REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN

UNIVERSITARIA
INSTITUTO UNIVERSITARIO DE TECNOLOGA DE MARACAIBO
PROGRAMA NACIONAL DE FORMACIN EN INFORMTICA
MARACAIBO, ESTADO- ZULIA

Integrantes:
Br. Yorledis Vsquez C.I.20.777.702
Br. Marylys Sorzano. C.I. 18.574.810

MARACAIBO, MARZO 2015

Introduccin
En el contexto de las redes informticas, el trmino proxy hace referencia a un
programa o dispositivo que realiza una accin en representacin de otro. Su
finalidad ms habitual es la de servidor proxy, que sirve para permitir el acceso a
Internet a todos los equipos de una organizacin cuando slo se puede disponer
de un nico equipo conectado, esto es, una nica direccin IP.
Internet en sus inicios no fue pensado para ser una red tan extensa, por ese
motivo se reservaron slo 32 bits para direcciones, el equivalente a
4.294.967.296 direcciones nicas, pero el hecho es que el nmero de mquinas
conectadas a Internet aument exponencialmente y las direcciones IP se
agotaban. Por ello surgi la NAT o Network Address Translation (en castellano,
Traduccin de Direcciones de Red)
La idea es sencilla, hacer que redes de ordenadores utilicen un rango de
direcciones especiales (IPs privadas) y se conecten a Internet usando una nica
direccin IP (IP pblica). Gracias a este parche, las grandes empresas slo
utilizaran una direccin IP y no tantas como mquinas hubiese en dicha empresa.
Tambin se utiliza para conectar redes domsticas a Internet.

SERVIDOR PROXY
1.1.

QU ES UN SERVIDOR PROXY?

Un proxy, o servidor proxy, en una red informtica, es un servidor (un programa

o sistema informtico), que sirve de intermediario en las peticiones de recursos
que realiza un cliente (A) a otro servidor (C). Por ejemplo, si una hipottica
mquina A solicita un recurso a C, lo har mediante una peticin a B, que a su vez
trasladar la peticin a C; de esta forma C no sabr que la peticin procedi
originalmente de A. Esta situacin estratgica de punto intermedio suele ser
aprovechada para soportar una serie de funcionalidades: control de acceso,
registro del trfico, prohibir cierto tipo de trfico, mejorar el rendimiento, mantener
el anonimato, proporcionar Cach web, etc; este ltimo sirve para acelerar y
mejorar la experiencia del usuario mediante permisos que guardar la web, esto
se debe a que la prxima vez que se visiten las pginas web no se extraer
informacin de la web si no que se recuperara informacin de la cache.
Un servidor proxy es un equipo que acta de intermediario entre un
explorador web (como Internet Explorer) e Internet. Los servidores proxy ayudan a
mejorar el rendimiento en Internet ya que almacenan una copia de las pginas
web ms utilizadas. Cuando un explorador solicita una pgina web almacenada en
la coleccin (su cach) del servidor proxy, el servidor proxy la proporciona, lo que
resulta ms rpido que consultar la Web. Los servidores proxy tambin ayudan a
mejorar la seguridad, ya que filtran algunos contenidos web y software
malintencionado.
Los servidores proxy se utilizan a menudo en redes de organizaciones y
compaas. Normalmente, las personas que se conectan a Internet desde casa no
usan un servidor proxy.
1.2. CARACTERSTICAS
La palabra inglesa proxy significa procurador en espaol.
El uso ms comn es el de servidor proxy, que es un ordenador que
intercepta las conexiones de red que un cliente hace a un servidor de
destino.
De ellos, el ms famoso es el servidor proxy web (comnmente conocido
solamente como proxy). Intercepta la navegacin de los clientes por
pginas web, por varios motivos posibles: seguridad, rendimiento,
anonimato, etc.
Tambin existen proxy para otros protocolos, como el proxy de FTP.
El proxy ARP puede hacer de enrutador en una red, ya que hace de
intermediario entre ordenadores.

Proxy (patrn de diseo) tambin es un patrn de diseo (programacin)

con el mismo esquema que el proxy de red.
Un componente hardware tambin puede actuar como intermediario para
otros.

Como se ve, proxy tiene un significado muy general, aunque siempre es

sinnimo de intermediario. Cuando un equipo de la red desea acceder a una
informacin o recurso, es realmente el proxy quien realiza la comunicacin y a
continuacin traslada el resultado al equipo que la solicit.
Hay dos tipos de proxys atendiendo a quien es el que quiere implementar la
poltica del proxy:

Proxy local: En este caso el que quiere implementar la poltica es el mismo

que hace la peticin. Por eso se le llama local. Suelen estar en la misma
mquina que el cliente que hace las peticiones. Son muy usados para que
el cliente pueda controlar el trfico y pueda establecer reglas de filtrado que
por ejemplo pueden asegurar que no se revela informacin privada (Proxys
de filtrado para mejora de la privacidad).
Proxy externo: El que quiere implementar la poltica del proxy es una
entidad externa. Por eso se le llama externo. Se suelen usar para
implementar cacheos, bloquear contenidos, control del trfico, compartir IP,
etc.
1.3. VENTAJAS
En general (no slo en informtica), los proxies hacen posible:

Control: slo el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy.
Ahorro. Slo uno de los usuarios (el proxy) ha de estar preparado para
hacer el trabajo real. Con estar preparado queremos decir que es el nico
que necesita los recursos necesarios para hacer esa funcionalidad.
Ejemplos de recursos necesarios para hacer la funcin pueden ser la
capacidad y lgica de cmputo o la direccin de red externa (IP).
Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede
hacer cach: guardar la respuesta de una peticin para darla directamente
cuando otro usuario la pida. As no tiene que volver a contactar con el
destino, y acaba ms rpido.
Filtrado. El proxy puede negarse a responder algunas peticiones si detecta
que estn prohibidas.
Modificacin. Como intermediario que es, un proxy puede falsificar
informacin, o modificarla siguiendo un algoritmo.

