Servidor proxy

Servidor informático que realiza y recibe solicitudes en nombre de un usuario

Dos ordenadores conectados a través de un servidor proxy. El primer ordenador le dice al servidor proxy: "pregúntale al segundo ordenador qué hora es".
Comunicación entre dos computadoras conectadas a través de una tercera computadora que actúa como servidor proxy. Esto puede proteger la privacidad de Alice, ya que Bob solo conoce el proxy y no puede identificar a Alice ni comunicarse con ella directamente.

En redes de computadoras , un servidor proxy es una aplicación de servidor que actúa como intermediario entre un cliente que solicita un recurso y el servidor que proporciona ese recurso. [1] Mejora la privacidad, la seguridad y posiblemente el rendimiento en el proceso.

En lugar de conectarse directamente a un servidor que puede cumplir con una solicitud de un recurso, como un archivo o una página web , el cliente dirige la solicitud al servidor proxy, que evalúa la solicitud y realiza las transacciones de red requeridas. Esto sirve como un método para simplificar o controlar la complejidad de la solicitud, o proporcionar beneficios adicionales como equilibrio de carga , privacidad o seguridad. Los proxies se idearon para agregar estructura y encapsulación a los sistemas distribuidos . [2] Un servidor proxy funciona así en nombre del cliente cuando solicita un servicio, enmascarando potencialmente el verdadero origen de la solicitud al servidor de recursos.

Tipos

Un servidor proxy puede residir en la computadora local del usuario o en cualquier punto entre la computadora del usuario y los servidores de destino en Internet . Un servidor proxy que pasa solicitudes y respuestas sin modificar se suele denominar puerta de enlace o, a veces, proxy de tunelización . Un proxy de reenvío es un proxy orientado a Internet que se utiliza para recuperar datos de una amplia gama de fuentes (en la mayoría de los casos, en cualquier lugar de Internet). Un proxy inverso suele ser un proxy orientado al interior que se utiliza como interfaz para controlar y proteger el acceso a un servidor en una red privada. Un proxy inverso también suele realizar tareas como equilibrio de carga , autenticación , descifrado y almacenamiento en caché . [3]

Proxies abiertos

Diagrama de servidor proxy conectado a Internet.
Un proxy abierto que reenvía solicitudes desde y hacia cualquier lugar de Internet

Un proxy abierto es un servidor proxy de reenvío al que puede acceder cualquier usuario de Internet. En 2008, el experto en seguridad de redes Gordon Lyon estimó que en Internet funcionan "cientos de miles" de proxies abiertos. [4]

  • Proxy anónimo : este servidor revela su identidad como servidor proxy pero no revela la dirección IP de origen del cliente. Aunque este tipo de servidor se puede descubrir fácilmente, puede resultar beneficioso para algunos usuarios, ya que oculta la dirección IP de origen.
  • Proxy transparente: este servidor no solo se identifica como un servidor proxy, sino que, con el apoyo de campos de encabezado HTTP como X-Forwarded-For, también se puede recuperar la dirección IP de origen. El principal beneficio de usar este tipo de servidor es su capacidad de almacenar en caché un sitio web para una recuperación más rápida.

Proxies inversos

Un servidor proxy que conecta Internet a una red interna.
Un proxy inverso que recibe solicitudes de Internet y las reenvía a servidores en una red interna. Quienes realizan solicitudes se conectan al proxy y pueden no estar al tanto de la red interna.

Un proxy inverso (o sustituto) es un servidor proxy que aparece ante los clientes como un servidor normal. Los proxy inversos reenvían las solicitudes a uno o más servidores normales que gestionan la solicitud. La respuesta del servidor original se devuelve como si viniera directamente del servidor proxy, sin que el cliente tenga conocimiento del servidor original. [5] Los proxy inversos se instalan en las proximidades de uno o más servidores web. Todo el tráfico procedente de Internet y con destino a uno de los servidores web del vecindario pasa por el servidor proxy. El uso de "inverso" se origina en su homólogo "proxy de avance", ya que el proxy inverso se encuentra más cerca del servidor web y solo sirve a un conjunto restringido de sitios web. Hay varias razones para instalar servidores proxy inversos:

