Articulo de referencia

Servidor proxy

Comunicación entre dos ordenadores conectados a través de un tercer ordenador que actúa como servidor proxy. Esto protege la privacidad de Alice , ya que Bob solo conoce la exis...

Dos ordenadores conectados a través de un servidor proxy. El primer ordenador le dice al servidor proxy: "Pregúntale al segundo ordenador qué hora es".
Comunicación entre dos ordenadores conectados a través de un tercer ordenador que actúa como servidor proxy. Esto protege la privacidad de Alice , ya que Bob solo conoce la existencia del proxy y no puede identificarla ni contactar con ella directamente.

En redes informáticas , un servidor proxy es una aplicación de servidor intermediaria entre un cliente que solicita un recurso y el servidor que luego proporciona ese recurso. [ 1 ]

En lugar de conectarse directamente a un servidor que pueda satisfacer una solicitud de un recurso, como un archivo o una página web , el cliente dirige la solicitud al servidor proxy, que la evalúa y realiza las transacciones de red necesarias. Esto sirve como método para controlar la complejidad de la solicitud o proporcionar beneficios adicionales como el equilibrio de carga , la privacidad o la seguridad. Los proxies se diseñaron para agregar estructura y encapsulación a los sistemas distribuidos . [ 2 ]

Tipos

Un servidor proxy puede residir en el ordenador local del usuario o en cualquier punto entre el ordenador del usuario y los servidores de destino. Un servidor proxy que transmite solicitudes y respuestas sin modificar se suele denominar puerta de enlace o, a veces, proxy de túnel . Un proxy directo es un proxy con acceso a Internet que se utiliza para recuperar datos de una amplia gama de fuentes (en la mayoría de los casos, de cualquier lugar de Internet). Un proxy inverso suele ser un proxy interno que se utiliza como interfaz para controlar y proteger el acceso a un servidor en una red privada. Un proxy inverso también suele realizar tareas como el equilibrio de carga , la autenticación , el descifrado y el almacenamiento en caché . [ 3 ]

Proxies abiertos

Diagrama de un servidor proxy conectado a Internet.
Un proxy abierto que reenvía solicitudes desde y hacia cualquier lugar de Internet.

Un proxy abierto es un servidor proxy de reenvío al que puede acceder cualquier usuario de Internet. En 2008, el experto en seguridad de redes Gordon Lyon estimó que existen "cientos de miles" de proxies abiertos en funcionamiento en Internet. [ 4 ]

  • Proxy anónimo : Este servidor revela su identidad como servidor proxy, pero no divulga la dirección IP de origen del cliente. Si bien se detecta fácilmente como servidor proxy, puede resultar beneficioso para algunos usuarios, ya que oculta la dirección IP de origen.
  • Encabezados de reenvío : Algunos proxies agregan encabezados HTTP para revelar información del cliente o del proxy que de otro modo se perdería al reenviar una solicitud. Históricamente, esto se ha hecho a menudo con campos no estándar como X-Forwarded-For, mientras que el campo estandarizado Forwardedproporciona una sintaxis definida para información similar. [ 5 ] Dichos encabezados dependen de la implementación y no deben tratarse como inherentemente confiables, ya que pueden estar ausentes, modificados o contener valores agregados por múltiples proxies. [ 6 ]

Proxies inversos

Un servidor proxy que conecta Internet con una red interna.
Un proxy inverso recibe solicitudes de Internet y las reenvía a servidores en una red interna. Quienes realizan las solicitudes se conectan al proxy y es posible que no sean conscientes de la existencia de dicha red interna.

Un proxy inverso (o sustituto) es un servidor proxy que se presenta a los clientes como un servidor ordinario. Los proxies inversos envían solicitudes a uno o más servidores ordinarios que las procesan. La respuesta del servidor original se devuelve como si proviniera directamente del servidor proxy, sin que el cliente tenga conocimiento del servidor original. [ 7 ] Los proxies inversos se instalan cerca de uno o más servidores web. Todo el tráfico proveniente de Internet con destino a uno de los servidores web cercanos pasa a través del servidor proxy. El uso del término "inverso" proviene de su contraparte, el proxy "directo". El proxy inverso se ubica más cerca del servidor web y solo sirve a un conjunto restringido de sitios web. Existen varias razones para instalar servidores proxy inversos:

  • Terminación TLS : Los proxies inversos suelen terminar las conexiones TLS de los clientes y reenviar las solicitudes a los servidores backend. Esto puede centralizar la gestión de certificados, el control de acceso, el registro y el enrutamiento de solicitudes, y puede reducir el trabajo relacionado con TLS que realizan los servidores backend. Las conexiones backend pueden usar HTTP o HTTPS según la implementación y los requisitos de seguridad. Las implementaciones modernas suelen realizar la terminación TLS por software, opcionalmente con asistencia de hardware, en lugar de requerir hardware de aceleración SSL dedicado. Los certificados para varios nombres se pueden gestionar mediante mecanismos como certificados de nombre alternativo del sujeto , certificados comodín e indicación de nombre de servidor (SNI). [ 8 ] [ 9 ] [ 10 ]
  • Balanceo de carga : el proxy inverso puede distribuir la carga entre varios servidores web, cada uno de los cuales atiende su propia área de aplicación. En tal caso, el proxy inverso podría necesitar reescribir las URL en cada página web (traducción de URL conocidas externamente a ubicaciones internas).
  • Servir/almacenar en caché contenido estático: Un proxy inverso puede aliviar la carga de los servidores web almacenando en caché contenido estático, como imágenes y otro contenido gráfico estático.
  • Compresión : El servidor proxy puede optimizar y comprimir el contenido para acelerar el tiempo de carga.
  • Alimentación gradual: reduce el consumo de recursos causado por clientes lentos en los servidores web al almacenar en caché el contenido enviado por el servidor y enviarlo gradualmente al cliente. Esto beneficia especialmente a las páginas generadas dinámicamente.
  • Seguridad: El servidor proxy constituye una capa adicional de defensa y puede proteger contra algunos ataques específicos del sistema operativo y del servidor web. Sin embargo, no ofrece protección contra ataques dirigidos a la propia aplicación o servicio web, que generalmente se consideran la mayor amenaza.
  • Publicación en extranet: un servidor proxy inverso con acceso a internet puede utilizarse para comunicarse con un servidor de firewall interno de la organización, proporcionando acceso a ciertas funciones a través de la extranet , manteniendo los servidores protegidos por el firewall. Si se utiliza de esta manera, se deben considerar medidas de seguridad para proteger el resto de la infraestructura en caso de que este servidor se vea comprometido, ya que su aplicación web queda expuesta a ataques desde internet.