1.4.

DESVENTAJAS

En general (no slo en informtica), el uso de un intermediario puede provocar:

Anonimato. Si todos los usuarios se identifican como uno slo, es difcil

que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo,
por ejemplo cuando hay que hacer necesariamente la identificacin.
Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y
responderlas, es posible que haga algn trabajo que no toque. Por tanto, ha
de controlar quin tiene acceso y quin no a sus servicios, cosa que
normalmente es muy difcil.
Carga. Un proxy ha de hacer el trabajo de muchos usuarios.
Intromisin. Es un paso ms entre origen y destino, y algunos usuarios
pueden no querer pasar por el proxy. Y menos si hace de cach y guarda
copias de los datos.
Incoherencia. Si hace de cach, es posible que se equivoque y d una
respuesta antigua cuando hay una ms reciente en el recurso de destino.
En realidad este problema no existe con los servidores proxy actuales, ya
que se conectan con el servidor remoto para comprobar que la versin que
tiene en cach sigue siendo la misma que la existente en el servidor
remoto.
Irregularidad. El hecho de que el proxy represente a ms de un usuario da
problemas en muchos escenarios, en concreto los que presuponen una
comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP).

2. APLICACIONES
El concepto de proxy es aplicado de muy distintas formas para proporcionar
funcionalidades especficas.
2.1.

Proxy Cach

Conserva el contenido solicitado por el usuario para acelerar la respuesta en

futuras peticiones de la misma informacin de la misma mquina u otras.
Habitualmente se trata de proxys HTTP/HTTPS accediendo a contenido web.
2.2.

Proxy de Web

Se trata de un proxy para una aplicacin especfica: el acceso a la web con los
protocolos HTTP y HTTPS, y accesoriamente FTP. Aparte de la utilidad general de
un proxy puede proporcionar una cach compartida para las pginas web y
contenidos descargados, actuando entonces como servidor proxy-cache. Esta
cach es compartida por mltiples usuarios con la consiguiente mejora en los

tiempos de acceso para consultas coincidentes y liberando de carga a los enlaces

de acceso a Internet.
Funcionamiento:
El usuario realiza una peticin (por ejemplo, en un navegador web) de un
recurso de Internet (una pgina web o cualquier otro archivo) especificado por una
URL.
Cuando el proxy cach recibe la peticin, busca la URL resultante en su cach
local. Si la encuentra, contrasta la fecha y hora de la versin de la pgina
demanda con el servidor remoto. Si la pgina no ha cambiado desde que se cargo
en cach la devuelve inmediatamente, ahorrndose mucho trfico dado que solo
enva un paquete por la red para comprobar la versin. Si la versin es antigua o
simplemente no se encuentra en la cach, lo solicita al servidor remoto, lo
devuelve al cliente que lo pidi y guarda o actualiza una copia en su cach para
futuras peticiones.
2.2.1. Posibles usos
Los proxys web pueden aportar una serie de funcionalidades interesantes en
distintos mbitos:

Reduccin del trfico mediante la implementacin de cach en el proxy. Las

peticiones de pginas Web se hacen al servidor Proxy y no a Internet
directamente. Por lo tanto se aligera el trfico en la red y descarga los
servidores destino, a los que llegan menos peticiones.
El cach utiliza normalmente un algoritmo configurable para determinar
cundo un documento est obsoleto y debe ser eliminado de la cach.
Como parmetros de configuracin utiliza la antigedad, tamao e histrico
de acceso. Dos de esos algoritmos bsicos son el LRU (el usado menos
recientemente, en ingls "Least Recently Used") y el LFU (el usado menos
frecuentemente, "Least Frequently Used").
Mejora de la velocidad en tiempo de respuesta mediante la implementacin
de cach en el proxy. El servidor Proxy crea un cach que evita
transferencias idnticas de la informacin entre servidores durante un
tiempo (configurado por el administrador) as que el usuario recibe una
respuesta ms rpida. Por ejemplo supongamos que tenemos un ISP que
tiene un servidor Proxy con cach. Si un cliente de ese ISP manda una
peticin por ejemplo a Google esta llegar al servidor Proxy que tiene este
ISP y no ir directamente a la direccin IP del dominio de Google. Esta
pgina concreta suele ser muy solicitada por un alto porcentaje de usuarios,
por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una

respuesta en mucho menor tiempo. Cuando el usuario crea una bsqueda

en Google el servidor Proxy ya no es utilizado; el ISP enva su peticin y el
cliente recibe su respuesta ahora s desde Google.
Los programas P2P se pueden aprovechar de la cache proporcionada por
algunos proxys. Es el llamado Webcach. Por ejemplo es usado en Lphant
y algunos Mods del Emule.
El proxy puede servir para implementar funciones de filtrado de contenidos.
Para ello es necesaria la configuracin de una serie de restricciones que
indiquen lo que no se permite. Observar que esta funcionalidad puede ser
aprovechada no slo para que ciertos usuarios no accedan a ciertos
contenidos sino tambin para filtrar ciertos ficheros que se pueden
considerar como peligrosos como pueden ser virus y otros contenidos
hostiles servidos por servidores web remotos.
Un proxy puede permitir esconder al servidor web la identidad del que
solicita cierto contenido. El servidor web lo nico que detecta es que la ip
del proxy solicita cierto contenido. Sin embargo no puede determinar la ip
origen de la peticin. Adems, si se usa una cach, puede darse el caso de
que el contenido sea accedido muchas ms veces que las detectadas por el
servidor web que aloja ese contenido.
Los proxys pueden ser aprovechados para dar un servicio web a una
demanda de usuarios superior a la que sera posible sin ellos.
El servidor proxy puede modificar los contenidos que sirven los servidores
web originales. Puede haber diferentes motivaciones para hacer esto.
Veamos algunos ejemplos:
Algunos proxys pueden cambiar el formato de las pginas web para un
propsito o una audiencia especficos (Ej. mostrar una pgina en un
telfono mvil o una PDA) traduciendo los contenidos.
Hay proxys que modifican el trfico web para mejorar la privacidad del
trfico web con el servidor. Para ello se establecen unas reglas que el proxy
tiene que cumplir. Por ejemplo el proxy puede ser configurado para
bloquear direcciones y Cookies, para modificar cabeceras de las peticiones
o quitar javascript que se considere peligroso.
Es frecuente el uso de este tipo de proxys en las propias mquinas de los
usuarios (proxys locales) para implementar un paso intermedio y que las
peticiones no sean liberadas/recibidas a/de la red sin haber sido
previamente limpiadas de informacin o contenido peligroso o privado. Este
tipo de proxys es tpico en entornos donde hay mucha preocupacin sobre
la privacidad y se suele usar como paso previo a la peticin del contenido a
travs de una red que persiga el anonimato como puede ser Tor. Los
programas ms frecuentes para hacer este tipo de funcionalidad son:

Privoxy: Se centra en el contenido web. No presta servicio de cache.

Analiza el trfico basndose en reglas predefinidas que se asocian a
direcciones especificadas con expresiones regulares y que aplica a
cabeceras, contenido, etc. Es altamente configurable. Tiene extensa
documentacin.
Polipo: Tiene caractersticas que lo hacen ms rpido que privoxy (cacheo,
pipeline, uso inteligente de rango de peticiones). Su desventaja es que no
viene configurado por defecto para proveer anonimicidad a nivel de la capa
de aplicacin.

El servidor proxy proporciona un punto desde el que se puede gestionar de

forma centralizada el trfico web de muchos usuarios. Eso puede aprovecharse
para muchas funciones adicionales a las tpicas vistas anteriormente. Por ejemplo
puede usarse para el establecimiento de controlar el trfico de web de individuos
concretos, establecer cmo se va a llegar a los servidores web de los cuales se
quiere obtener los contenidos (por ejemplo, el proxy puede configurarse para que
en lugar de obtener los contenidos directamente, lo haga a travs de la red Tor).
2.2.2. Inconvenientes
Si se realiza un servicio de cach, las pginas mostradas pueden no estar
actualizadas si stas han sido modificadas desde la ltima carga que
realiz el proxy cach.
Un diseador de pginas web puede indicar en el contenido de su web que
los navegadores no hagan una cach de sus pginas, pero este mtodo no
funciona habitualmente para un proxy.
El hecho de acceder a Internet a travs de un Proxy, en vez de mediante
conexin directa, dificulta (necesario configurar adecuadamente el proxy)
realizar operaciones avanzadas a travs de algunos puertos o protocolos.
Almacenar las pginas y objetos que los usuarios solicitan puede suponer
una violacin de la intimidad para algunas personas.
2.3. Aplicaciones Web Proxy
Su funcionamiento se basa en el de un proxy HTTP/HTTPS, pero en este caso
el usuario accede desde el navegador web a este servicio de forma manual a
travs una Aplicacin Web. Ese servidor HTTP, el intermediario, mediante una
URL recibe la peticin, accede al servidor de la web solicitada y devuelve el
contenido dentro una pgina propia.
Proxy SOCKS
Los servidores SOCKS se diferencian de otros proxys por utilizar en vez de
HTTP un protocolo especfico, el protocolo SOCKS. El programa cliente es a la
vez cliente HTTP y cliente SOCKS. El cliente negocia una conexin con el servidor

proxy SOCKS usando el protocolo SOCKS de nivel 5, capa de sesin, del modelo
OSI. Una vez establecida la conexin todas la comunicaciones entre el cliente y
proxy se realizan usando el protocolo SOCKS. El cliente le dice al proxy SOCKS
qu es lo que quiere y el proxy se comunica con el servidor web externo, obtiene
los resultados y se los manda al cliente. De esta forma el servidor externo solo
tiene que estar accesible desde el proxy SOCKS que es el que se va a comunicar
con l.
El cliente que se comunica con SOCKS puede estar en la propia aplicacin (Ej.
Firefox, putty), o bien en la pila de protocolos TCP/IP a donde la aplicacin enviar
los paquetes a un tnel SOCKS. En el proxy SOCKS es habitual implementar,
como en la mayora de proxys, autenticacin y registro de las sesiones.
En los orgenes de la web fue un protocolo de acceso a web popular, pero el
rpido desarrollo de los proxies HTTP o incluso de NAT y otras opciones de
aseguramiento de las comunicaciones TCP/IP lo hizo caer en desuso
prcticamente absoluto llegado el siglo XXI.
2.4.

Proxies transparentes

Muchas organizaciones (incluyendo empresas, colegios y familias) usan los

proxies para reforzar las polticas de uso de la red o para proporcionar seguridad y
servicios de cach. Normalmente, un proxy Web o NAT no es transparente a la
aplicacin cliente: debe ser configurada para usar el proxy, manualmente. Por lo
tanto, el usuario puede evadir el proxy cambiando simplemente la configuracin.
Un proxy transparente combina un servidor proxy con un cortafuegos de
manera que las conexiones son interceptadas y desviadas hacia el proxy sin
necesidad de configuracin en el cliente, y habitualmente sin que el propio usuario
conozca de su existencia. Este tipo de proxy es habitualmente utilizado por las
empresas proveedoras de acceso de Internet.
2.5.