  • Cifrado/aceleración SSL: cuando se crean sitios web seguros, el cifrado de Secure Sockets Layer (SSL) no suele ser realizado por el propio servidor web, sino por un proxy inverso equipado con hardware de aceleración SSL. Además, un host puede proporcionar un único "proxy SSL" para proporcionar cifrado SSL para una cantidad arbitraria de hosts, eliminando la necesidad de un certificado de servidor SSL independiente para cada host, con la desventaja de que todos los hosts detrás del proxy SSL tienen que compartir un nombre DNS o una dirección IP común para las conexiones SSL. Este problema se puede superar en parte utilizando la función SubjectAltName de los certificados X.509 o la extensión SNI de TLS .
  • Balance de carga : el proxy inverso puede distribuir la carga entre varios servidores web, cada uno de los cuales atiende su propia área de aplicación. En tal caso, el proxy inverso puede necesitar reescribir las URL en cada página web (traducción de las URL conocidas externamente a las ubicaciones internas).
  • Servir/almacenar en caché contenido estático: un proxy inverso puede aliviar la carga de los servidores web almacenando en caché contenido estático, como imágenes y otro contenido gráfico estático.
  • Compresión : el servidor proxy puede optimizar y comprimir el contenido para acelerar el tiempo de carga.
  • Alimentación con cuchara: reduce el uso de recursos causado por clientes lentos en los servidores web al almacenar en caché el contenido que el servidor web envió y "alimentarlo con cuchara" lentamente al cliente. Esto beneficia especialmente a las páginas generadas dinámicamente.
  • Seguridad: el servidor proxy es una capa adicional de defensa y puede proteger contra algunos ataques específicos al sistema operativo y al servidor web. Sin embargo, no ofrece protección contra ataques contra la aplicación o el servicio web en sí, que generalmente se considera la amenaza más importante.
  • Publicación en extranet: un servidor proxy inverso que da a Internet se puede utilizar para comunicarse con un servidor de firewall interno de una organización, lo que proporciona acceso a la extranet a algunas funciones y, al mismo tiempo, mantiene los servidores detrás de los firewalls. Si se utiliza de esta manera, se deben considerar medidas de seguridad para proteger el resto de su infraestructura en caso de que este servidor se vea comprometido, ya que su aplicación web está expuesta a ataques desde Internet.

Proxy directo vs. proxy inverso

Un proxy inverso protege principalmente al servidor, mientras que un proxy directo protege al cliente. [ cita requerida ]

Usos

Monitoreo y filtrado

Software de control de contenido

Un servidor proxy web con filtrado de contenido proporciona control administrativo sobre el contenido que puede transmitirse en una o ambas direcciones a través del proxy. Se utiliza comúnmente en organizaciones comerciales y no comerciales (especialmente escuelas) para garantizar que el uso de Internet se ajuste a la política de uso aceptable .

Los servidores proxy de filtrado de contenido suelen admitir la autenticación de usuarios para controlar el acceso a la web. También suelen generar registros , ya sea para brindar información detallada sobre las URL a las que accedieron usuarios específicos o para monitorear las estadísticas de uso del ancho de banda . También pueden comunicarse con software antivirus basado en daemon o ICAP para brindar seguridad contra virus y otro malware al escanear el contenido entrante en tiempo real antes de que ingrese a la red.

Muchos lugares de trabajo, escuelas y universidades restringen los sitios web y los servicios en línea a los que se puede acceder y que están disponibles en sus edificios. Los gobiernos también censuran el contenido no deseado. Esto se hace con un proxy especializado, llamado filtro de contenido (hay productos comerciales y gratuitos disponibles), o mediante un protocolo de extensión de caché como ICAP, que permite extensiones de complemento a una arquitectura de almacenamiento en caché abierta.

Los sitios web que suelen utilizar los estudiantes para eludir los filtros y acceder a contenido bloqueado suelen incluir un proxy, desde el cual el usuario puede acceder a los sitios web que el filtro intenta bloquear.

Las solicitudes se pueden filtrar mediante varios métodos, como listas negras de URL o DNS , filtrado de expresiones regulares de URL, filtrado MIME o filtrado de palabras clave de contenido. Las listas negras suelen ser proporcionadas y mantenidas por empresas de filtrado web, que suelen agruparse en categorías (pornografía, juegos de azar, compras, redes sociales, etc.).

A continuación, el proxy recupera el contenido, suponiendo que la URL solicitada es aceptable. En este punto, se puede aplicar un filtro dinámico en la ruta de retorno. Por ejemplo, se pueden bloquear archivos JPEG en función de las coincidencias de tonos de piel, o los filtros de idioma pueden detectar dinámicamente un idioma no deseado. Si se rechaza el contenido, se puede devolver un error de recuperación HTTP al solicitante.

La mayoría de las empresas de filtrado web utilizan un robot que rastrea todo el sitio web y evalúa la probabilidad de que un contenido sea de un tipo determinado. Para corregir la base de datos resultante, se utiliza trabajo manual en función de las quejas o de los fallos conocidos en los algoritmos de comparación de contenido. [6]

Algunos servidores proxy escanean el contenido saliente, por ejemplo, para prevenir la pérdida de datos, o escanean el contenido en busca de software malicioso.

Filtrado de datos cifrados

Los servidores proxy de filtrado web no pueden acceder a transacciones HTTP de sockets seguros, siempre que no se haya alterado la cadena de confianza de SSL/TLS ( Transport Layer Security ). La cadena de confianza de SSL/TLS depende de autoridades de certificación raíz de confianza .

En un entorno de trabajo donde el cliente es administrado por la organización, los dispositivos pueden configurarse para confiar en un certificado raíz cuya clave privada es conocida por el proxy. En tales situaciones, el análisis del proxy del contenido de una transacción SSL/TLS se vuelve posible. El proxy está ejecutando efectivamente un ataque de intermediario , permitido por la confianza del cliente en un certificado raíz que posee el proxy.