Proxy directo frente a proxy inverso

Un proxy directo es un servidor que enruta el tráfico entre los clientes y otro sistema, generalmente externo a la red. Esto significa que puede regular el tráfico según políticas predefinidas, convertir y enmascarar las direcciones IP de los clientes, aplicar protocolos de seguridad y bloquear el tráfico desconocido. Un proxy directo mejora la seguridad y la aplicación de políticas dentro de una red interna. [ 11 ] Un proxy inverso, en lugar de proteger al cliente, se utiliza para proteger a los servidores.

Un proxy inverso acepta una solicitud de un cliente, la reenvía a otro de los muchos servidores disponibles y, a continuación, devuelve los resultados del servidor que procesó específicamente la solicitud al cliente. En efecto, un proxy inverso actúa como una puerta de enlace entre clientes, usuarios y servidores de aplicaciones, gestionando todo el enrutamiento del tráfico y protegiendo la identidad del servidor que procesa físicamente la solicitud. [ 12 ]

Usos

Monitoreo y filtrado

Software de control de contenido

Un servidor proxy web con filtrado de contenido proporciona control administrativo sobre el contenido que se transmite en una o ambas direcciones a través del proxy. Se utiliza habitualmente tanto en organizaciones comerciales como no comerciales (especialmente en centros educativos) para garantizar que el uso de Internet cumpla con las políticas de uso aceptable .

Los servidores proxy de filtrado de contenido suelen admitir la autenticación de usuarios para controlar el acceso web. También suelen generar registros , ya sea para proporcionar información detallada sobre las URL a las que acceden usuarios específicos o para monitorizar las estadísticas de uso del ancho de banda . Además, pueden comunicarse con software antivirus basado en demonio o ICAP para ofrecer seguridad contra virus y otro malware , analizando el contenido entrante en tiempo real antes de que acceda a la red.

Muchos centros de trabajo, escuelas y universidades restringen el acceso a sitios web y servicios en línea dentro de sus instalaciones. Los gobiernos también censuran contenido indeseable. Esto se realiza mediante un proxy especializado, denominado filtro de contenido (existen productos tanto comerciales como gratuitos), o mediante un protocolo de extensión de caché como ICAP, que permite integrar extensiones a una arquitectura de almacenamiento en caché abierta.

Los sitios web que suelen usar los estudiantes para eludir los filtros y acceder a contenido bloqueado a menudo incluyen un proxy, desde el cual el usuario puede acceder a los sitios web que el filtro intenta bloquear. Las solicitudes pueden filtrarse mediante varios métodos, como listas negras de URL o DNS , filtrado de expresiones regulares de URL, filtrado MIME o filtrado de palabras clave de contenido. Las empresas de filtrado web suelen proporcionar y mantener listas negras, a menudo agrupadas por categorías (pornografía, juegos de azar, compras, redes sociales, etc.). El proxy entonces obtiene el contenido, asumiendo que la URL solicitada es aceptable. En este punto, se puede aplicar un filtro dinámico en la ruta de retorno. Por ejemplo, los archivos JPEG podrían bloquearse según la coincidencia de tonos de piel, o los filtros de idioma podrían detectar dinámicamente el lenguaje no deseado. Si el contenido es rechazado, se puede devolver un error de obtención HTTP al solicitante. La mayoría de las empresas de filtrado web utilizan un robot de rastreo de internet que evalúa la probabilidad de que el contenido sea de un tipo determinado. Se utiliza trabajo manual para corregir la base de datos resultante en función de las quejas o los fallos conocidos en los algoritmos de coincidencia de contenido. [ 13 ] [ 14 ] Algunos proxies analizan el contenido saliente, por ejemplo, para prevenir la pérdida de datos, o analizan el contenido en busca de software malicioso.

Filtrado de datos cifrados

Los servidores proxy de filtrado web no pueden acceder a las transacciones HTTP dentro de sockets seguros, siempre que la cadena de confianza de SSL/TLS ( Transport Layer Security ) no haya sido manipulada. La cadena de confianza de SSL/TLS se basa en autoridades de certificación raíz de confianza .

En un entorno laboral donde el cliente es gestionado por la organización, los dispositivos pueden configurarse para confiar en un certificado raíz cuya clave privada es conocida por el proxy. En tales situaciones, el proxy puede analizar el contenido de una transacción SSL/TLS. El proxy, en la práctica, realiza un ataque de intermediario (man-in-the-middle) , permitido por la confianza del cliente en un certificado raíz propiedad del proxy.