Proxy inverso (Reverse Proxy)

Un proxy inverso (reverse proxy en ingls) es un servidor proxy situado en el

alojamiento de uno o ms servidores web. Todo el trfico procedente de Internet y
con destino en alguno de esos servidores web es recibido por el servidor proxy.
Hay varias razones para ello:

Seguridad: el servidor proxy es una capa adicional de defensa y por lo

tanto protege a los servidores web.
Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro,
habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es

realizado en un equipo ajeno equipado incluso con hardware de aceleracin

SSL/TLS.
Distribucin de Carga: el proxy puede distribuir la carga entre varios
servidores web. En ese caso puede ser necesario reescribir la URL de cada
pgina web (traduccin de la URL externa a la URL interna
correspondiente, segn en qu servidor se encuentre la informacin
solicitada).
Cach de contenido esttico: Un proxy inverso puede descargar de
trabajo a los servidores web almacenando contenido esttico como
imgenes u otro contenido grfico. Tambin puede almacenar contenido
generado dinmicamente pero que pueda ser en alguna medida reutilizable.
2.6. Proxy NAT (Network Address Translation) / Enmascaramiento
Otro mecanismo para hacer de intermediario en una red es el NAT.
La traduccin de direcciones de red (NAT, Network Address Translation)
tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la
cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas
por otras (de ah el "enmascaramiento").
Esto es lo que ocurre cuando varios usuarios comparten una nica conexin a
Internet. Se dispone de una nica direccin IP pblica, que tiene que ser
compartida. Dentro de la red de rea local (LAN) los equipos emplean direcciones
IP reservadas para uso privado y ser el proxy el encargado de traducir las
direcciones privadas a esa nica direccin pblica para realizar las peticiones, as
como de distribuir las pginas recibidas a aquel usuario interno que la solicit.
Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en
Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x
Esta situacin es muy comn en empresas y domicilios con varios ordenadores
en red y un acceso externo a Internet. El acceso a Internet mediante NAT
proporciona una cierta seguridad, puesto que en realidad no hay conexin directa
entre el exterior y la red privada, y as nuestros equipos no estn expuestos a
ataques directos desde el exterior.
Mediante NAT tambin se puede permitir un acceso limitado desde el exterior,
y hacer que las peticiones que llegan al proxy sean dirigidas a una mquina
concreta que haya sido determinada para tal fin en el propio proxy.
La funcin de NAT reside en los Cortafuegos y resulta muy cmoda porque no
necesita de ninguna configuracin especial en los equipos de la red privada que
pueden acceder a travs de l como si fuera un mero encaminador.

2.7.

Proxy abierto

Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est
o no conectado a su red.
En esta configuracin el proxy ejecutar cualquier peticin de cualquier
ordenador que pueda conectarse a l, realizndola como si fuera una peticin del
proxy. Por lo que permite que este tipo de proxy se use como pasarela para el
envo masivo de correos de spam. Un proxy se usa, normalmente, para almacenar
y redirigir servicios como el DNS o la navegacin Web, mediante el cacheo de
peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios.
Este uso es muy beneficioso, pero al aplicarle una configuracin "abierta" a todo
internet, se convierte en una herramienta para su uso indebido.
Debido a lo anterior, muchos servidores, como los de IRC, o correo electrnicos,
deniegan el acceso a estos proxys a sus servicios, usando normalmente listas
negras ("BlackList").
2.8.

Cross-Domain Proxy

Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc)
que tienen restricciones para establecer una comunicacin entre elementos
localizados en distintos dominios.
En el caso de AJAX, por seguridad slo se permite acceder al mismo dominio
origen de la pgina web que realiza la peticin. Si se necesita acceder a otros
servicios localizados en otros dominios, se instala un Cross-Domain proxy2 en el
dominio origen que recibe las peticiones ajax y las reenvia a los dominios
externos.
En el caso de flash, tambin han solucionado creando la revisin de archivos
xml de Cross-Domain, que permiten o no el acceso a ese dominio o subdominio.
3. CONFIGURACIN DE UN PROXY
Para qu configurar un proxy
Los servidores proxy estn presentes en muchas redes particulares y sobre
todo empresariales. Hacen de intermediarios. El cliente y el servidor no se
conectan de forma directa, sino a travs del proxy. Eso tiene varias utilidades:

Servir como sistema de seguridad y filtrado. Un servidor proxy puede

actuar como un firewall, capaz de filtrar ataques o contenidos indeseados
desde el servidor. Tambin es capaz de esconder tu IP para navegar
annimamente.

Permitir compartir recursos. En especial la conexin a Internet. Con un

proxy pueden conectarse varios PCs sin necesidad de tener cada uno su
propio acceso directo a Internet.
Mejorar la experiencia del usuario. Por ejemplo guardando una copia
(cach) de sitios web visitados. Eso hace ms rpido el acceso a sus
pginas, las disponibiliza aunque la conexin no funcione y ahorra ancho de
banda.

Es algo muy parecido a lo que hace Explorer con sus archivos temporales de
Internet. Ellos y el historial de navegacin tienen ciertos riesgos. Ve cules y cmo
combatirlos en:
Configurar un proxy en Explorer
Lo primero que debes tener claro son los datos de conexin del proxy:
Direccin. Lo ms normal es que el proxy se identifique mediante su IP. Es un
nmero de cuatro cifras separadas por puntos (82.165.35.26, por ejemplo). Pero a
veces utiliza un nombre.
Puerto. Es algo as como la va de entrada que usa el proxy para conectarse. Se
indica con un nmero (80, 6515, 3128, etc.).
Es habitual que los datos de un proxy se representen juntos. Primero la direccin y
luego el puerto, separados por dos puntos. Un ejemplo, 89.188.141.51:80 quiere
decir que la direccin es 89.188.141.51 y el puerto el 80.
1. Abre Explorer y haz clic en el botn Herramientas (puede poner eso o tener
el icono de una rueda dentada). Luego pincha en el men Opciones de
Internet.
2. Haz clic en la solapa Conexiones. Abajo encontrars el botn Configuracin
de LAN. Plsalo.
3. Comprueba que est seleccionada la casilla Usar un servidor proxy para la
LANPincha en ella para habilitarla si no lo est.
4. Rellena los campos de Direccin y Puerto del proxy (los de la imagen son
slo un ejemplo). Pulsa Aceptar. Y luego otra vez en la ventana de
Opciones de Internet a la que regresas

NOTA: Las imgenes de arriba son de Explorer 9, pero en Explorer 8 y 7 se hace

igual.
Cuidado con los proxy
Los servidores proxy tienen algunos inconvenientes y riesgos adems de ventajas.
Debes tener ciertos cuidados al usarlos:
No utililizar un servidor proxy si no se est seguro de su fiabilidad. Algunos son un
anzuelo que usan los hackers en tu contra hacindote creer que ests seguro.
Hay sitios web y servidores de e-mail (u otros servicios de Internet) que vetan el
acceso a quien usa proxys abiertos. Lo hacen porque muchos spammers los
utilizan con fines ilcitos.
No revelar datos personales o confidenciales en sitios web que no sean
reconocidos y seguros. Ni siquiera cuando se use un proxy annimo fiable.