Evitando filtros y censura

Si el servidor de destino filtra el contenido en función del origen de la solicitud, el uso de un proxy puede eludir este filtro. Por ejemplo, un servidor que utiliza geolocalización basada en IP para restringir su servicio a un determinado país puede acceder al servicio mediante un proxy ubicado en ese país. [7] : 3 

Los servidores proxy web son el medio más común para eludir la censura gubernamental, aunque no más del 3% de los usuarios de Internet utilizan alguna herramienta de elusión. [7] : 7 

Algunos proveedores de servicios proxy permiten a las empresas acceder a su red proxy para redirigir el tráfico con fines de inteligencia empresarial. [8]

En algunos casos, los usuarios pueden eludir los servidores proxy que filtran mediante listas negras utilizando servicios diseñados para enviar información desde una ubicación que no está en la lista negra. [9]

Muchas organizaciones bloquean el acceso a sitios web populares como Facebook. Los usuarios pueden usar servidores proxy para burlar esta medida de seguridad. Sin embargo, al conectarse a servidores proxy, pueden exponerse a peligros al pasar información confidencial, como fotos personales y contraseñas, a través del servidor proxy. Esta imagen ilustra un ejemplo común: escuelas que bloquean sitios web a los estudiantes.

Registro y escuchas clandestinas

Se pueden instalar servidores proxy para espiar el flujo de datos entre las máquinas cliente y la web. Todo el contenido enviado o al que se accede, incluidas las contraseñas enviadas y las cookies utilizadas, puede ser capturado y analizado por el operador del servidor proxy. Por este motivo, las contraseñas de los servicios en línea (como el correo web y la banca) siempre deben intercambiarse a través de una conexión protegida criptográficamente, como SSL.

Al encadenar los servidores proxy que no revelan datos sobre el solicitante original, es posible ocultar las actividades a los ojos del destino del usuario. Sin embargo, se dejarán más rastros en los saltos intermedios, que podrían usarse u ofrecerse para rastrear las actividades del usuario. Si se desconocen las políticas y los administradores de estos otros servidores proxy, el usuario puede caer víctima de una falsa sensación de seguridad simplemente porque esos detalles están fuera de la vista y la mente. En lo que es más un inconveniente que un riesgo, los usuarios de servidores proxy pueden encontrarse bloqueados en ciertos sitios web, ya que numerosos foros y sitios web bloquean las direcciones IP de los servidores proxy que se sabe que han enviado spam o troleado el sitio. El rebote de servidores proxy se puede utilizar para mantener la privacidad.

Mejorar el rendimiento

Un servidor proxy de almacenamiento en caché acelera las solicitudes de servicio al recuperar el contenido guardado de una solicitud anterior realizada por el mismo cliente o incluso por otros clientes. [10] Los servidores proxy de almacenamiento en caché mantienen copias locales de los recursos solicitados con frecuencia, lo que permite a las grandes organizaciones reducir significativamente el uso y los costos de ancho de banda ascendente, al tiempo que aumentan significativamente el rendimiento. La mayoría de los ISP y las grandes empresas tienen un servidor proxy de almacenamiento en caché. Los servidores proxy de almacenamiento en caché fueron el primer tipo de servidor proxy. Los servidores proxy web se utilizan comúnmente para almacenar en caché páginas web desde un servidor web. [11] Los servidores proxy de almacenamiento en caché mal implementados pueden causar problemas, como la incapacidad de utilizar la autenticación de usuario. [12]

Un proxy diseñado para mitigar problemas o degradaciones relacionados con enlaces específicos es un proxy de mejora del rendimiento (PEP). Estos se utilizan normalmente para mejorar el rendimiento de TCP en presencia de tiempos de ida y vuelta elevados o alta pérdida de paquetes (como redes inalámbricas o de telefonía móvil); o enlaces altamente asimétricos que presentan velocidades de carga y descarga muy diferentes. Los PEP pueden hacer un uso más eficiente de la red, por ejemplo, fusionando los ACK (reconocimientos) de TCP o comprimiendo los datos enviados en la capa de aplicación . [13]

Traducción

Un proxy de traducción es un servidor proxy que se utiliza para localizar la experiencia de un sitio web para diferentes mercados. El tráfico de la audiencia global se enruta a través del proxy de traducción al sitio web de origen. A medida que los visitantes navegan por el sitio proxy, las solicitudes regresan al sitio de origen donde se muestran las páginas. El contenido del idioma original en la respuesta se reemplaza por el contenido traducido a medida que pasa de nuevo a través del proxy. Las traducciones utilizadas en un proxy de traducción pueden ser traducción automática, traducción humana o una combinación de traducción automática y humana. Las diferentes implementaciones de proxy de traducción tienen diferentes capacidades. Algunas permiten una mayor personalización del sitio de origen para las audiencias locales, como excluir el contenido de origen o sustituir el contenido de origen por el contenido local original.

Acceder a servicios de forma anónima

Un servidor proxy anónimo (a veces llamado proxy web) generalmente intenta anonimizar la navegación web. Los anonimizadores pueden diferenciarse en varias variedades. El servidor de destino (el servidor que finalmente satisface la solicitud web) recibe solicitudes del servidor proxy anonimizador y, por lo tanto, no recibe información sobre la dirección del usuario final. Sin embargo, las solicitudes no son anónimas para el servidor proxy anonimizador, por lo que existe un cierto grado de confianza entre el servidor proxy y el usuario. Muchos servidores proxy se financian a través de un enlace de publicidad continua para el usuario.

