2012

Instalacin y configuracin de
servidores proxy

lvaro Primo Guijarro

Seguridad Informtica
07/02/2012
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Servidores proxy

Un proxy, en una red informtica, es un programa o dispositivo que realiza una accin
en representacin de otro, esto es, si una hipottica mquina Asolicita un recurso a
una C, lo har mediante una peticin a B; C entonces no sabr que la peticin procedi
originalmente de A. Su finalidad ms habitual es la de servidor proxy, que sirve para
interceptar las conexiones de red que un cliente hace a un servidor de destino, por
varios motivos posibles como seguridad, rendimiento, anonimato, etc.

Caractersticas
La palabra proxy se usa en situaciones en donde tiene sentido un unos
algunos intermediario.

El uso ms comn es el de servidor proxy, que es un ordenador que intercepta las

conexiones de red que un cliente hace a un servidor de destino.
De ellos, el ms famoso es el servidor proxy web (comnmente conocido
solamente como proxy). Intercepta la navegacin de los clientes por pginas
web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc.
Tambin existen proxies para otros protocolos, como el proxy de FTP.
El proxy ARP puede hacer de enrutador en una red, ya que hace de
intermediario entre ordenadores.
Proxy (patrn de diseo) tambin es un patrn de diseo (programacin) con el
mismo esquema que el proxy de red.
Un componente hardware tambin puede actuar como intermediario para otros.
Como se ve, proxy tiene un significado muy general, aunque siempre es sinnimo
de intermediario.

2
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Tipos de proxy

Servidor Proxy
Un proxy es un programa o dispositivo que realiza una tarea acceso a Internet en lugar
de otro ordenador. Un proxy es un punto intermedio entre un ordenador conectado a
Internet y el servidor al que est accediendo. Cuando navegamos a travs de un proxy,
nosotros en realidad no estamos accediendo directamente al servidor, sino que
realizamos una solicitud sobre el proxy y es ste quien se conecta con el servidor que
queremos acceder y nos devuelve el resultado de la solicitud.

Servidor HTTP
Este tipo de servidor opera en la Capa de aplicacin de TCP/IP. El puerto de
comunicacin de entrada debe ser 80/http segn IANA.1 Aunque generalmente suelen
utilizar otros puertos de comunicacin como el 3128, 8080 o el 8085.

Servidor HTTPS
Este tipo de servidor opera en la Capa de aplicacin de TCP/IP. A diferencia de un
Servidor HTTP, funciona bajo tecnologas de cifrado como SSL/TLS que proporcionan
mayor seguridad y anonimato. El puerto utilizado vara, aunque debe ser 443/https.
Servicio Proxy o Proxy Web
Su funcionamiento se basa en el del Proxy HTTP y HTTPs, pero la diferencia
fundamental es que la peticin se realiza mediante una Aplicacin Web embebida en
un Servidor HTTP al que se accede mediante una direccin DNS, esto es, una pgina
web que permite estos servicios.
Proxy Cach
Su mtodo de funcionamiento es similar al de un proxy HTTP o HTTPs. Su funcin es
precargar el contenido web solicitado por el usuario para acelerar la respuesta Web en
futuras peticiones de la misma informacin de la misma mquina u otras.

Proxies transparentes

Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies

para reforzar las polticas de uso de la red o para proporcionar seguridad y servicios de
cach. Normalmente, un proxy Web o NAT no es transparente a la aplicacin cliente:

3
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede
evadir el proxy cambiando simplemente la configuracin. Una ventaja de tal es que se
puede usar para redes de empresa.
Un proxy transparente combina un servidor proxy con NAT (Network Address
Translation) de manera que las conexiones son enrutadas dentro del proxy sin
configuracin por parte del cliente, y habitualmente sin que el propio cliente conozca
de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de
internet (ISP).

Reverse Proxy / Proxy inverso

Un reverse proxy es un servidor proxy instalado en el domicilio de uno o ms

servidores web. Todo el trfico entrante de Internet y con el destino de uno de esos
servidores web pasa a travs del servidor proxy. Hay varias razones para instalar un
"reverse proxy":

Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto

protege los servidores web.
Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro, habitualmente el
cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el "reverse
proxy", el cual est equipado con un hardware de aceleracin SSL (Security Sockets
Layer).
Distribucin de Carga: el "reverse proxy" puede distribuir la carga entre varios
servidores web. En ese caso, el "reverse proxy" puede necesitar reescribir las URL
de cada pgina web (traduccin de la URL externa a la URL interna
correspondiente, segn en qu servidor se encuentre la informacin solicitada).
Cach de contenido esttico: Un "reverse proxy" puede descargar los servidores
web almacenando contenido esttico como imgenes u otro contenido grfico.

