Servidores proxy Gabriel Montañés León. Proxies transparentes  Un proxy...

Click here to load reader

  • date post

    02-Feb-2016
  • Category

    Documents

  • view

    219
  • download

    0

Embed Size (px)

Transcript of Servidores proxy Gabriel Montañés León. Proxies transparentes  Un proxy...

Fiabilidad, confidencialidad, integridad y disponibilidad.

Servidores proxy

Gabriel Montas Len1Proxies transparentesUn proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).

Revela todos tus datos, solamente se utiliza para mejorar la velocidad de descarga. Tipos de proxyReverse-Proxy/ Proxy inverso

Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms servidores web. Todo el trfico entrante de Internet y con el destino de uno de esos servidores web pasa a travs del servidor proxy. Hay varias razones para instalar un "reverse proxy":

Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege los servidores web. Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el "reverse proxy", el cual est equipado con un hardware de aceleracin SSL (Security Sockets Layer). Distribucin de Carga: el "reverse proxy" puede distribuir la carga entre varios servidores web. En ese caso, el "reverse proxy" puede necesitar reescribir las URL de cada pgina web (traduccin de la URL externa a la URL interna correspondiente, segn en qu servidor se encuentre la informacin solicitada). Cach de contenido esttico: Un "reverse proxy" puede descargar los servidores web almacenando contenido esttico como imgenes u otro contenido grfico. Proxy NAT/ Enmascaramiento.

Otro mecanismo para hacer de intermediario en una red es el NAT.

La traduccin de direcciones de red (NAT, Network Address Translation) tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ah el "enmascaramiento").

Esto es lo que ocurre cuando varios usuarios comparten una nica conexin a Internet. Se dispone de una nica direccin IP pblica, que tiene que ser compartida. Dentro de la red de rea local (LAN) los equipos emplean direcciones IP reservadas para uso privado y ser el proxy el encargado de traducir las direcciones privadas a esa nica direccin pblica para realizar las peticiones, as como de distribuir las pginas recibidas a aquel usuario interno que la solicit. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x

Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una mquina concreta que haya sido determinada para tal fin en el propio proxy. Proxy Abierto.

Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red.

En esta configuracin el proxy ejecutar cualquier peticin de cualquier ordenador que pueda conectarse a l, realizndola como si fuera una peticin del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envo masivo de correos de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegacin Web, mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuracin "abierta" a todo internet, se convierte en una herramienta para su uso indebido.

Debido a lo anterior, muchos servidores, como los de IRC, o correo electrnicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras ("BlackList"). Cross-domain Proxy.

Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc) que tienen restricciones para establecer una comunicacin entre elementos localizados en distintos dominios.

En el caso de Ajax, por seguridad slo se permite acceder al mismo dominio origen de la pgina web que realiza la peticin. Si se necesita acceder a otros servicios localizados en otros dominios, se instala un Cross-Domain proxy en el dominio origen que recibe las peticiones ajax y las reenva a los dominios externos.

En el caso de flash, tambin han solucionado creando la revisin de archivos xml de Cross-Domain, que permiten o no el acceso a ese dominio o subdominio. Proxies annimos

Estos proxies ocultan la direccin ip del cliente proporcionando una forma de navegar annima, (No enva ninguna variable mostrando tu IP, pero si avisa que estas utilizando un proxy). La forma en que ocultan la direccin ip del cliente hace que un proxy se clasifique en una de las siguientes categoras:

Simples: No se oculta el hecho de que se est utilizando un proxy, nicamente se guarda la direccin ip del proxy en ambos cabeceras, sin que aparezca por ningn sitio la del cliente. Proxys ruidosos: Son similares al anterior caso con la salvedad de que en vez de guardar su direccin ip, guardan una generada aleatoriamente. Proxys de alta anonimicidad: Este tipo de proxys oculta el hecho de que se est utilizando un proxy para realizar la peticin. Para ello sustituyen la direccin IP existente y no lo indican mediante ninguna otra cabecera, por lo que no es posible saber que se est utilizando un proxy (No envan ninguna variable de ningn tipo a nadie). Las caractersticas ms importantes son:

Permite definir los permisos que tienen los usuarios de la red interna sobre los servicios, dominios, IP externas. Todos los usuarios de la red interna comparten una nica direccin IP de forma que desde el exterior no se puede diferenciar a unos de otros. Puesto que todo el trfico que circula de la red interna hacia internet y viceversa pasa por el proxy, se puede auditar el uso que se hace de internet. Permite almacenar las pginas recientemente consultadas en una cache para aumentar el rendimiento de la red. Por ejemplo, la pgina que se almacena en la cach de un proxy para que al recibir la peticin cargue ms rpido. CaractersticasVentajas

Control: slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy. Ahorro. Por tanto, slo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer cach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido.Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas. Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla siguiendo un algoritmo. Anonimato. Si todos los usuarios se identifican como uno slo, es difcil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificacin. Desventajas

Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algn trabajo que no toque. Por tanto, ha de controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil. Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de cachy guarda copias de los datos. Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua cuando hay una ms reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versin que tiene en cache sigue siendo la misma que la existente en el servidor remoto. Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicacin directa entre 1 emisor y 1 receptor (como TCP/IP). Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs de l. Cuando un equipo de la red desea acceder a una informacin o recurso, es realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado al equipo inicial. En unos casos esto se hace as porque no es posible la comunicacin directa y en otros casos porque el proxy aade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una pgina web) en una cach que permita acelerar sucesivas consultas coincidentes. Con esta denominacin general de proxy se agrupan diversas tcnicas.

Est basado en el modelo Cliente-Servidor. A grandes rasgos, un usuario (cliente) hace una solicitud (peticin de un archivo) al Servidor, que devolver una respuesta (el archivo). Para ello, el servidor web requiere una informacin adicional. Esta informacin es transmitida al servidor por un navegador o un servidor proxy. FuncionamientoPara instalar Squid escribe en un terminal: #sudo aptitude install squid La configuracin de Squid se hace editando el archivo /etc/squid/squid.conf . Para editar este archivo, presiona Alt+F2 y: gksu gedit /etc/squid/squid.conf .

Squid necesita conocer el nombre de la mquina. Para ello, ubica la lnea visible_hostname. Por ejemplo, si la mquina se llama ubuntu, ponemos: visible_hostname ubuntu

Por defecto, el puerto de escucha del servidor proxy ser 3128. Para elegir otro puerto, ubica la lnea: http_port 3128 Y cambia el nmero de puerto, por ejemplo: http_port 3177. Instalacin de servidores proxyPor defecto el servidor proxy escucha por todas las interfaces. Por razones de seguridad, slo debes hacer que escuche en tu red local. Por ejemplo si la tarjeta de red ligada a tu LAN tiene el IP 10.0.0.1, modifica la lnea a: http_port 10.0.0.1:317