Control de acceso : algunos servidores proxy implementan un requisito de inicio de sesión. En organizaciones grandes, los usuarios autorizados deben iniciar sesión para obtener acceso a la web . De este modo, la organización puede rastrear el uso de los usuarios. Algunos servidores proxy anónimos pueden reenviar paquetes de datos con líneas de encabezado como HTTP_VIA, HTTP_X_FORWARDED_FOR o HTTP_FORWARDED, que pueden revelar la dirección IP del cliente. Otros servidores proxy anónimos, conocidos como proxies de élite o de alto anonimato, hacen que parezca que el servidor proxy es el cliente. Un sitio web aún podría sospechar que se está utilizando un proxy si el cliente envía paquetes que incluyen una cookie de una visita anterior que no utilizó el servidor proxy de alto anonimato. Borrar las cookies y, posiblemente, la memoria caché resolvería este problema.

Publicidad geosegmentada de QA

Los anunciantes utilizan servidores proxy para validar, verificar y garantizar la calidad de los anuncios geosegmentados . Un servidor de anuncios geosegmentados verifica la dirección IP de origen de la solicitud y utiliza una base de datos de geo-IP para determinar la fuente geográfica de las solicitudes. [14] El uso de un servidor proxy que se encuentra físicamente dentro de un país o una ciudad específicos brinda a los anunciantes la posibilidad de probar los anuncios geosegmentados.

Seguridad

Un proxy puede mantener en secreto la estructura de red interna de una empresa mediante el uso de la traducción de direcciones de red , lo que puede ayudar a la seguridad de la red interna. [15] Esto hace que las solicitudes de las máquinas y los usuarios de la red local sean anónimas. Los proxies también se pueden combinar con firewalls .

Un proxy configurado incorrectamente puede proporcionar acceso a una red que de otro modo estaría aislada de Internet. [4]

Recursos entre dominios

Los servidores proxy permiten a los sitios web realizar solicitudes web a recursos alojados externamente (por ejemplo, imágenes, archivos de música, etc.) cuando las restricciones entre dominios prohíben que el sitio web se vincule directamente con los dominios externos. Los servidores proxy también permiten que el navegador realice solicitudes web a contenido alojado externamente en nombre de un sitio web cuando las restricciones entre dominios (vigentes para proteger a los sitios web de robos de datos) prohíben que el navegador acceda directamente a los dominios externos.

Usos maliciosos

Corredores del mercado secundario

Los corredores del mercado secundario utilizan servidores proxy web para eludir las restricciones a las compras en línea de productos limitados, como zapatillas deportivas [16] o entradas de edición limitada.

Implementaciones de proxies

Servidores proxy web

Los servidores proxy web reenvían solicitudes HTTP . La solicitud del cliente es la misma que una solicitud HTTP normal, excepto que se pasa la URL completa, en lugar de solo la ruta. [17]

GET  https://en.wikipedia.org/wiki/Proxy_server  HTTP / 1.1 Autorización de proxy :  credenciales codificadas básicas Aceptar :  texto/html

Esta solicitud se envía al servidor proxy, el proxy realiza la solicitud especificada y devuelve la respuesta.

HTTP / 1.1  200  OK Tipo de contenido :  texto/html; conjunto de caracteres UTF-8

Algunos servidores proxy web permiten que el método HTTP CONNECT configure el reenvío de datos arbitrarios a través de la conexión; una política común es reenviar únicamente el puerto 443 para permitir el tráfico HTTPS .

Algunos ejemplos de servidores proxy web incluyen Apache (con mod_proxy o Traffic Server ), HAProxy , IIS configurado como proxy (por ejemplo, con enrutamiento de solicitud de aplicación), Nginx , Privoxy , Squid , Varnish (solo proxy inverso), WinGate , Ziproxy , Tinyproxy, RabbIT y Polipo .

Para los clientes, el problema de servidores proxy complejos o múltiples se resuelve mediante un protocolo de configuración automática de proxy cliente-servidor ( archivo PAC ).

Proxy SOCKS

SOCKS también reenvía datos arbitrarios después de una fase de conexión y es similar a HTTP CONNECT en los proxies web.

Proxy transparente

También conocido como proxy interceptor , proxy en línea o proxy forzado , un proxy transparente intercepta la comunicación normal de la capa de aplicación sin requerir ninguna configuración especial del cliente. Los clientes no necesitan saber de la existencia del proxy. Un proxy transparente normalmente se ubica entre el cliente e Internet, y realiza algunas de las funciones de una puerta de enlace o un enrutador . [18]

RFC  2616 (Protocolo de transferencia de hipertexto — HTTP/1.1) ofrece definiciones estándar:

"Un 'proxy transparente' es un proxy que no modifica la solicitud o la respuesta más allá de lo que se requiere para la autenticación e identificación del proxy". "Un 'proxy no transparente' es un proxy que modifica la solicitud o la respuesta para proporcionar algún servicio adicional al agente de usuario, como servicios de anotación de grupos, transformación de tipos de medios, reducción de protocolo o filtrado de anonimato".

TCP Intercept es una función de seguridad de filtrado de tráfico que protege a los servidores TCP de ataques de inundación TCP SYN , que son un tipo de ataque de denegación de servicio. TCP Intercept está disponible solo para tráfico IP.