4. CONFIGURACIN DE UN NAT
La traduccin de direcciones de red o NAT (del ingls Network Address
Translation) es un mecanismo utilizado por routers IP para intercambiar paquetes
entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en
convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados.
Tambin es necesario editar los paquetes para permitir la operacin de protocolos
que incluyen informacin de direcciones dentro de la conversacin del protocolo.

NAT: Sirve para traducir una serie de direcciones en otras segn una tabla
de equivalencias. Muy usado para conectar a Internet redes IP que usan rangos
privados (RFC 1918: 10.*.*.*, 172.16-31.*.*, 192.168.0-255.*). Suele realizarla el
router que conecta la red con el exterior.
Dado que las IP asignadas son privadas y adems duplicadas, vamos a
configurar NAT para que nos haga traduccin de IP y puerto, de forma controlada,
para evitar el solape de direcciones.
Vamos adems a suponer que no disponemos de muchas IP y por eso
usaremos la misma IP de las interfaces serie, que supondremos que son pblicas
y estn asignadas por el operador para realizar PAT (NAT overload) sobre ellas.
Adems, hay que tener en cuenta, que el NAT slo se configura en un nico punto
de salida de toda la red, esto es importante tenerlo en cuenta en la LAN.
Ventajas de la NAT
El uso de la NAT tiene varias ventajas:

La primera y ms obvia, el gran ahorro de direcciones IPv4 que supone,

recordemos que podemos conectar mltiples mquinas de una red a
Internet usando una nica direccin IP pblica.
Seguridad. Las mquinas conectadas a la red mediante NAT no son visibles
desde el exterior, por lo que un atacante externo no podra averiguar si una
mquina est conectada o no a la red.
Mantenimiento de la red. Slo sera necesario modificar la tabla de reenvo
de un router para desviar todo el trfico hacia otra mquina mientras se
llevan a cabo tareas de mantenimiento.
Desventajas de la NAT

Recordemos que la NAT es solo un parche, no una solucin al verdadero

problema, por tanto tambin tiene una serie de desventajas asociadas a su
uso:
Checksums TCP y UDP: El router tiene que volver a calcular el checksum
de cada paquete que modifica. Por lo que se necesita mayor potencia de
computacin.
No todas las aplicaciones y protocolos son compatibles con NAT. Hay
protocolos que introducen el puerto de origen dentro de la zona de datos de
un paquete, por lo que el router no lo modifica y la aplicacin no funciona
correctamente.

Funcionamiento

El protocolo TCP/IP tiene la capacidad de generar varias conexiones

simultneas con un dispositivo remoto. Para realizar esto, dentro de la cabecera
de un paquete IP, existen campos en los que se indica la direccin origen y
destino. Esta combinacin de nmeros define una nica conexin.
La mayora de los NAT asignan varias mquinas (hosts) privadas a una
direccin IP expuesta pblicamente. En una configuracin tpica, una red local
utiliza unas direcciones IP designadas privadas para subredes (RFC 1918). Un
ruteador en esta red tiene una direccin privada en este espacio de direcciones. El
ruteador tambin est conectado a Internet por medio de una direccin pblica
asignada por un proveedor de servicios de Internet. Como el trfico pasa desde la
red local a Internet, la direccin de origen en cada paquete se traduce sobre la
marcha, de una direccin privada a una direccin pblica. El ruteador sigue la
pista de los datos bsicos de cada conexin activa (en particular, la direccin de
destino y el puerto). Cuando una respuesta llega al ruteador utiliza los datos de
seguimiento de la conexin almacenados en la fase de salida para determinar la
direccin privada de la red interna a la que remitir la respuesta.
Todos los paquetes de Internet tienen una direccin IP de origen y una
direccin IP de destino. En general, los paquetes que pasan de la red privada a la
red pblica tendrn su direccin de origen modificada, mientras que los paquetes
que pasan a la red pblica de regreso a la red privada tendrn su direccin de
destino modificada. Existen configuraciones ms complejas.
Para evitar la ambigedad en la forma de traducir los paquetes de vuelta, es
obligatorio realizar otras modificaciones. La mayor parte del trfico generado en
Internet son paquetes TCP y UDP, para estos protocolos los nmeros de puerto se
cambian, as la combinacin de la informacin de IP y puerto en el paquete
devuelto puede asignarse sin ambigedad a la informacin de direccin privada y
puerto correspondiente. Los protocolos que no estn basados en TCP y UDP
requieren de otras tcnicas de traduccin Los paquetes ICMP normalmente se
refieren a una conexin existente y necesitan ser asignado utilizando la misma
informacin de IP. Para el ICMP al ser una conexin existente no se utiliza ningn
puerto.
Una pasarela NAT cambia la direccin origen en cada paquete de salida y,
dependiendo del mtodo, tambin el puerto origen para que sea nico. Estas
traducciones de direccin se almacenan en una tabla, para recordar qu direccin
y puerto le corresponde a cada dispositivo cliente y as saber donde deben
regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red
interna no existe en la tabla en un determinado puerto y direccin se puede

