- Define Ethernet 0 con una direccin IP y como interfaz
NAT exterior.
interface ethernet 1
ip address 172.16.50.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz
NAT interior.
interface serial 0
ip address 200.200.200.5 255.255.255.252
CONCLUSION
La mejor manera de asegurar el anonimato mientras se navega por Internet es
utilizando un proxy. Este es simplemente un "tercer" servidor para la conexin de
red. El servidor proxy se conecta a la web y acta como una especie de depsito
de garanta entre ambos, ya que te proporciona anonimato y seguridad. Se Debe
utilizar la configuracin de proxy correcta antes de usarlo.
Los ejemplos de este documento muestran que los pasos de inicio rpido
pueden ayudarle a configurar y desplegar NAT. Dichos pasos de inicio rpido
incluyen:
Definicin de NAT dentro y fuera de las interfaces.
Definicin de lo que est tratando de lograr con NAT.
Configuracin de NAT para poder lograr lo que defini en el paso 2.
Verificacin del funcionamiento de NAT.
En todos los ejemplos anteriores, se han utilizado diversos tipos del comando
ip nat inside. Tambin puede utilizar el comando ip nat outside para conseguir los
mismos objetivos, siempre teniendo en cuenta el orden de operaciones de NAT.
Los ejemplos anteriores de la configuracin NAT tambin han demostrado lo
siguiente:
Los Comandos ip nat inside source: traduce el origen de los paquetes IP que
viajan del interior al exterior y el destino de los paquetes IP que viajan del exterior
al interior. Y el comando ip nat outside source: Traduce el origen de los paquetes
IP que viajan del exterior al interior y destino de los paquetes IP que viajan del
interior al exterior.