En 2009, Robert Auger publicó una falla de seguridad en el modo en que operan los servidores proxy transparentes [19] y el Equipo de Respuesta a Emergencias Informáticas emitió un aviso que enumeraba docenas de servidores proxy transparentes e interceptores afectados. [20]

Objetivo

Los servidores proxy interceptores se utilizan habitualmente en las empresas para aplicar políticas de uso aceptable y aliviar los gastos administrativos, ya que no se requiere ninguna configuración del navegador del cliente. Sin embargo, esta segunda razón se ve mitigada por funciones como la política de grupo de Active Directory o DHCP y la detección automática de servidores proxy.

Los ISP también suelen utilizar servidores proxy de interceptación en algunos países para ahorrar ancho de banda de subida y mejorar los tiempos de respuesta de los clientes mediante el almacenamiento en caché. Esto es más habitual en países donde el ancho de banda es más limitado (por ejemplo, en países insulares) o debe pagarse.

Asuntos

La desviación o interceptación de una conexión TCP genera varios problemas. En primer lugar, la dirección IP y el puerto de destino originales deben comunicarse de alguna manera al proxy. Esto no siempre es posible (por ejemplo, cuando la puerta de enlace y el proxy residen en hosts diferentes). Existe una clase de ataques entre sitios que dependen de ciertos comportamientos de los servidores proxy interceptores que no verifican ni tienen acceso a información sobre el destino original (interceptado). Este problema se puede resolver utilizando un dispositivo o software integrado a nivel de paquete y de aplicación que luego pueda comunicar esta información entre el controlador de paquetes y el proxy.

La interceptación también genera problemas para la autenticación HTTP , especialmente la autenticación orientada a la conexión como NTLM , ya que el navegador del cliente cree que está hablando con un servidor en lugar de un proxy. Esto puede causar problemas cuando un proxy que intercepta requiere autenticación y luego el usuario se conecta a un sitio que también requiere autenticación.

Por último, interceptar conexiones puede causar problemas en los cachés HTTP, ya que algunas solicitudes y respuestas no se pueden almacenar en caché en un caché compartido.

Métodos de implementación

En servidores proxy/firewall integrados donde el enrutador/firewall está en el mismo host que el proxy, la comunicación de la información de destino original se puede realizar mediante cualquier método, por ejemplo, Microsoft TMG o WinGate .

La interceptación también se puede realizar mediante el protocolo WCCP (Web Cache Control Protocol) de Cisco. Este protocolo propietario reside en el enrutador y se configura desde la memoria caché, lo que permite que la memoria caché determine qué puertos y tráfico se le envían mediante una redirección transparente desde el enrutador. Esta redirección puede ocurrir de dos maneras: túnel GRE (capa 3 de OSI) o reescritura de MAC (capa 2 de OSI).

Una vez que el tráfico llega a la máquina proxy, la interceptación se realiza habitualmente con NAT (Network Address Translation). Estas configuraciones son invisibles para el navegador del cliente, pero dejan al proxy visible para el servidor web y otros dispositivos en el lado de Internet del proxy. Las versiones recientes de Linux y algunas de BSD ofrecen TPROXY (proxy transparente) que realiza una interceptación transparente a nivel de IP (OSI Layer 3) y falsificación del tráfico saliente, ocultando la dirección IP del proxy a otros dispositivos de red.

Detección

Se pueden utilizar varios métodos para detectar la presencia de un servidor proxy interceptor:

  • Comparando la dirección IP externa del cliente con la dirección que ve un servidor web externo o, en ocasiones, examinando los encabezados HTTP que recibe un servidor. Se han creado varios sitios para solucionar este problema, informando al usuario en una página web la dirección IP del usuario tal como la ve el sitio. Google también devuelve la dirección IP tal como la ve la página si el usuario busca "IP".
  • Al comparar los resultados de los comprobadores de IP en línea cuando se accede mediante HTTPS y HTTP, la mayoría de los servidores proxy interceptores no interceptan SSL. Si existe la sospecha de que se está interceptando SSL, se puede examinar el certificado asociado con cualquier sitio web seguro; el certificado raíz debería indicar si se emitió con el propósito de interceptar.
  • Comparando la secuencia de saltos de red informada por una herramienta como traceroute para un protocolo proxy como HTTP (puerto 80) con la de un protocolo no proxy como SMTP (puerto 25). [21]
  • Al intentar establecer una conexión a una dirección IP en la que se sabe que no hay ningún servidor, el proxy aceptará la conexión y luego intentará establecerla. Cuando el proxy no encuentra ningún servidor que acepte la conexión, puede devolver un mensaje de error o simplemente cerrar la conexión con el cliente. Esta diferencia de comportamiento es fácil de detectar. Por ejemplo, la mayoría de los navegadores web generarán una página de error creada por el navegador en el caso de que no puedan conectarse a un servidor HTTP, pero devolverán un error diferente en el caso de que se acepte la conexión y luego se cierre. [22]
  • Al ofrecer al usuario final aplicaciones Adobe Flash SWF especialmente programadas o subprogramas Sun Java que envían llamadas HTTP a su servidor.