Eludir filtros y censura

Si el servidor de destino filtra el contenido en función del origen de la solicitud, el uso de un proxy puede eludir este filtro. Por ejemplo, se puede acceder a un servidor que utiliza geolocalización basada en IP para restringir su servicio a un país determinado mediante un proxy ubicado en ese país. [ 15 ] : 3

Los proxies web son el medio más común para eludir la censura gubernamental, aunque no más del 3% de los usuarios de Internet utilizan alguna herramienta de elusión. [ 15 ] : 7 Algunos proveedores de servicios de proxy permiten a las empresas acceder a su red de proxies para redirigir el tráfico con fines de inteligencia empresarial. [ 16 ]

En algunos casos, los usuarios pueden eludir los proxies que filtran mediante listas negras utilizando servicios diseñados para reenviar información desde una ubicación que no esté en la lista negra. [ 17 ]

Muchas organizaciones bloquean el acceso a sitios web populares como Facebook. Los usuarios pueden usar servidores proxy para sortear esta seguridad. Sin embargo, al conectarse a servidores proxy, podrían exponerse a riesgos al transmitir información confidencial, como fotos personales y contraseñas. Esta imagen ilustra un ejemplo común: escuelas que bloquean el acceso a ciertos sitios web para los estudiantes.

Registro y escuchas telefónicas

Se pueden instalar servidores proxy para interceptar el flujo de datos entre los equipos cliente y la web. Todo el contenido enviado o al que se acceda, incluidas las contraseñas y las cookies utilizadas, puede ser capturado y analizado por el operador del proxy. Por este motivo, las contraseñas de los servicios en línea (como el correo web y la banca) siempre deben intercambiarse a través de una conexión criptográficamente segura, como SSL.

Al encadenar proxies que no revelan datos sobre el solicitante original, es posible ocultar las actividades al destino del usuario. Sin embargo, quedarán más rastros en los nodos intermedios, que podrían utilizarse para rastrear las actividades del usuario. Si se desconocen las políticas y los administradores de estos proxies, el usuario podría confiarse demasiado, ya que esos detalles permanecen ocultos.

Más que un riesgo, los usuarios de proxies pueden verse bloqueados en ciertos sitios web, ya que numerosos foros y páginas web bloquean las direcciones IP de proxies conocidos por enviar spam o realizar ataques de desinformación. El uso de proxies para evitar el bloqueo de direcciones IP puede ser útil para proteger la privacidad.

Mejorar el rendimiento

Un servidor proxy de caché acelera las solicitudes de servicio al recuperar el contenido guardado de una solicitud anterior realizada por el mismo cliente o incluso por otros clientes. [ 18 ] Los proxies de caché mantienen copias locales de los recursos solicitados con frecuencia, lo que permite a las grandes organizaciones reducir significativamente su uso de ancho de banda de subida y sus costos, al tiempo que aumentan significativamente el rendimiento. La mayoría de los ISP y las grandes empresas tienen un proxy de caché. Los proxies de caché fueron el primer tipo de servidor proxy. Los proxies web se utilizan comúnmente para almacenar en caché páginas web desde un servidor web. [ 19 ] Los proxies de caché mal implementados pueden causar problemas, como la imposibilidad de usar la autenticación de usuario. [ 20 ]

Un proxy diseñado para mitigar problemas o degradación específicos relacionados con el enlace es un Proxy de Mejora del Rendimiento (PEP). Estos se utilizan normalmente para mejorar el rendimiento de TCP en presencia de tiempos de ida y vuelta elevados o una alta pérdida de paquetes (como en redes inalámbricas o de telefonía móvil); o enlaces altamente asimétricos con velocidades de carga y descarga muy diferentes. Los PEP pueden hacer un uso más eficiente de la red, por ejemplo, fusionando los ACK (acuses de recibo) de TCP o comprimiendo los datos enviados en la capa de aplicación . [ 21 ]

Traducción

Un proxy de traducción es un servidor proxy que se utiliza para adaptar la experiencia de un sitio web a diferentes mercados. El tráfico de la audiencia global se enruta a través del proxy de traducción hacia el sitio web original. A medida que los visitantes navegan por el sitio proxy, las solicitudes regresan al sitio original, donde se renderizan las páginas. El contenido en el idioma original de la respuesta se reemplaza por el contenido traducido al pasar de nuevo por el proxy. Las traducciones utilizadas en un proxy de traducción pueden ser automáticas, humanas o una combinación de ambas. Las distintas implementaciones de proxy de traducción tienen diferentes capacidades. Algunas permiten una mayor personalización del sitio original para las audiencias locales, como excluir el contenido original o sustituirlo por el contenido local original.

Acceso anónimo a los servicios

Un servidor proxy anónimo (a veces llamado proxy web) generalmente intenta anonimizar la navegación web. Existen varios tipos de servidores proxy anónimos . El servidor de destino (el que finalmente atiende la solicitud web) recibe las solicitudes del servidor proxy anónimo y, por lo tanto, no recibe información sobre la dirección del usuario final. Sin embargo, las solicitudes no son anónimas para el servidor proxy anónimo, por lo que existe cierto grado de confianza entre el servidor proxy y el usuario. Muchos servidores proxy se financian mediante publicidad continua dirigida al usuario.