Proxy NAT (Network Address Translation) / Enmascaramiento

Otro mecanismo para hacer de

intermediario en una red es el NAT.
La traduccin de direcciones de red (NAT,
Network Address Translation) tambin es
conocida como enmascaramiento de IPs.
Es una tcnica mediante la cual las
direcciones fuente o destino de los
paquetes IP son reescritas, sustituidas por
otras (de ah el "enmascaramiento").
Esto es lo que ocurre cuando varios
usuarios comparten una nica conexin
a Internet. Se dispone de una

4
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

nica direccin IP pblica, que tiene que ser compartida. Dentro de la red de rea local
(LAN) los equipos emplean direcciones IP reservadas para uso privado y ser el proxy el
encargado de traducir las direcciones privadas a esa nica direccin pblica para
realizar las peticiones, as como de distribuir las pginas recibidas a aquel usuario
interno que la solicit. Estas direcciones privadas se suelen elegir en rangos prohibidos
para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x

Esta situacin es muy comn en empresas y domicilios con varios ordenadores en red
y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una
cierta seguridad, puesto que en realidad no hay conexin directa entre el exterior y la
red privada, y as nuestros equipos no estn expuestos a ataques directos desde el
exterior.
Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer
que las peticiones que llegan al proxy sean dirigidas a una mquina concreta que haya
sido determinada para tal fin en el propio proxy.
La funcin de NAT reside en los Cortafuegos y resulta muy cmoda porque no necesita
de ninguna configuracin especial en los equipos de la red privada que pueden acceder
a travs de l como si fuera un mero encaminador.

Proxy abierto

Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no
conectado a su red.
En esta configuracin el proxy ejecutar cualquier peticin de cualquier ordenador que
pueda conectarse a l, realizndola como si fuera una peticin del proxy. Por lo que
permite que este tipo de proxy se use como pasarela para el envo masivo de correos
de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como
el DNS o la navegacin Web, mediante el cacheo de peticiones en el servidor proxy, lo
que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al
aplicarle una configuracin "abierta" a todo internet, se convierte en una herramienta
para su uso indebido.
Debido a lo anterior, muchos servidores, como los de IRC, o correo electrnicos,
deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras
("BlackList").

Cross-Domain Proxy
Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc) que tienen
restricciones para establecer una comunicacin entre elementos localizados en
distintos dominios.
En el caso de Ajax, por seguridad slo se permite acceder al mismo dominio origen de
la pgina web que realiza la peticin. Si se necesita acceder a otros servicios
localizados en otros dominios, se instala un Cross-Domain proxy2 en el dominio origen
que recibe las peticiones ajax y las reenvia a los dominios externos.

5
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

En el caso de flash, tambin han solucionado creando la revisin de

archivos xml de Cross-Domain, que permiten o no el acceso a ese dominio o
subdominio.

Funcionamiento

Un proxy permite a otros equipos conectarse a una red de forma indirecta a travs de
l. Cuando un equipo de la red desea acceder a una informacin o recurso, es
realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado
al equipo inicial. En unos casos esto se hace as porque no es posible la comunicacin
directa y en otros casos porque el proxy aade una funcionalidad adicional, como
puede ser la de mantener los resultados obtenidos (p.ej.: una pgina web) en
una cach que permita acelerar sucesivas consultas coincidentes. Con esta
denominacin general de proxy se agrupan diversas tcnicas.

Ventajas

Ahorro de Trfico: las peticiones de pginas Web se hacen al servidor Proxy y no a

Internet directamente. Por lo tanto, aligera el trfico en la red y descarga los
servidores destino, a los que llegan menos peticiones.
Velocidad en Tiempo de respuesta: el servidor Proxy crea un cach que evita
transferencias idnticas de la informacin entre servidores durante un tiempo
(configurado por el administrador) as que el usuario recibe una respuesta ms
rpida.
Demanda a Usuarios: puede cubrir a un gran nmero de usuarios, para solicitar, a
travs de l, los contenidos Web.
Filtrado de contenidos: el servidor proxy puede hacer un filtrado de pginas o
contenidos basndose en criterios de restriccin establecidos por el administrador
dependiendo valores y caractersticas de lo que no se permite, creando una
restriccin cuando sea necesario.