acceder a un determinado dispositivo, como por ejemplo un servidor web, lo que

se denomina NAT inverso o DNAT (Destination NAT).
NAT tiene muchas formas de funcionamiento, entre las que destacan:
Esttica
Conocida tambin como NAT 1:1, es un tipo de NAT en el que una direccin
IP privada se traduce a una direccin IP pblica, y donde esa direccin pblica es
siempre la misma. Esto le permite a un host, como un servidor Web, el tener una
direccin IP de red privada pero aun as ser visible en Internet.
Dinmica
Es un tipo de NAT en la que una direccin IP privada se mapea a una IP
pblica basndose en una tabla de direcciones de IP registradas (pblicas).
Normalmente, el router NAT en una red mantendr una tabla de direcciones IP
registradas, y cuando una IP privada requiera acceso a Internet, el router elegir
una direccin IP de la tabla que no est siendo usada por otra IP privada. Esto
permite aumentar la seguridad de una red dado que enmascara la configuracin
interna de una red privada, lo que dificulta a los hosts externos de la red el poder
ingresar a sta. Para este mtodo se requiere que todos los hosts de la red
privada que deseen conectarse a la red pblica posean al menos una IP pblica
asociadas.
Sobrecarga
La ms utilizada es la NAT de sobrecarga, conocida tambin como PAT
(Port Address Translation - Traduccin de Direcciones por Puerto), NAPT (Network
Address Port Translation - Traduccin de Direcciones de Red por Puerto), NAT de
nica direccin o NAT multiplexado a nivel de puerto.
Solapamiento
Cuando las direcciones IP utilizadas en la red privada son direcciones IP
pblicas en uso en otra red, el encaminador posee una tabla de traducciones en
donde se especifica el reemplazo de stas con una nica direccin IP pblica. As
se evitan los conflictos de direcciones entre las distintas redes.
Ejemplo de Configuracin
En esta seccin, se indicar la forma bsica(s) de la configuracin de un
NAT en un router. Los pasos usados en esta seccin siguen la forma de programar
un servidor NAT en un router Cisco.

Conseguir un router real podra no ser fcil para llevar a cabo esta
experiencia, sin embargo, puede optar por utilizar un simulador de router real,
como el Cisco Packet Tracer. Eso supone que en esta muestra, contamos con 3
routers, un Switch y tres computadores.
NAT con sobrecarga (conexiones del equipo desde Internet a la red con
ips'privadas)
1. Conecte los dispositivos entre s por los puertos adecuados en cada caso
(ethernet, ATM, Serial, etc.)
2. Asumimos que usted sabe enrutamiento IP y cmo hacer converger la red
usando protocolo de enrutamientos. RIP se recomienda para
configuraciones ms sencillas y rpidas.
3. Parametrizaciones del ejemplo:
El puerto conectado a internet es el Ethernet0
El puerto conectado a la red LAN es el Ethernet1
El rango IP de la LAN es 192.168.1.0 con mscara 255.255.255.0 y
wildmask 0.0.0.255
La lista de accesos se llamar INTERNET
PAT:Orientando puerto de Http 80 sobre mquina 192.168.0.1 puerto 8080
Router(config)#ip nat inside source list INTERNET interface Dialer0 overload
Router(config)#ip access-list standard INTERNET
Router(config)#permit 192.168.1.0 0.0.0.255
Router(config)#deny any

Asociacin de interfaces (puertos) al NAT

Router(config)#interface ethernet0
Router(config)#ip nat outside
Router(config)#interface ethernet1
Router(config)#ip nat inside

Implementacin del PAT

Router(config)#ip nat inside source static tcp 192.168.0.1 8080 interface ethernet0
80

Pasos de inicio rpido para configurar y desplegar NAT

Cuando se configura NAT, en ocasiones es difcil saber por dnde empezar, en
especial si se est iniciando en el uso de NAT. Los pasos que indicamos a
continuacin le servirn de gua para definir qu desea que NAT realice y cmo
configurarlo:
1. Defina las interfaces NAT interior y exterior.
Existen usuarios fuera de las interfaces mltiples?
Hay varias interfaces que van a Internet?
2. Defina qu est tratando de lograr con NAT.

Est intentando permitir que los usuarios internos accedan a Internet?

Est intentando permitir que Internet acceda a los dispositivos internos
(como el servidor de correo o el servidor Web)?
Est intentando redireccionar el trfico TCP a otro puerto o a otra direccin
TCP?
Est utilizando NAT durante una transicin de red? Por ejemplo, ha
cambiado la direccin IP de un servidor y hasta que todos los clientes estn
actualizados, desea que aquellos que todava no lo estn puedan tener
acceso al servidor a travs de la direccin IP original, al mismo tiempo que
los clientes que s lo estn puedan acceder al servidor utilizando la
direccin nueva.
Est utilizando NAT para permitir que las redes superpuestas se
comuniquen?

3. Configure NAT para poder lograr lo que defini arriba. Basndose en lo que
defini en el paso 2, deber determinar qu funcin, de las que indicamos a
continuacin, utilizar:

NAT esttico
NAT dinmico
Sobrecarga
Cualquier combinacin de las anteriores

4. Verifique el funcionamiento de NAT.

Todos los ejemplos de NAT que se exponen a continuacin le servirn de gua
para los pasos 1 a 3 de Inicio rpido mencionados anteriormente. Estos ejemplos
describen algunas situaciones habituales en las que Cisco recomienda
implementar NAT.

Definicin de interfaces interior y exterior de NAT

El primer paso al implementar NAT es definir las interfaces internas y externas
de NAT. Puede ser que le resulte ms fcil definir su red interna como interior y la
red externa como exterior. Sin embargo, los trminos interno y externo tambin
estn sujetos a decisin. La siguiente figura muestra un ejemplo de esto.

Ejemplo: Permiso para que lo usuarios internos accedan a Internet

Es posible que desee permitir que los usuarios internos tengan acceso a
Internet, aunque puede que no disponga de suficientes direcciones vlidas para
acomodar a todos. Si todas las comunicaciones con dispositivos de Internet van a
originarse en los dispositivos internos, necesitar una nica direccin vlida o un
agrupamiento de direcciones vlidas.
La figura siguiente muestra un diagrama de red simple con las interfaces del
router definidas como interiores y exteriores:

En este ejemplo, queremos que NAT permita a ciertos dispositivos (los

primeros 31 de cada subred) en el interior originar la comunicacin con
dispositivos en el exterior al traducir sus direcciones no vlidas a una direccin o
un conjunto de direcciones vlidos. La agrupacin se ha definido como el rango de
las direcciones 172.16.10.1 a 172.16.10.63.