Control de acceso : Algunos servidores proxy requieren inicio de sesión. En grandes organizaciones, los usuarios autorizados deben iniciar sesión para acceder a la web . De esta forma, la organización puede rastrear el uso individual. Algunos servidores proxy anónimos pueden reenviar paquetes de datos con líneas de encabezado como HTTP_VIA, HTTP_X_FORWARDED_FOR o HTTP_FORWARDED, que pueden revelar la dirección IP del cliente. Otros servidores proxy anónimos, conocidos como proxies de élite o de alta anonimidad, hacen que parezca que el servidor proxy es el cliente. Un sitio web podría sospechar que se está utilizando un proxy si el cliente envía paquetes que incluyen una cookie de una visita anterior que no utilizó el servidor proxy de alta anonimidad. Borrar las cookies y posiblemente la caché solucionaría este problema.

Publicidad geolocalizada de control de calidad

Los anunciantes utilizan servidores proxy para validar, comprobar y garantizar la calidad de los anuncios geolocalizados . Un servidor de anuncios geolocalizados verifica la dirección IP de origen de la solicitud y utiliza una base de datos geo-IP para determinar la procedencia geográfica de las solicitudes. [ 22 ] El uso de un servidor proxy ubicado físicamente dentro de un país o ciudad específicos permite a los anunciantes probar los anuncios geolocalizados.

Seguridad

Un proxy puede mantener en secreto la estructura de la red interna de una empresa mediante la traducción de direcciones de red (NAT) , lo que contribuye a la seguridad de la red interna. [ 23 ] Esto hace que las solicitudes de máquinas y usuarios en la red local sean anónimas. Los proxies también se pueden combinar con cortafuegos . Un proxy mal configurado puede proporcionar acceso a una red que, de otro modo, estaría aislada de Internet. [ 4 ]

Recursos entre dominios

Los servidores proxy permiten que los sitios web realicen solicitudes a recursos alojados externamente (por ejemplo, imágenes, archivos de música, etc.) cuando las restricciones de dominio cruzado impiden que el sitio web enlace directamente a dominios externos. Los servidores proxy también permiten que el navegador realice solicitudes a contenido alojado externamente en nombre de un sitio web cuando las restricciones de dominio cruzado (establecidas para proteger a los sitios web contra el robo de datos, por ejemplo) impiden que el navegador acceda directamente a dominios externos.

Usos maliciosos

Agentes del mercado secundario

Los intermediarios del mercado secundario utilizan servidores proxy web para eludir las restricciones en las compras en línea de productos limitados, como zapatillas de edición limitada [ 24 ] o entradas.

Implementaciones de proxies

Servidores proxy web

Los proxies web reenvían las solicitudes HTTP . La solicitud del cliente es la misma que una solicitud HTTP normal , excepto que se pasa la URL completa, en lugar de solo la ruta. [ 25 ]

GET https://en.wikipedia.org/wiki/Proxy_server HTTP / 1.1 Proxy-Authorization : Basic encoded-credentials Accept : text/html

Esta solicitud se envía al servidor proxy, el proxy realiza la solicitud especificada y devuelve la respuesta.

HTTP / 1.1 200 OK Content-Type : text/html; charset UTF-8

Algunos proxies web permiten que el método HTTP CONNECT configure el reenvío de datos arbitrarios a través de la conexión; una política común es reenviar solo el puerto 443 para permitir el tráfico HTTPS . Ejemplos de servidores proxy web incluyen Apache (con mod_proxy o Traffic Server ), HAProxy , IIS configurado como proxy (por ejemplo, con Application Request Routing), Nginx , Privoxy , Squid , Varnish (solo proxy inverso), WinGate , Ziproxy , Tinyproxy, RabbIT y Polipo . Para los clientes, el problema de servidores proxy complejos o múltiples se resuelve mediante un protocolo de autoconfiguración de proxy cliente-servidor ( archivo PAC ).

Clientes proxy web

Varios sistemas operativos (como Windows , [ 26 ] Android , macOS , iOS , Xbox OS y PlayStation OS [ 27 ] ) y varios navegadores (como Edge , Chrome , [ 28 ] Safari y Firefox ) pueden admitir el proxy web.

proxy SOCKS

SOCKS también reenvía datos arbitrarios después de una fase de conexión, y es similar a HTTP CONNECT en los proxies web.

Proxy transparente

Un proxy de intercepción redirige o filtra el tráfico del cliente sin que este lo seleccione explícitamente. Por lo tanto, a menudo se implementa sin requerir configuraciones de proxy en el navegador o la aplicación, y los clientes pueden desconocer que su tráfico está pasando a través de un proxy. En la terminología HTTP, un proxy de intercepción se diferencia de un proxy HTTP convencional porque no es elegido por el agente de usuario; en cambio, se coloca en la ruta de red y filtra o redirige el tráfico saliente, comúnmente el tráfico del puerto TCP 80. [ 29 ] En contextos de implementación, los proxies de intercepción también se denominan comúnmente proxies transparentes , pero este uso debe distinguirse de la terminología HTTP anterior, donde un "proxy transparente" significaba un proxy que no modificaba las solicitudes o respuestas más allá de lo necesario para la autenticación e identificación del proxy. [ 30 ] [ 31 ]

TCP Intercept es una función de seguridad de filtrado de tráfico que protege a los servidores TCP de los ataques de inundación TCP SYN , un tipo de ataque de denegación de servicio. TCP Intercept solo está disponible para tráfico IP.