6
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Modificacin de contenidos: basndose en la misma funcin del filtrado, y

llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser
configurado para bloquear direcciones y Cookies por expresiones regulares y
modifica en la peticin el contenido.

Desventajas

Las pginas mostradas pueden no estar actualizadas si stas han sido modificadas
desde la ltima carga que realiz el proxy cach.
Un diseador de pginas web puede indicar en el contenido de su web que los
navegadores no hagan una cach de sus pginas, pero este mtodo no funciona
habitualmente para un proxy.

El hecho de acceder a Internet a travs de un Proxy, en vez de mediante conexin

directa, impide realizar operaciones avanzadas a travs de algunos puertos o
protocolos.

Almacenar las pginas y objetos que los usuarios solicitan puede suponer una
violacin de la intimidad para algunas personas.

Configuracin Servidor PROXY SQUID

1. Instalar el proxy

Para instalar Squid escribe en un terminal:

sudo aptitude install squid

2. Configurar el proxy

La configuracin de Squid se hace editando el archivo /etc/squid/squid.conf

Para editar este archivo, presiona Alt+F2 y:

gksu gedit /etc/squid/squid.conf

7
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

2.1 Nombrar el proxy

Squid necesita conocer el nombre de la mquina. Para ello, ubica la

lnea visible_hostname.
Por ejemplo, si la mquina se llama ubuntu, pon:

visible_hostname ubuntu

2.2 Elegir el puerto

Por defecto, el puerto de escucha del servidor proxy ser 3128. Para elegir otro puerto,
ubica la lnea:

http_port 3128

Y cambia el nmero de puerto, por ejemplo:

http_port 3177

2.3 Elegir la interfaz

Por defecto el servidor proxy escucha por todas las interfaces. Por razones de
seguridad, slo debes hacer que escuche en tu red local.
Por ejemplo si la tarjeta de red ligada a tu LAN tiene el IP 10.0.0.1, modifica la lnea a:

http_port 10.0.0.1:3177

2.4 Definir los derechos de acceso

Por defecto, nadie est autorizado a conectarse al servidor proxy, excepto tu mquina.
Entonces hay que crear una lista de autorizacin.
Por ejemplo vamos a definir un grupo que abarca toda la red local.

Ubica la lnea del archivo que comienza por acl localhost...

8
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Al final de la seccin, agrega:

acl lanhome src 10.0.0.0/255.255.255.0

(lanhome es un nombre arbitrario que hemos elegido)

2.5 Autorizar al grupo

Ahora que el grupo est definido, vamos a autorizar para que utilice el proxy.
Ubica la lnea http_access allow...
Y agrega debajo (antes de la lnea http_access deny all)

http_access allow lanhome

9
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

2.6 Autorizar los puertos no estndar

Por defecto, Squid slo autoriza el trafico HTTP en algunos puertos (80, etc.)
Esto puede ocasionar problemas a algunas pginas web que utilizan otros puertos
Ejemplo: http://toto.com/: 81/images/titi.png seria bloqueado por Squid.

Para evitar que lo bloquee, encuentra la lnea:

http_access deny !Safe_ports

Y agrega un comentario:

#http_access deny !Safe_ports

3. Iniciar el proxy

(Re)inicia el proxy para que tome en cuenta la nueva configuracin que acabamos de
realizar.
Escribe:

sudo /etc/init.d/squid restart

A partir de ahora el proxy debera funcionar. Slo hay que configurar los diversos
programas para que lo utilicen.

Informacin

Los logs del proxy se encuentran en /var/log/squid/access.log

10
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Modificar el tamao del cach

Por defecto, el cach de Squid est activado, lo que permite que las pginas se carguen
ms rpido.
El tamao por defecto es de 100 Mo (ubicado en /var/spool/squid).

Para cambiar su tamao, modifica el archivo /etc/squid/squid.conf

Encuentra la lnea:
# cache_dir ufs /var/spool/squid 100 16 256

Modifcala, puedes cambiar el valor de 100 por el valor que desees (por ejemplo 200
para 200 Mo):
cache_dir ufs /var/spool/squid 200 16 256

Notas

Squid posee una gran cantidad de opciones y mdulos:

prefetch (para pre-cargar las paginas y de este modo acelerar la navegacin)

filtros antivirus, anti-popups, etc.
control de acceso al proxy con login y contrasea.
control de acceso en funcin de la hora.
etc.

