Proxy
§ Servidor proxy
conectando indirectamente dos ordenadores.
§ Un proxy, en una red informática,
es un programa o dispositivo que realiza una acción en representación de otro,
esto es, si una hipotética máquina Asolicita un recurso a una C, lo
hará mediante una petición a B; C entonces no sabrá que la
petición procedió originalmente de A. Esta situación estratégica de punto
intermedio suele ser aprovechada para soportar una serie de funcionalidades:
proporcionar caché, control de acceso, registro del tráfico, prohibir cierto
tipo de tráfico etcétera.
§ Su finalidad más
habitual es la de servidor proxy, que consiste en interceptar las
conexiones de red que un cliente hace a un servidor de destino, por varios
motivos posibles como seguridad, rendimiento, anonimato, etc. Esta función de servidor
proxy puede ser realizada por un programa o dispositivo.
§ Ventajas
§ En general (no sólo
en informática), los proxies hacen posible:
§ Control: sólo el
intermediario hace el trabajo real, por tanto se pueden limitar y restringir
los derechos de los usuarios, y dar permisos sólo al proxy.
§ Ahorro. Sólo uno de los usuarios (el proxy) ha de estar preparado para hacer el trabajo
real. Con estar preparado queremos decir que es el único que
necesita los recursos necesarios para hacer esa funcionalidad. Ejemplos de
recursos necesarios para hacer la función pueden ser la capacidad y lógica de
cómputo o la dirección de red externa (IP).
§ Velocidad. Si varios
clientes van a pedir el mismo recurso, el proxy puede hacer caché: guardar la respuesta de una petición para darla
directamente cuando otro usuario la pida. Así no tiene que volver a contactar
con el destino, y acaba más rápido.
§ Filtrado. El proxy
puede negarse a responder algunas peticiones si detecta que están prohibidas.
§ Modificación. Como
intermediario que es, un proxy puede falsificar información, o modificarla
siguiendo un algoritmo.
§ Anonimato. Si todos
lo usuarios se identifican como uno sólo, es difícil que el recurso accedido
pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que
hacer necesariamente la identificación.
§ [editar]Desventajas
§ En general (no sólo en informática), el uso de un intermediario puede provocar:
§ En general (no sólo en informática), el uso de un intermediario puede provocar:
§ Abuso. Al estar
dispuesto a recibir peticiones de muchos usuarios y responderlas, es
posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién
tiene acceso y quién no a sus servicios, cosa que normalmente es muy difícil.
§ Carga. Un proxy ha de
hacer el trabajo de muchos usuarios.
§ Intromisión. Es un
paso más entre origen y destino, y algunos usuarios pueden no querer pasar por
el proxy. Y menos si hace de caché y guarda copias de
los datos.
§ Incoherencia. Si hace
de caché, es posible que se equivoque y dé una respuesta antigua cuando hay una
más reciente en el recurso de destino. En realidad este problema no existe con
losservidores proxy actuales, ya que se conectan con
el servidor remoto para comprobar que la versión que tiene en cache sigue
siendo la misma que la existente en el servidor remoto.
§ Irregularidad. El
hecho de que el proxy represente a más de un usuario da problemas en muchos
escenarios, en concreto los que presuponen una comunicación directa entre 1
emisor y 1 receptor (como TCP/IP).
§ [editar]Aplicaciones
§ El concepto de proxy
es aplicado de muy distintas formas para proporcionar funcionalidades
específicas.
§ [editar]Proxy
de web
§ Se trata de un proxy
para una aplicación específica el acceso a la web (principalmente los
protocolos HTTP y HTTPS). Aparte de la utilidad general de un proxy a veces
proporciona una caché para laspáginas web y los contenidos descargados. Cuando
esto sucede se dice que el proxy web está haciendo un servicio de proxy-cache. Esta caché es compartida por
todos los usuario del proxy, con la consiguiente mejora en los tiempos de
acceso para consultas coincidentes. Al mismo tiempo libera la carga de los
enlaces hacia Internet.
§ Funcionamiento:
§ El cliente realiza
una petición (p. ej. mediante un navegador web) de un recurso de Internet (una página web o
cualquier otro archivo) especificado por una URL.