En 2009, Robert Auger publicó una vulnerabilidad de seguridad en el funcionamiento de los proxies transparentes, [ 32 ] y el Equipo de Respuesta a Emergencias Informáticas emitió un aviso que enumeraba docenas de servidores proxy transparentes e interceptores afectados. [ 33 ]

Objetivo

Los proxies de intercepción se utilizan habitualmente en empresas para hacer cumplir las políticas de uso aceptable y reducir la carga administrativa, ya que no requieren configuración del navegador del cliente. Sin embargo, esta segunda razón se ve mitigada por funciones como la directiva de grupo de Active Directory o DHCP y la detección automática de proxies. Los proveedores de servicios de Internet (ISP) también suelen utilizar proxies de intercepción en algunos países para ahorrar ancho de banda de subida y mejorar los tiempos de respuesta del cliente mediante el almacenamiento en caché. Esto es más común en países donde el ancho de banda es más limitado (por ejemplo, naciones insulares) o de pago.

Asuntos

La desviación o interceptación de una conexión TCP genera varios problemas. En primer lugar, la dirección IP y el puerto de destino originales deben comunicarse al proxy. Esto no siempre es posible (por ejemplo, cuando la puerta de enlace y el proxy se encuentran en hosts diferentes). Existe un tipo de ataques entre sitios que se basan en ciertos comportamientos de los proxies interceptores que no verifican ni tienen acceso a información sobre el destino original (interceptado). Este problema puede resolverse mediante el uso de un dispositivo o software integrado a nivel de paquete y de aplicación, capaz de comunicar esta información entre el gestor de paquetes y el proxy.

La interceptación también genera problemas para la autenticación HTTP , especialmente para la autenticación orientada a la conexión como NTLM , ya que el navegador del cliente cree que se comunica con un servidor en lugar de un proxy. Esto puede causar problemas cuando un proxy interceptor requiere autenticación y, posteriormente, el usuario se conecta a un sitio que también la requiere. Finalmente, la interceptación de conexiones puede causar problemas con las cachés HTTP, ya que algunas solicitudes y respuestas dejan de poder almacenarse en una caché compartida.

Métodos de implementación

En servidores firewall/proxy integrados donde el enrutador/firewall está en el mismo host que el proxy, la comunicación de la información de destino original se puede realizar mediante cualquier método, por ejemplo, Microsoft TMG o WinGate .

La interceptación también puede realizarse mediante el protocolo WCCP (Web Cache Control Protocol) de Cisco. Este protocolo propietario reside en el router y se configura desde la caché, lo que permite que esta determine qué puertos y tráfico se le envían mediante redirección transparente desde el router. Esta redirección puede producirse de dos maneras: mediante tunelización GRE (capa 3 del modelo OSI) o mediante reescritura de direcciones MAC (capa 2 del modelo OSI).

Una vez que el tráfico llega al servidor proxy, la interceptación se realiza habitualmente mediante NAT (Traducción de Direcciones de Red). Estas configuraciones son invisibles para el navegador del cliente, pero dejan el proxy visible para el servidor web y otros dispositivos conectados a Internet. Las versiones recientes de Linux y algunas de BSD ofrecen TPROXY (proxy transparente), que realiza la interceptación y suplantación transparente del tráfico saliente a nivel IP (capa 3 del modelo OSI), ocultando la dirección IP del proxy a otros dispositivos de la red.

Detección

Se pueden utilizar varios métodos para detectar la presencia de un servidor proxy interceptor:

  • Comparando la dirección IP externa del cliente con la dirección que ve un servidor web externo, o a veces examinando los encabezados HTTP recibidos por un servidor, se han creado varios sitios para solucionar este problema, mostrando la dirección IP del usuario tal como la ve el sitio en una página web. Google también devuelve la dirección IP que ve la página si el usuario busca "IP".
  • Al comparar los resultados de los verificadores de IP en línea al acceder mediante HTTPS frente a HTTP, ya que la mayoría de los proxies interceptores no interceptan SSL, si se sospecha que SSL está siendo interceptado, se puede examinar el certificado asociado a cualquier sitio web seguro; el certificado raíz debería indicar si fue emitido para interceptación.
  • Al comparar la secuencia de saltos de red reportada por una herramienta como traceroute para un protocolo proxy como HTTP (puerto 80) con la de un protocolo no proxy como SMTP (puerto 25). [ 34 ]
  • Al intentar establecer una conexión con una dirección IP donde se sabe que no existe ningún servidor, el proxy aceptará la conexión e intentará reenviarla. Si el proxy no encuentra ningún servidor que acepte la conexión, puede devolver un mensaje de error o simplemente cerrar la conexión con el cliente. Esta diferencia de comportamiento es fácil de detectar. Por ejemplo, la mayoría de los navegadores web generan una página de error propia si no pueden conectarse a un servidor HTTP, pero devuelven un error diferente si la conexión se acepta y luego se cierra. [ 35 ]
  • Mediante el suministro al usuario final de aplicaciones Adobe Flash SWF o applets de Sun Java especialmente programados que envían llamadas HTTP a su servidor.

proxy CGI

Un proxy web CGI acepta URL de destino mediante un formulario web en la ventana del navegador del usuario, procesa la solicitud y devuelve los resultados al navegador. Por consiguiente, puede utilizarse en un dispositivo o red que no permita modificar la configuración de un proxy "real". El primer proxy CGI registrado, llamado "rover" en su momento pero renombrado en 1998 como "CGIProxy" [ 36 ] , fue desarrollado por el informático estadounidense James Marshall a principios de 1996 para un artículo de Rich Morin en "Unix Review" [ 37 ] .