Proxy CGI

Un proxy web CGI acepta URLs de destino mediante un formulario web en la ventana del navegador del usuario, procesa la solicitud y devuelve los resultados al navegador del usuario. En consecuencia, se puede utilizar en un dispositivo o red que no permita cambiar la configuración "real" del proxy. El primer proxy CGI registrado, llamado "rover" en ese momento, pero renombrado en 1998 como "CGIProxy", [23] fue desarrollado por el científico informático estadounidense James Marshall a principios de 1996 para un artículo en "Unix Review" de Rich Morin. [24]

La mayoría de los proxies CGI funcionan con CGIProxy (escrito en lenguaje Perl ), Glype (escrito en lenguaje PHP ) o PHProxy (escrito en lenguaje PHP). En abril de 2016, CGIProxy había recibido alrededor de dos millones de descargas, Glype había recibido casi un millón de descargas [25] , mientras que PHProxy todavía recibía cientos de descargas por semana [26] . A pesar de su disminución de popularidad [27] debido a las VPN y otros métodos de privacidad, en septiembre de 2021 [actualizar]todavía había unos cientos de proxies CGI en línea [28] .

Algunos servidores proxy CGI se instalaron con el objetivo de hacer que los sitios web fueran más accesibles para personas discapacitadas, pero desde entonces se han cerrado debido al tráfico excesivo , generalmente causado por un tercero que anuncia el servicio como un medio para evitar el filtrado local. Como a muchos de estos usuarios no les importa el daño colateral que están causando, se hizo necesario que las organizaciones ocultaran sus servidores proxy, revelando las URL solo a aquellos que se toman la molestia de comunicarse con la organización y demuestran una necesidad genuina. [29]

Proxy de sufijo

Un proxy de sufijo permite a un usuario acceder a contenido web añadiendo el nombre del servidor proxy a la URL del contenido solicitado (por ejemplo, "en.wikipedia.org. SuffixProxy.com "). Los servidores proxy de sufijo son más fáciles de usar que los servidores proxy normales, pero no ofrecen altos niveles de anonimato y su uso principal es el de eludir los filtros web. Sin embargo, esto rara vez se utiliza debido a que existen filtros web más avanzados.

Software de proxy de cebolla Tor

Captura de pantalla de un programa de computadora que muestra las ubicaciones de las computadoras en un mapa mundial.
El mapa de la red Tor de Vidalia

Tor es un sistema diseñado para proporcionar anonimato en línea . [30] El software cliente de Tor dirige el tráfico de Internet a través de una red mundial de servidores voluntarios para ocultar la ubicación o el uso de la computadora de un usuario a alguien que realice una vigilancia de la red o un análisis de tráfico . El uso de Tor dificulta el rastreo de la actividad en Internet, [30] y tiene como objetivo proteger la libertad personal de los usuarios y su privacidad en línea.

El " enrutamiento cebolla " se refiere a la naturaleza estratificada del servicio de cifrado: los datos originales se cifran y vuelven a cifrar varias veces, y luego se envían a través de sucesivos relés Tor, cada uno de los cuales descifra una "capa" de cifrado antes de pasar los datos al siguiente relé y, en última instancia, al destino. Esto reduce la posibilidad de que los datos originales se descifren o se entiendan en tránsito. [31]

Proxy anónimo I2P

La red anónima I2P ('I2P') es una red proxy que tiene como objetivo el anonimato en línea . Implementa el enrutamiento garlic , que es una mejora del enrutamiento cebolla de Tor. I2P está completamente distribuida y funciona cifrando todas las comunicaciones en varias capas y retransmitiéndolas a través de una red de enrutadores administrados por voluntarios en varias ubicaciones. Al mantener oculta la fuente de la información, I2P ofrece resistencia a la censura. Los objetivos de I2P son proteger la libertad personal, la privacidad y la capacidad de los usuarios para realizar negocios confidenciales.

Cada usuario de I2P ejecuta un enrutador I2P en su computadora (nodo). El enrutador I2P se encarga de encontrar otros pares y construir túneles anónimos a través de ellos. I2P proporciona servidores proxy para todos los protocolos (HTTP, IRC , SOCKS, ...).

Comparación con los traductores de direcciones de red

El concepto de proxy se refiere a una aplicación de capa 7 en el modelo de referencia OSI . La traducción de direcciones de red (NAT) es similar a un proxy pero opera en la capa 3.

En la configuración de cliente de NAT de capa 3, es suficiente con configurar el gateway, sin embargo, para la configuración de cliente de un proxy de capa 7, el destino de los paquetes que genera el cliente debe ser siempre el servidor proxy (capa 7), luego el servidor proxy lee cada paquete y averigua el verdadero destino.

Debido a que NAT opera en la capa 3, consume menos recursos que el proxy de la capa 7, pero también es menos flexible. Al comparar estas dos tecnologías, podemos encontrarnos con un término conocido como "cortafuegos transparente". Cortafuegos transparente significa que el proxy utiliza las ventajas del proxy de la capa 7 sin el conocimiento del cliente. El cliente supone que la puerta de enlace es un NAT en la capa 3 y no tiene idea del interior del paquete, pero a través de este método, los paquetes de la capa 3 se envían al proxy de la capa 7 para su investigación. [ cita requerida ]

Proxy DNS

Un servidor proxy DNS recibe consultas DNS de una red (normalmente local) y las reenvía a un servidor de nombres de dominio de Internet. También puede almacenar en caché registros DNS.