Para esto, abre Synaptic, y haz clic en el botn Buscar y entra Squid para encontrar
los mdulos relacionados a Squid.
Consulta la documentacin de cada modulo y la de Squid para mayor informacin.

Configuracin de un cliente proxy

11
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Cmo configurar el Proxy de Windows XP

6

Saber cmo configurar el Proxy de Windows XP puede resultarte til para disponer de Internet en varios
equipos. Aprende cmo configurar el Proxy de XP.
Si queremos conectar varios equipos a Internet a travs de uno de ellos, sin necesidad de utilizar
un router lo podemos hacer utilizando un Proxy. Vamos a ver con un ejemplo cmo configurar varios
equipos en Windows para que utilicen la conexin a Internet de otro, que es el que har de servidor
Proxy.
Para nuestro ejemplo, los equipos tendrn como S.O. Windows XP y es necesario que estnconectados
en red entre s.

PASO 1. Configuracin del PC que har de servidor

Para ello, pulsamos en Inicio, Configuracin, Panel de control y ejecutamos Conexiones de

red.
Ejecutamos la opcin Configurar una red domstica o para pequea oficina. Entonces, aparecer un
asistente para configuracin de red, pulsamos Siguiente. Comprobamos que cumplimos los
requisitos, es decir, tenemos un adaptador de red, mdem u otro tipo de dispositivo utilizado para la
conexin a Internet y estamos conectados en este momento a Internet.

En la siguiente ventana, marcamos la primera opcin Este equipo se conecta directamente a Internet.
Los otros equipos de mi red se conectan a Internet a travs de este equipo. Pulsamos Siguiente.
Escogemos la conexin a Internet que estamos utilizando, y Siguiente.
Seleccionamos el adaptador de red (u otro dispositivo) mediante el cual se conecta el equipo con los
dems de la red local (LAN).
Introducimos la descripcin del equipo y el nombre. Y en la siguiente ventana, el grupo de trabajo
para la red y Siguiente.

12
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Es importante que si queremos permitir que los otros equipos puedan acceder a carpetas e
impresoras compartidas del PC que hace de Servidor de Proxy marquemos la primera opcin: Activar
el uso compartido de archivos e impresoras.
En la ltima ventana nos aparece un resumen de las opciones seleccionadas, pulsamos Siguiente si
todo es correcto.

PASO 2. Configuracin de la red

En este momento, el asistente inicia el proceso de configuracin de la red.
Tras la configuracin nos aparece una ventana que nos permite la posibilidad de crear un disco de
configuracin de red para ejecutarlo en los PCs clientes. Pulsamos en Crear Disco de configuracin de
red, introducimos un disquete formateado y vaco. Y Siguiente.
Tras la creacin del disquete de configuracin nos aparece una ltima ventana indicando que el
proceso ha finalizado. Tambin nos indica los pasos necesarios para configurar los dems equipos de la
red mediante el disquete creado. Es necesario reiniciar el PC Servidor para finalizar con la
configuracin.
Para consultar la configuracin de red que ha dejado el asistente, pulsamos el botn derecho del ratn
sobre Mis sitios de red y Propiedades. Seleccionamos la tarjeta de red que utilizamos para la
conexin entre los equipos de nuestra red y pulsamos con el botn derecho del ratn, Propiedades.
Seleccionamos Protocolo Internet (TCP/IP) y pulsamos en Propiedades.
El asistente configura como direccin IP del equipo que har de servidor Proxy, la direccin 192.168.0.1
y la mscara de subred: 255.255.255.0.

PASO 3. Configuracin de los equipos clientes

Introducimos el disquete, generado en el proceso de configuracin del Servidor Proxy, en cada equipo
y accederemos a la unidad A: para ejecutar el fichero netsetup.exe. Se abrir el asistente de
configuracin.
En este paso seleccionamos Este equipo se conecta a Internet a travs de una puerta de enlace
residencial o de otro equipo de mi red.
Tras la finalizacin del asistente, reiniciamos el equipo y probamos la conexin a Internet.
En este caso, el asistente marca todas las opciones como automticas para que las IPs y la puerta de
enlace se asignen automticamente (las asignar el Servidor Proxy). Si queremos ver la IP que le ha
asignado el Servidor Proxy al equipo cliente podemos hacerlo pulsando en Inicio Ejecutar y
escribiendo cmd, y Aceptar. Nos aparece una ventana de consola donde escribimos el comando
ipconfig y pulsamos Enter.