La mayoría de los proxies CGI funcionan con CGIProxy (escrito en lenguaje Perl ), Glype (escrito en lenguaje PHP ) o PHProxy (escrito en lenguaje PHP). A abril de 2016, CGIProxy había recibido alrededor de dos millones de descargas, Glype más de medio millón, mientras que PHProxy seguía recibiendo cientos de descargas por semana. [ 38 ] A pesar de la disminución de su popularidad [ 39 ] debido a las VPN y otros métodos de privacidad, a septiembre de 2021Todavía hay unos cientos de proxies CGI en línea. [ 40 ]

Algunos proxies CGI se configuraron con fines como hacer que los sitios web fueran más accesibles para personas con discapacidad, pero posteriormente se cerraron debido al tráfico excesivo , generalmente causado por un tercero que anunciaba el servicio como un medio para eludir el filtrado local. Dado que a muchos de estos usuarios no les importan los daños colaterales que causan, se hizo necesario que las organizaciones ocultaran sus proxies, revelando las URL solo a aquellos que se toman la molestia de contactar con la organización y demostrar una necesidad real. [ 41 ]

Sufijo proxy

Un proxy de sufijo permite al usuario acceder a contenido web añadiendo el nombre del servidor proxy a la URL del contenido solicitado (por ejemplo, "en.wikipedia.org.SuffixProxy.com " ). Los servidores proxy de sufijo son más fáciles de usar que los servidores proxy convencionales, pero no ofrecen un alto nivel de anonimato y su principal uso es eludir los filtros web. Sin embargo, esto se utiliza con poca frecuencia debido a la existencia de filtros web más avanzados.

Software proxy Tor Onion

Captura de pantalla de un programa informático que muestra la ubicación de los ordenadores en un mapa mundial.
Mapa de la red Tor de Vidalia

Tor es un sistema diseñado para proporcionar anonimato en línea . [ 42 ] El software cliente de Tor enruta el tráfico de Internet a través de una red mundial de servidores gestionados por voluntarios para ocultar la ubicación o el uso del ordenador del usuario a quienes realizan vigilancia de la red o análisis de tráfico . El uso de Tor dificulta el rastreo de la actividad en Internet, [ 42 ] y tiene como objetivo proteger la libertad personal y la privacidad en línea de los usuarios.

El enrutamiento " cebolla " se refiere a la estructura en capas del servicio de cifrado: los datos originales se cifran y se vuelven a cifrar varias veces, para luego enviarse a través de sucesivos repetidores Tor. Cada uno de estos descifra una capa de cifrado antes de pasar los datos al siguiente repetidor y, finalmente, al destino. Esto reduce la posibilidad de que los datos originales se descifren o se comprendan durante la transmisión.

proxy anónimo I2P

La red anónima I2P («I2P») es una red proxy que busca el anonimato en línea . Implementa el enrutamiento de ajo , una mejora del enrutamiento cebolla de Tor. I2P es totalmente distribuida y funciona cifrando todas las comunicaciones en varias capas y retransmitiéndolas a través de una red de enrutadores gestionados por voluntarios en diversas ubicaciones. Al mantener oculta la fuente de la información, I2P ofrece resistencia a la censura. Los objetivos de I2P son proteger la libertad personal, la privacidad y la capacidad de los usuarios para realizar negocios confidenciales.

Cada usuario de I2P ejecuta un enrutador I2P en su ordenador (nodo). El enrutador I2P se encarga de encontrar otros pares y de establecer túneles anónimos a través de ellos. I2P proporciona proxies para todos los protocolos (HTTP, IRC , SOCKS, etc.).

Comparación con traductores de direcciones de red

El concepto de proxy se refiere a una aplicación de capa 7 en el modelo de referencia OSI . La traducción de direcciones de red (NAT) es similar a un proxy, pero opera en la capa 3.

En la configuración del cliente de NAT de capa 3, basta con configurar la puerta de enlace. Sin embargo, para la configuración del cliente de un proxy de capa 7, el destino de los paquetes que genera el cliente siempre debe ser el servidor proxy (capa 7); entonces, el servidor proxy lee cada paquete y determina el destino real.

Dado que NAT opera en la capa 3, consume menos recursos que el proxy de capa 7, pero también es menos flexible. Al comparar estas dos tecnologías, es posible que encontremos el término "cortafuegos transparente". Un cortafuegos transparente implica que el proxy aprovecha las ventajas del proxy de capa 7 sin que el cliente lo sepa. El cliente asume que la puerta de enlace es un NAT en la capa 3 y desconoce el contenido del paquete; sin embargo, mediante este método, los paquetes de capa 3 se envían al proxy de capa 7 para su análisis.

proxy DNS

Un servidor proxy DNS recibe las consultas DNS de una red (normalmente local) y las reenvía a un servidor de nombres de dominio de Internet. También puede almacenar en caché los registros DNS.

Proxificadores

Algunos programas cliente "SOCKS-ify" solicitudes, [ 43 ] lo que permite adaptar cualquier software de red para conectarse a redes externas a través de ciertos tipos de servidores proxy (principalmente SOCKS).