§ Cuando el proxy caché recibe la petición, busca la URL
resultante en su caché local. Si la encuentra, contrasta la fecha y hora de la
versión de la página demanda con el servidor remoto. Si la página no ha
cambiado desde que se cargo en caché la devuelve inmediatamente, ahorrándose de
esta manera mucho tráfico pues sólo intercambia un paquete para comprobar la
versión. Si la versión es antigua o simplemente no se encuentra en la caché, lo
captura del servidor remoto, lo devuelve al que lo pidió y guarda o actualiza
Network
Address Translation
§ NAT (Network
Address Translation - Traducción de Dirección de Red) es
un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes
que se asignan mutuamentedirecciones incompatibles.
Consiste en convertir, en tiempo real, las direcciones utilizadas en los
paquetes transportados. También es necesario editar los paquetes para permitir
la operación deprotocolos que incluyen información de direcciones dentro
de la conversación del protocolo.
§ El tipo más simple de
NAT proporciona una traducción una-a-una de las direcciones IP. La RFC 2663 se refiere a
este tipo de NAT como NAT Básico, también se le conoce como NAT una-a-una. En
este tipo de NAT únicamente, las direcciones IP, las sumas de comprobación
(checksums) de la cabecera IP, y las sumas de comprobación de nivel superior,
que se incluyen en la dirección IP necesitan ser cambiadas. El resto del
paquete se puede quedar sin tocar (al menos para la funcionalidad básica del
TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra forma de
traducción). Es corriente ocultar un espacio completo de direcciones IP,
normalmente son direcciones privadas IP, detrás de una única dirección IP (o
pequeño grupo de direcciones IP) en otro espacio de direcciones (normalmente
público).
§ Su uso más común es
permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder a Internet.
Existen rangos de direcciones privadas que pueden usarse libremente y en la
cantidad que se quiera dentro de una red privada. Si el número de direcciones
privadas es muy grande puede usarse solo una parte de direcciones públicas para
salir a Internet desde la red privada. De esta manera simultáneamente sólo
pueden salir a Internet con una dirección IP tantos
equipos como direcciones públicas se hayan contratado. Esto es necesario debido
al progresivo agotamiento de las direcciones IPv4.
Se espera que con el advenimiento de IPv6 no sea necesario
continuar con esta práctica.
Funcionamiento
El protocolo TCP/IP tiene
la capacidad de generar varias conexiones simultáneas con un dispositivo
remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen
campos en los que se indica la dirección origen y destino. Esta combinación de
números define una única conexión.
La mayoría de los NAT asignan varias máquinas (hosts) privadas a
una dirección IP expuesta públicamente. En una configuración típica, una red
local utiliza unas direcciones IP designadas “privadas” para subredes (RFC 1918). Un ruteador en esta red
tiene una dirección privada en este espacio de direcciones. El ruteador también
está conectado a Internet por medio de una dirección pública asignada por un
proveedor de servicios de Internet. Como el trafico pasa desde la red local a
Internet, la dirección de origen en cada paquete se traduce sobre la marcha de
una dirección privada a una dirección pública. El ruteador sigue la pista de
los datos básicos de cada conexión activa (en particular, la dirección de
destino y el puerto). Cuando una respuesta llega al ruteador utiliza los datos
de seguimiento de la conexión almacenados en la fase de salida para determinar
la dirección privada de la red interna a la que remitir la respuesta.
Todos los paquetes de Internet tienen una dirección IP de origen y
una dirección IP de destino. En general, los paquetes que pasan de la red
privada a la red pública tendrán su dirección de origen modificada, mientras
que los paquetes que pasan a la red pública de regreso a la red privada tendrán
su dirección de destino modificada. Existen configuraciones más complejas.
Para evitar la ambigüedad en la forma de traducir los paquetes de
vuelta, es obligatorio realizar otras modificaciones. La mayor parte del
tráfico generado en Internet son paquetes TCP y UDP, para estos protocolos los
números de puerto se cambian, así la combinación de la información de IP y
puerto en el paquete devuelto puede asignada sin ambigüedad a la información de
dirección privada y puerto correspondiente. Los protocolos que no están basados
en TCP y UDP requieren de otras técnicas de traducción Los paquetes ICMP
normalmente se refieren a una conexión existente y necesitan ser asignado
utilizando la misma información de IP y puerto que el de la conexión.