Proxificadores

Algunos programas cliente "SOCKS-ifican" las solicitudes, [32] lo que permite la adaptación de cualquier software en red para conectarse a redes externas a través de ciertos tipos de servidores proxy (principalmente SOCKS).

Proxy residencial (RESIP)

Un proxy residencial es un intermediario que utiliza una dirección IP real proporcionada por un proveedor de servicios de Internet (ISP) con dispositivos físicos como teléfonos móviles y computadoras de los usuarios finales . En lugar de conectarse directamente a un servidor , los usuarios del proxy residencial se conectan al objetivo a través de direcciones IP residenciales. El objetivo luego los identifica como usuarios orgánicos de Internet. No permite que ninguna herramienta de seguimiento identifique la reasignación del usuario. [33] Cualquier proxy residencial puede enviar cualquier número de solicitudes simultáneas, y las direcciones IP están directamente relacionadas con una región específica. [34] A diferencia de los proxies residenciales regulares, que ocultan la dirección IP real del usuario detrás de otra dirección IP, los proxies residenciales rotativos, también conocidos como proxies de retroconexión , ocultan la dirección IP real del usuario detrás de un grupo de proxies. Estos proxies cambian entre sí en cada sesión o en intervalos regulares. [35]

A pesar de la afirmación de los proveedores de que los servidores proxy participan voluntariamente, numerosos servidores proxy funcionan en servidores potencialmente comprometidos, incluidos dispositivos de Internet de las cosas . A través del proceso de referencia cruzada de los servidores, los investigadores han identificado y analizado registros que han sido clasificados como programas potencialmente no deseados y han expuesto una variedad de actividades no autorizadas realizadas por los servidores RESIP. Estas actividades abarcan la promoción ilegal, el fast fluxing, el phishing, el alojamiento de malware y más. [36]