Representante residencial

Un proxy residencial (RESIP) es un intermediario que utiliza una dirección IP real proporcionada por un proveedor de servicios de Internet con dispositivos físicos como teléfonos móviles y ordenadores de usuario final . En lugar de conectarse directamente a un servidor , los usuarios de un proxy residencial se conectan al destino a través de direcciones IP residenciales. El destino los identifica entonces como usuarios de Internet orgánicos. No permite que ninguna herramienta de seguimiento identifique la reasignación del usuario. [ 44 ] Cualquier proxy residencial puede enviar cualquier número de solicitudes concurrentes, y las direcciones IP están directamente relacionadas con una región específica. [ 45 ] A diferencia de los proxies residenciales regulares, que ocultan la dirección IP real del usuario detrás de otra dirección IP, los proxies residenciales rotativos, también conocidos como proxies de conexión inversa , ocultan la dirección IP real del usuario detrás de un grupo de proxies. Estos proxies cambian entre sí en cada sesión o a intervalos regulares.

A pesar de las afirmaciones de los proveedores de que los servidores proxy participan voluntariamente, numerosos proxies operan en servidores potencialmente comprometidos, incluidos dispositivos del Internet de las cosas . Mediante el proceso de cotejo de servidores, los investigadores han identificado y analizado registros clasificados como programas potencialmente no deseados y han revelado una serie de actividades no autorizadas llevadas a cabo por servidores RESIP. Estas actividades abarcan promoción ilegal, fluctuaciones rápidas, phishing, alojamiento de malware y más. [ 46 ]