Este comando nos mostrar la configuracin de la red, algo de este estilo:

IP: 192.168.0.48
Puerta de enlace: 192.168.0.1 (la del equipo Servidor Proxy).

13
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Una de las ventajas ms importantes del Proxy de Windows XP es que funcionar casi cualquier tipo de
aplicacin que utilice Socket (conexin directa puerto a puerto), POP3, SMTP y cualquier otro programa
que utilice vas de conexin a Internet diferentes al protocolo HTTP. Adems, no se necesita ningn
software adicional.
Como inconveniente resaltar que se tienen que cambiar todas las direcciones IPs de la red, utilizando
el rango 192.168.0.xxx.
Otra alternativa es emplear algn programa como Perproxy.
Si quieres saber ms sobre los Proxys puedes leer cmo funciona un Proxy en esta entrada.

Almacenamiento en cach
La mayora de los proxys tienen una cach, es decir, la capacidad de guardar en memoria (en cach)
las pginas que los usuarios de la red de rea local visitan comnmente para poder proporcionarlas lo
ms rpido posible. De hecho, el trmino "cach" se utiliza con frecuencia en informtica para referirse
al espacio de almacenamiento temporal de datos (a veces tambin denominado "bfer").
Un servidor proxy con la capacidad de tener informacin en cach (neologismo que significa: poner en
memoria oculta) generalmente se denomina servidor "proxy-cach".
Esta caracterstica, implementada en algunos servidores proxy, se utiliza para disminuir tanto el uso de
ancho de banda en Internet como el tiempo de acceso a los documentos de los usuarios.
Sin embargo, para lograr esto, el proxy debe comparar los datos que almacena en la memoria cach con
los datos remotos de manera regular para garantizar que los datos en cach sean vlidos.

Filtrado
Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crear registros de
actividad (logs) para guardar sistemticamente las peticiones de los usuarios cuando solicitan
conexiones a Internet.
Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del cliente
como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del cliente con una
lista de solicitudes autorizadas se denomina lista blanca; y el filtrado que se realiza con una lista de sitios
prohibidos se denomina lista negra. Finalmente, el anlisis de las respuestas del servidor que cumplen
con una lista de criterios (como palabras clave) se denomina filtrado de contenido.

14
 7 de febrero de 2012 [INSTALACIN Y CONFIGURACIN DE SERVIDORES PROXY]

Autenticacin
Como el proxy es una herramienta intermediaria indispensable para los usuarios de una red interna que
quieren acceder a recursos externos, a veces se lo puede utilizar para autenticar usuarios, es decir,
pedirles que se identifiquen con un nombre de usuario y una contrasea. Tambin es fcil otorgarles
acceso a recursos externos slo a las personas autorizadas y registrar cada uso del recurso externo en
archivos de registro de los accesos identificados.
Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas relacionados
con las libertades individuales y los derechos personales.

Servidores de proxy inversos

Un proxy inverso es un servidor proxy-cach "al revs". Es un servidor proxy que, en lugar de permitirles
el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a
determinados servidores internos.

El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean
acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor
web est protegido de ataques externos directos, lo cual fortalece la red interna. Adems, la funcin
cach de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razn por la cual se
lo denomina en ocasiones acelerador de servidor.
Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo
mediante la redireccin de las solicitudes a otros servidores similares. Este proceso se
denomina equilibrio de carga .

Configuracion Proxy Encadenado

Si usted ya tiene un servidor proxy que de los usuarios de los navegadores estn
configurados para utilizar, usted debera ser capaz de salir de los navegadores
configuraciones sin cambiar y configurar el proxy existente para reenviar todo el HTTP,
HTTPS, FTP y solicita a la seguridad Web de Cloud. Si su poder es capaz de utilizar un
archivo PAC, puede utilizar la proporcionada por la nube de Seguridad Web. De lo
contrario, le recomendamos que descargue una copia de la Gran Nube de archivo Web
Security PAC y duplicar su funcionalidad en la configuracin de su proxy.

15