Ahora ya est listo para configurar NAT. Para poder cumplir lo que ha definido
anteriormente, utilice NAT dinmico. Con este NAT dinmico, la tabla de
traducciones del router estar vaca al principio y se ir llenando cuando el trfico
que debe traducirse pase a travs del router. (En oposicin a NAT esttico, donde
una traduccin se configura estticamente y se pone en la tabla de traducciones
sin necesidad de que haya trfico).
En este ejemplo, podemos configurar NAT para traducir todos los dispositivos
internos a una nica direccin vlida o todos los dispositivos internos a la misma
direccin vlida. Este segundo mtodo se denomina sobrecarga. A continuacin se
proporciona un ejemplo de cmo configurar cada mtodo.
Configuracin de NAT para permitir que los usuarios internos accedan a
Internet
Router NAT

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!--- Define Ethernet 0 con una direccin IP y como interfaz NAT

interior.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz NAT
interior.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT

exterior.
ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!
!--- Define una agrupacin de NAT llamada no-overload con un
rango de direcciones
!--- 172.16.10.1 - 172.16.10.63.
ip nat inside source list 7 pool no-overload
!
!
!--- Indica que a todos los paquetes recibidos en la interfaz
interna que
!--- tienen permiso de la lista de acceso 7
!--- se les traducir la direccin de origen a una direccin
que est fuera de la
!--- agrupacin NAT "no-overload".
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!--- La lista de acceso 7 permite paquetes con direcciones de
origen comprendidas entre
!--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.
Nota: Cisco recomienda encarecidamente que no configure con permit any las listas de
acceso a las que hacen referencia comandos de NAT. Si utiliza permit any, NAT puede llegar a
consumir demasiados recursos de router, lo que a su vez puede producir problemas en la red.

Observe que en la configuracin anterior, access-list 7 slo permite las

primeras 32 direcciones de la subred 10.10.10.0 y las primeras 32 direcciones de
la subred 10.10.20.0. Por lo tanto, slo se traducen estas direcciones de origen.
Pueden existir otros dispositivos con otras direcciones en la red interna pero no se
traducirn.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Configuracin de NAT para permitir el acceso a Internet a los usuarios
internos usando sobrecarga
Router NAT

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!--- Define Ethernet 0 con una direccin IP y como interfaz NAT

interior.
interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz NAT
interior.
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT
exterior.
ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!
!--- Define una agrupacin de NAT llamada ovrld con un rango de
una nica
!--- direccin IP, 172.16.10.1.
ip nat inside source list 7 pool ovrld overload
!
!
!
!
!--- Indica que a todos los paquetes recibidos en la interfaz
interna que
!--- tienen permiso de la lista de acceso 7 se les traducir la
direccin de origen
!--- a una direccin que est fuera de la agrupacin de NAT
denominada ovrld.
!--- Las traducciones se sobrecargarn, lo que permitir
traducir varios
!--- dispositivos internos a la misma direccin IP vlida.
access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31
!--- La lista de acceso 7 permite los paquetes que tienen
direcciones de origen comprendidas entre
!--- 10.10.10.0 y 10.10.10.31 y entre 10.10.20.0 y 10.10.20.31.

En la segunda configuracin anterior, observe que el agrupamiento NAT "ovrld"

slo posee un rango de una direccin. La palabra clave overload utilizada en el
comando ip nat inside source list 7 pool ovrld overload permite que NAT traduzca
varios dispositivos internos a una nica direccin del agrupamiento.

Otra variacin de este comando es ip nat inside source list 7 interface serial 0
overload, que configura NAT a sobrecarga en la direccin que est asignada a la
interfaz serial 0.
Cuando se configura una sobrecarga, el router mantiene suficiente informacin
de los protocolos de nivel superior (por ejemplo, nmeros de puerto TCP o UDP)
para traducir la direccin global a la direccin local correcta. Para obtener
informacin sobre las definiciones de direcciones globales y locales, consulte NAT:
Local and Global Definitions (NAT: definiciones locales y globales)
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Ejemplo: Habilitacin de Internet para acceder a dispositivos internos
Puede necesitar que dispositivos internos intercambien informacin con
dispositivos en Internet, donde se inicia la comunicacin desde los dispositivos de
Internet, por ejemplo, el correo electrnico. Por lo general, los dispositivos de
Internet envan correo electrnico a un servidor de correo que reside en la red
interna.

Configuracin de NAT para permitir el acceso a dispositivos internos

desde Internet
En este ejemplo, primero definiremos las interfaces interiores y exteriores de
NAT, tal como se muestra en el diagrama de red anterior.

En segundo lugar, definiremos que queremos que los usuarios del interior
puedan originar comunicaciones con el exterior. Los dispositivos del exterior deben
poder originar comunicaciones slo con el servidor de correo electrnico del
interior.
El tercer paso consistir en configurar NAT. Para realizar las operaciones que
acabamos de indicar, podemos configurar juntos NAT dinmico y esttico. Para
obtener ms informacin sobre cmo configurar este ejemplo, consulte
Configuring Static and Dynamic NAT Simultaneously (Configuracin simultnea de
NAT esttica y dinmica).
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Ejemplo: Redirigir el trfico de TCP a otro puerto o direccin TCP
Tener un servidor Web en una red interna es otro ejemplo de cundo podra ser
necesario que los dispositivos en Internet inicien comunicacin con los dispositivos
internos. En algunos casos, el servidor Web interno puede configurarse para
escuchar el trfico Web en un puerto TCP que no sea el puerto 80. Por ejemplo, el
servidor Web interno puede estar configurado para escuchar el puerto TCP 8080.
En dicho caso, puede utilizar NAT para redireccionar al puerto TCP 8080 el trfico
que estaba destinado al puerto TCP 80.