Véase también

Referencias

  1. Luotonen, Ari ; Altis, Kevin (abril de 1994). "Proxies de la World Wide Web" (PDF) . Archivado (PDF) del original el 9 de octubre de 2016. Recuperado el 2 de junio de 2026 .
  2. Shapiro, Marc (mayo de 1986). Estructura y encapsulación en sistemas distribuidos: el principio del proxy . 6.ª Conferencia Internacional sobre Sistemas de Computación Distribuida. Cambridge, MA, EE. UU. pp. 198–204 . inria-00444651. Archivado del original el 26 de diciembre de 2018. Recuperado el 26 de diciembre de 2018 . 
  3. "Servidores proxy y tunelización" . MDN Web Docs . Archivado del original el 26 de noviembre de 2020. Consultado el 6 de diciembre de 2020 .
  4. 1 2 Lyon, Gordon (2008). Nmap network scanning . EE. UU.: Insecure. pág. 270. ISBN  978-0-9799587-1-7.
  5. Extensión HTTP reenviada . IETF . Junio ​​de 2014. doi : 10.17487/RFC7239 . RFC 7239 .
  6. "mod_proxy - Servidor HTTP Apache Versión 2.4" . Documentación del servidor HTTP Apache . Fundación de Software Apache . Consultado el 23 de junio de 2026 .
  7. "Proxies directos e inversos" . httpd mod_proxy . Apache. Archivado del original el 10 de febrero de 2011. Recuperado el 20 de diciembre de 2010 .
  8. "mod_proxy - Servidor HTTP Apache Versión 2.4" . Documentación del servidor HTTP Apache . Fundación de Software Apache . Consultado el 23 de junio de 2026 .
  9. "NGINX Reverse Proxy" . Documentación de NGINX . F5, Inc. Consultado el 23 de junio de 2026 .
  10. "Configuración de servidores HTTPS" . Documentación de nginx . Consultado el 23 de junio de 2026 .
  11. "Diferencia entre proxy directo y proxy inverso" . GeeksforGeeks . 19 de abril de 2023. Consultado el 24 de octubre de 2024 .
  12. Peers, Nick (enero de 2020). "Construye tu primer proxy inverso" . Maximum PC . Vol. 25, n.º 1, págs. 56-59 . Consultado el 2 de junio de 2026 .   
  13. Ovidiu, Hoban (12 de septiembre de 2019). "zing proxy" . zingproxy.com . Consultado el 2 de junio de 2026 .
  14. Suchacka, Grażyna; Iwański, Jacek (7 de junio de 2020). "Identificación de usuarios web legítimos y bots con diferentes perfiles de tráfico: un enfoque de cuello de botella de información" . Knowledge-Based Systems . 197 105875. doi : 10.1016/j.knosys.2020.105875 . ISSN 0950-7051 . S2CID 216514793 .  
  15. 1 2 "Informe de uso de herramientas de elusión de 2010" (PDF) . El Centro Berkman para Internet y la Sociedad de la Universidad de Harvard. Octubre de 2010. Archivado (PDF) del original el 18 de enero de 2012. Recuperado el 15 de septiembre de 2011 .
  16. "Cómo comprobar si un sitio web está caído o funcionando en todo el mundo" . Hostinger . 19 de noviembre de 2019. Archivado del original el 14 de diciembre de 2019. Consultado el 14 de diciembre de 2019 .
  17. "Uso de Ninjaproxy para sortear un proxy filtrado" . Mecanismos de filtrado avanzados . TSNP. Archivado del original el 9 de marzo de 2016. Consultado el 17 de septiembre de 2011 .
  18. "Proxy de caché" . www.ibm.com . Consultado el 2 de junio de 2026 .
  19. Thomas, Keir (2006). Introducción a Ubuntu Linux: De principiante a profesional . Apress. ISBN 978-1-59059-627-2Un servidor proxy ayuda a acelerar el acceso a Internet almacenando las páginas a las que se accede con frecuencia .
  20. I. Cooper; J. Dilley (junio de 2001). Problemas conocidos de proxy/caché HTTP . IETF . doi : 10.17487/RFC3143 . RFC 3143. Consultado el 17 de mayo de 2019 .
  21. "Capas" . Proxies de mejora del rendimiento destinados a mitigar las degradaciones relacionadas con los enlaces . IETF . Junio ​​de 2001. pág. 4. sec. 2.1. doi : 10.17487/RFC3135 . RFC 3135. Consultado el 21 de febrero de 2014 .   
  22. "Tácticas efectivas para anuncios geolocalizados en Google y Bing" . Octubre de 2013. Archivado del original el 14 de febrero de 2014. Consultado el 7 de febrero de 2014 .
  23. "Cómo configurar un firewall y un servidor proxy" . tldp.org. Archivado del original el 23 de agosto de 2011. Consultado el 4 de septiembre de 2011. El servidor proxy es, ante todo, un dispositivo de seguridad.
  24. "Sneaker Bot Supreme Proxy" . GeoSurf. Archivado del original el 24 de septiembre de 2017. Recuperado el 24 de septiembre de 2017 .
  25. "absolute-form" . HTTP/1.1 Message Syntax and Routing . IETF . Junio ​​de 2014. pág. 41. sec. 5.3.2. doi : 10.17487/RFC7230 . RFC 7230. Recuperado el 4 de noviembre de 2017. Un cliente DEBE enviar la URI de destino en forma absoluta como destino de la solicitud .   
  26. "Usar un servidor proxy en Windows - Soporte técnico de Microsoft" . support.microsoft.com . Consultado el 29 de marzo de 2026 .
  27. "Cómo configurar una conexión a internet en las consolas PlayStation" . www.playstation.com . Consultado el 29 de marzo de 2026 .
  28. "Soporte para proxy en Chrome" . chromium.googlesource.com . Consultado el 29 de marzo de 2026 .
  29. "Intermediarios" . Semántica HTTP . IETF . Junio ​​de 2022. Sec. 3.7. doi : 10.17487/RFC9110 . RFC 9110 . 
  30. "Terminología" . Protocolo de transferencia de hipertexto -- HTTP/1.1 . IETF . Junio ​​de 1999. Sec. 1.3. doi : 10.17487/RFC2616 . RFC 2616 . 
  31. "Los servidores proxy de interceptación pueden confiar incorrectamente en los encabezados HTTP para establecer conexiones" . Centro de Coordinación CERT . 23 de febrero de 2009. Consultado el 23 de junio de 2026 .
  32. "Los complementos de navegador compatibles con sockets dan lugar a un abuso transparente de proxies" . The Security Practice. 9 de marzo de 2009. Archivado del original el 2 de febrero de 2010. Consultado el 14 de agosto de 2010 .
  33. "Nota de vulnerabilidad VU#435052" . US CERT . 23 de febrero de 2009. Archivado del original el 10 de julio de 2010. Consultado el 14 de agosto de 2010 .
  34. "Desarrollador de Subversion: Detección de proxy transparente (antes Re: Introducción_)" . Tracetop.sourceforge.net. Archivado del original el 16 de octubre de 2015. Recuperado el 16 de noviembre de 2014 .
  35. Wessels, Duane (2004). Squid: La guía definitiva . O'Reilly. 130 págs . ISBN  978-0-596-00162-9. Consultado el 2 de junio de 2026 .
  36. Marshall, James. "CGIProxy" . Archivado del original el 16 de noviembre de 2018. Recuperado el 12 de noviembre de 2018 .
  37. "Los límites del control" . Junio ​​de 1996. Archivado del original el 6 de agosto de 2020. Consultado el 12 de noviembre de 2018 .
  38. "PHProxy" . SourceForge . Archivado del original el 14 de marzo de 2016. Consultado el 7 de abril de 2016 .
  39. "Google Trends" . Google Trends .
  40. "Estadísticas de proxy :: Obtener Proxi.es" . getproxi.es . Archivado del original el 1 de septiembre de 2021. Consultado el 5 de septiembre de 2021 . 
  41. Estrada-Jiménez, José (marzo de 2017). "Publicidad en línea: análisis de las amenazas a la privacidad y los enfoques de protección". Computer Communications . 100 : 32–51 . doi : 10.1016/j.comcom.2016.12.016 . hdl : 2117/99742 . ISSN 0140-3664 . S2CID 34656772 .  
  42. 1 2 Glater, Jonathan (25 de enero de 2006). "Privacidad para las personas que no muestran sus ombligos" . The New York Times . Archivado del original el 29 de abril de 2011. Recuperado el 4 de agosto de 2011 .
  43. ↑ Zwicky, Elizabeth D .; Cooper, Simon; Chapman, D. Brent (2000). Building Internet Firewalls (2.ª ed.). O'Reilly. p. 235. ISBN   978-1-56592-871-8.
  44. "Cómo evitar las redes proxy residenciales: proteja sus dispositivos para que no se conviertan en una herramienta para delincuentes" . Oficina Federal de Investigación . Consultado el 7 de junio de 2026 .
  45. Smith, Vincent (2019). Guía de inicio rápido de Go Web Scraping: Implemente el poder de Go para extraer y rastrear datos de la web . Packt Publishing Ltd. ISBN 978-1-78961-294-3Archivado del original el 17 de enero de 2023. Consultado el 19 de noviembre de 2020 .
  46. Mi, Xianghang; Feng, Xuan; Liao, Xiaojing; Liu, Baojun; Wang, XiaoFeng; Qian, Feng; Li, Zhou; Alrwais, Sumayah; Sun, Limin; Liu, Ying (mayo de 2019). Resident Evil: Entendiendo el proxy IP residencial como un servicio oscuro . Simposio IEEE de 2019 sobre seguridad y privacidad (SP). págs. 1185–1201 . doi : 10.1109/SP.2019.00011 . ISBN  978-1-5386-6660-9. S2CID 132479013 .