Véase también

Referencias

  1. ^ Luotonen, Ari ; Altis, Kevin (abril de 1994). "World-Wide Web Proxies" (PDF) . Archivado (PDF) del original el 9 de octubre de 2016.
  2. ^ Shapiro, Marc (mayo de 1986). Estructura y encapsulación en sistemas distribuidos: el principio proxy. 6.ª Conferencia internacional sobre sistemas informáticos distribuidos. Cambridge, MA, EE. UU., págs. 198–204. inria-00444651. Archivado desde el original el 26 de diciembre de 2018. Consultado el 26 de diciembre de 2018 .
  3. ^ "Servidores proxy y tunelización". MDN Web Docs . Archivado desde el original el 26 de noviembre de 2020 . Consultado el 6 de diciembre de 2020 .
  4. ^ ab Lyon, Gordon (2008). Escaneo de redes Nmap . EE. UU.: Insecure. pág. 270. ISBN 978-0-9799587-1-7.
  5. ^ "Proxies directos e inversos". httpd mod_proxy . Apache. Archivado desde el original el 10 de febrero de 2011 . Consultado el 20 de diciembre de 2010 .
  6. ^ Suchacka, Grażyna; Iwański, Jacek (7 de junio de 2020). "Identificación de usuarios web legítimos y bots con diferentes perfiles de tráfico: un enfoque de cuello de botella de información". Knowledge-Based Systems . 197 : 105875. doi : 10.1016/j.knosys.2020.105875 . ISSN  0950-7051. S2CID  216514793.
  7. ^ ab "Informe sobre el uso de herramientas de elusión en 2010" (PDF) . The Berkman Center for Internet & Society de la Universidad de Harvard. Octubre de 2010. Archivado (PDF) desde el original el 18 de enero de 2012. Consultado el 15 de septiembre de 2011 .
  8. ^ "Cómo comprobar si un sitio web está inactivo o funcionando en todo el mundo". Hostinger . 19 de noviembre de 2019. Archivado desde el original el 14 de diciembre de 2019 . Consultado el 14 de diciembre de 2019 .
  9. ^ "Uso de un Ninjaproxy para atravesar un proxy filtrado". Mecánica avanzada de filtrado . TSNP. Archivado desde el original el 9 de marzo de 2016. Consultado el 17 de septiembre de 2011 .
  10. ^ "Caching Proxy" (Proxy de almacenamiento en caché). www.ibm.com . Consultado el 2 de julio de 2023 .
  11. ^ Thomas, Keir (2006). Introducción a Ubuntu Linux: de principiante a profesional . Apress. ISBN 978-1-59059-627-2Un servidor proxy ayuda a acelerar el acceso a Internet almacenando páginas a las que se accede con frecuencia .
  12. ^ I. Cooper; J. Dilley (junio de 2001). Problemas conocidos de almacenamiento en caché y proxy HTTP. IETF . doi : 10.17487/RFC3143 . RFC 3143 . Consultado el 17 de mayo de 2019 .
  13. ^ "Capas". Proxies que mejoran el rendimiento y están pensados ​​para mitigar degradaciones relacionadas con los enlaces. IETF . Junio ​​de 2001. pág. 4. sec. 2.1. doi : 10.17487/RFC3135 . RFC 3135 . Consultado el 21 de febrero de 2014 .
  14. ^ "Tácticas de última generación para anuncios con segmentación geográfica en Google y Bing". Octubre de 2013. Archivado desde el original el 14 de febrero de 2014. Consultado el 7 de febrero de 2014 .
  15. ^ "Firewall y servidor proxy HOWTO". tldp.org. Archivado desde el original el 23 de agosto de 2011. Consultado el 4 de septiembre de 2011. El servidor proxy es, ante todo, un dispositivo de seguridad .
  16. ^ "Sneaker Bot Supreme Proxy". GeoSurf. Archivado desde el original el 24 de septiembre de 2017. Consultado el 24 de septiembre de 2017 .
  17. ^ "forma absoluta". Sintaxis y enrutamiento de mensajes HTTP/1.1. IETF . Junio ​​de 2014. pág. 41. sec. 5.3.2. doi : 10.17487/RFC7230 . RFC 7230. Consultado el 4 de noviembre de 2017. Un cliente DEBE enviar la URI de destino en forma absoluta como destino de la solicitud .
  18. ^ "Definición de proxy transparente". ukproxyserver.org. 1 de febrero de 2011. Archivado desde el original el 1 de marzo de 2013. Consultado el 14 de febrero de 2013 .
  19. ^ "Los complementos de navegador compatibles con sockets dan lugar a un abuso de proxy transparente". The Security Practice. 9 de marzo de 2009. Archivado desde el original el 2 de febrero de 2010. Consultado el 14 de agosto de 2010 .
  20. ^ "Nota de vulnerabilidad VU#435052". US CERT . 23 de febrero de 2009. Archivado desde el original el 10 de julio de 2010 . Consultado el 14 de agosto de 2010 .
  21. ^ "Subversion Dev: Transparent Proxy detection (was Re: Introduction_". Tracetop.sourceforge.net. Archivado desde el original el 16 de octubre de 2015 . Consultado el 16 de noviembre de 2014 .
  22. ^ Wessels, Duane (2004). Squid: la guía definitiva . O'Reilly. pp. 130. ISBN. 978-0-596-00162-9.
  23. ^ Marshall, James. «CGIProxy». Archivado desde el original el 16 de noviembre de 2018. Consultado el 12 de noviembre de 2018 .
  24. ^ "Los límites del control". Junio ​​de 1996. Archivado desde el original el 6 de agosto de 2020. Consultado el 12 de noviembre de 2018 .
  25. ^ "Script proxy de Glype®". glype.com . Archivado desde el original el 3 de enero de 2013. Consultado el 17 de mayo de 2019 .
  26. ^ "PHProxy". SourceForge . Archivado desde el original el 14 de marzo de 2016 . Consultado el 7 de abril de 2016 .
  27. ^ "Tendencias de Google". Tendencias de Google .
  28. ^ "Proxy Stats :: Get Proxi.es". getproxi.es . Archivado desde el original el 1 de septiembre de 2021 . Consultado el 5 de septiembre de 2021 .
  29. ^ Estrada-Jiménez, José (marzo de 2017). "Publicidad online: análisis de amenazas a la privacidad y enfoques de protección". Computer Communications . 100 : 32–51. doi :10.1016/j.comcom.2016.12.016. hdl : 2117/99742 . ISSN  0140-3664. S2CID  34656772.
  30. ^ ab Glater, Jonathan (25 de enero de 2006). «Privacidad para las personas que no muestran el ombligo». The New York Times . Archivado desde el original el 29 de abril de 2011. Consultado el 4 de agosto de 2011 .
  31. ^ El Proyecto Tor. «Tor: anonimato en la red». Archivado desde el original el 9 de abril de 2010. Consultado el 9 de enero de 2011 .
  32. ^ Zwicky, Elizabeth D.; Cooper, Simon; Chapman, D. Brent (2000). Construcción de cortafuegos para Internet (2.ª ed.). O'Reilly. pág. 235. ISBN 978-1-56592-871-8.
  33. ^ "¿Qué es un servidor proxy y cómo funciona?". IPRoyal.com . 17 de abril de 2023 . Consultado el 2 de julio de 2023 .
  34. ^ Smith, Vincent (2019). Guía de inicio rápido de Go Web Scraping: implemente el poder de Go para extraer y rastrear datos de la web. Packt Publishing Ltd. ISBN 978-1-78961-294-3Archivado desde el original el 17 de enero de 2023 . Consultado el 19 de noviembre de 2020 .
  35. ^ Keenan, James. "¿Qué son los proxies residenciales?". Smartproxy.com . Archivado desde el original el 26 de diciembre de 2021. Consultado el 26 de diciembre de 2021 .
  36. ^ Mi, Xianghang; Feng, Xuan; Liao, Xiaojing; Liu, Baojun; Wang, XiaoFeng; Qian, Feng; Li, Zhou; Alrwais, Sumayah; Sun, Limin; Liu, Ying (mayo de 2019). Resident Evil: Entender el proxy de IP residencial como un servicio oscuro. Simposio IEEE sobre seguridad y privacidad de 2019 (SP). págs. 1185–1201. doi : 10.1109/SP.2019.00011 . ISBN 978-1-5386-6660-9. Número de identificación del sujeto  132479013.
Obtenido de "https://es.wikipedia.org/w/index.php?title=Servidor_proxy&oldid=1252525938"