Despus de definir las interfaces tal como se indica en el diagrama de red

anterior, es posible que decida que NAT redireccione a 172.16.10.8:8080 los
paquetes del exterior destinados 172.16.10.8:80. Para ello, puede utilizar un
comando nat esttico para traducir el nmero de puerto TCP. A continuacin
mostramos una configuracin de ejemplo.
Configuracin de NAT para redireccionar el trfico TCP a otro puerto o
direccin TCP

Router NAT

interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside
!--- Define Ethernet 0 con una direccin IP y como interfaz
NAT interior.
interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside
!--- Define serial 0 con una direccin IP y como interfaz NAT
exterior.
ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8
80
!--- Comando de NAT esttico que indica que cualquier paquete
recibido dentro de la
!--- interfaz con una direccin IP de origen de
172.16.10.8:8080 se
!--- traducir a 172.16.10.8:80.

Observe que la descripcin de la configuracin del comando de NAT esttico

indica que todos los paquetes recibidos en la interfaz interna con una direccin IP
de 172.16.10.8:8080 se traducirn a 172.16.10.8:80. Lo mismo ocurre con todos
los paquetes recibidos en la interfaz externa con una direccin de destino de
172.16.10.8:80, cuyo destino se traducir a 172.16.10.8:8080.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Ejemplo: Uso de NAT durante una transicin de red
La implementacin de NAT es til para redireccionar dispositivos en la red o
para reemplazar un dispositivo por otro. Por ejemplo, si todos los dispositivos de la
red usan un determinado servidor y debe reemplazarse este servidor por uno
nuevo que tenga una nueva direccin IP, la reconfiguracin de todos los
dispositivos de red para que usen la direccin del nuevo servidor tomar algo de
tiempo. Mientras tanto, puede utilizar NAT para configurar los dispositivos
mediante la direccin anterior para traducir sus paquetes a fin de comunicarse con
el servidor nuevo.

Despus de definir las interfaces tal como se indica ms arriba, es posible que
decida que NAT permita que los paquetes del exterior destinados a la antigua
direccin del servidor (172.16.10.8) se traduzcan y se enven a la nueva direccin
del servidor. Observe que el nuevo servidor est en una LAN diferente y que los
dispositivos de esta LAN o de cualquier otra LAN a la que se pueda llegar a travs
de esta LAN (dispositivos en la parte interna de la red) deberan ser configurados,
si es posible, para utilizar la direccin IP del nuevo servidor.
Se puede utilizar NAT esttico si es necesario. A continuacin mostramos una
configuracin de ejemplo.
Configuracin del uso de NAT durante una transicin de la red
Router NAT

interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat outside
!--- Define Ethernet 0 con una direccin IP y como interfaz
NAT exterior.
interface ethernet 1
ip address 172.16.50.1 255.255.255.0
ip nat inside
!--- Define Ethernet 1 con una direccin IP y como interfaz
NAT interior.
interface serial 0
ip address 200.200.200.5 255.255.255.252

!--- Define serial 0 con una direccin IP. Esta interfaz no

!--- participa en NAT.
ip nat inside source static 172.16.50.8 172.16.10.8
!--- Indica que todos los paquetes recibidos en la interfaz
interna con
!--- una direccin IP de 172.16.50.8 se traducirn a
172.16.10.8.

Observe que el comando de NAT de origen interno de este ejemplo tambin

implica que a los paquetes recibidos en la interfaz exterior con una direccin de
destino de 172.16.10.8 se les traducir la direccin de destino a 172.16.50.8.
El ltimo paso consiste en verificar que NAT est funcionando correctamente.
Ejemplo: Utilizacin de NAT en redes superpuestas
Cuando se asignan direcciones IP a los dispositivos internos que ya estn
siendo utilizados por otros dispositivos en Internet, se produce una superposicin
de redes. La superposicin de redes tambin se produce cuando dos empresas
que utilizan ambas direcciones IP RFC 1918leavingcisco.com en sus redes, se
fusionan. Estas dos redes necesitan comunicarse, preferentemente sin tener que
reasignar direcciones a todos los dispositivos. Consulte Utilizacin de NAT en
redes superpuestas para obtener ms informacin acerca de cmo configurar NAT
para este objetivo.
Verificacin de funcionamiento de NAT
Una vez que haya configurado NAT, compruebe que est funcionando como
esperaba. Puede hacer esto de diversas maneras: utilizando un analizador de
redes, comandos show o comandos debug.

CONCLUSION
La mejor manera de asegurar el anonimato mientras se navega por Internet es
utilizando un proxy. Este es simplemente un "tercer" servidor para la conexin de
red. El servidor proxy se conecta a la web y acta como una especie de depsito
de garanta entre ambos, ya que te proporciona anonimato y seguridad. Se Debe
utilizar la configuracin de proxy correcta antes de usarlo.
Los ejemplos de este documento muestran que los pasos de inicio rpido
pueden ayudarle a configurar y desplegar NAT. Dichos pasos de inicio rpido
incluyen:
Definicin de NAT dentro y fuera de las interfaces.
Definicin de lo que est tratando de lograr con NAT.
Configuracin de NAT para poder lograr lo que defini en el paso 2.
Verificacin del funcionamiento de NAT.

En todos los ejemplos anteriores, se han utilizado diversos tipos del comando
ip nat inside. Tambin puede utilizar el comando ip nat outside para conseguir los
mismos objetivos, siempre teniendo en cuenta el orden de operaciones de NAT.
Los ejemplos anteriores de la configuracin NAT tambin han demostrado lo
siguiente:
Los Comandos ip nat inside source: traduce el origen de los paquetes IP que
viajan del interior al exterior y el destino de los paquetes IP que viajan del exterior
al interior. Y el comando ip nat outside source: Traduce el origen de los paquetes
IP que viajan del exterior al interior y destino de los paquetes IP que viajan del
interior al exterior.