Una pasarela NAT cambia la dirección origen en cada paquete de salida y, dependiendo del método, también el puerto origen para que sea único. Estas traducciones de dirección se almacenan en una tabla, para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla de en un determinado puerto y dirección se pueda acceder a un determinado dispositivo, como por ejemplo un servidor web, lo que se denomina NAT inverso o DNAT (Destination NAT).
Conexión
compartida a Internet
Conexión compartida a
Internet (ICS) es el uso de un dispositivo con acceso a Internet como el
servicio celular 3G, banda ancha a través de Ethernet, o gateway de Internet
otro como un punto de acceso para otros dispositivos. Fue implementada por
Microsoft como una característica de susistema operativo Windows (a partir
de Windows 98 Second Edition y versiones posteriores) para compartir una sola de Internet de
conexión en un equipo entre los otros equipos de la misma red de área
local . Se hace uso de DHCP y traducción de direcciones de red (NAT).
Operación
ICS rutas TCP / IP los
paquetes de una pequeña LAN a Internet. ICS mapas individuales de las direcciones IP de los equipos locales no utilizados a los puertos números
en la pila TCP / IP.Debido a la naturaleza de la NAT, las direcciones IP en el
equipo local no son visibles en Internet. Todos
los paquetes que entran o salen de la LAN se envían desde o hacia la dirección
IP del adaptador externo en el equipo host ICS.
En el equipo host de la conexión compartida a disposición de otros
equipos de habilitar ICS en Conexiones de red y otros equipos que se conectan para
usar la conexión compartida. Por
lo tanto, ICS requiere al menos dos conexiones de red. Normalmente ICS se utiliza cuando hay
varias tarjetas de red instaladas en el host. En casos especiales, sólo una tarjeta de interfaz de redque se requiere y
otras conexiones puede ser lógico. Por
ejemplo, el host puede conectarse a Internet mediante un módem / router
configurado en el modo de puente y compartir el PPPoEconexión con ICS.
A partir de Windows XP, hay algunas mejoras en la ICS. Conexión compartida a Internet está
integrado con UPnP, que permite el descubrimiento y el control remoto del host
ICS. También tiene un componente
de calidad de servicio Programador de paquetes. [ 1 ] Cuando un cliente de ICS está en una
red relativamente rápido y el host ICS se conecta a Internet a través de un
vínculo lento, Windows incorrectamente puede calculcate la óptima recepción de
TCP tamaño de la ventana sobre la base de la velocidad de la conexión entre el
cliente y el host ICS, lo que podría afectar al tráfico desde el emisor al
contrario. El componente ICS
calidad de servicio establece el tamaño de ventana de recepción TCP a la misma,
ya que sería si el receptor se conecta directamente al vínculo de baja
velocidad.
Conexión compartida a Internet también incluye una resolución de
DNS local en Windows XP para proporcionar resolución de nombres para todos los
clientes de la red en la red doméstica, incluidos los dispositivos de red no
basados en Windows. ICS también es consciente de la ubicación, es decir,
cuando se conecta a un dominio, el equipo puede tener una directiva de grupo
para restringir el uso de ICS, pero cuando están en casa, se puede habilitar
ICS.
Limitaciones
Sin embargo, mientras que ICS
utiliza DHCP, no hay manera de revisión de arrendamiento DHCP con ICS . El
servicio tampoco es personalizable en cuanto a qué direcciones se utilizan para
la subred interna, y no contiene disposiciones para limitar el ancho de banda o
de otras características. ICS
también ha sido diseñado para conectarse sólo a equipos con Windows OS:. Los
equipos de otros sistemas operativos habrán de tomar medidas diferentes para
poder utilizar ICS [ 2 ] [ 3 ]
El servidor normalmente tendrá la dirección IP 192.168.0.1
(modificable desde el registro) y prestará servicios de NAT para la subred
192.168.0.x su conjunto, incluso si la dirección en el cliente se estableció de
forma manual, no por el servidor DHCP. Windows
7 utiliza la 192.168.137.x subred por defecto.
Además de asegurarse de que la configuración del firewall son
correctas, para Windows XP ejércitos con más de una tarjeta de interfaz
Ethernet y una conexión inalámbrica WAN, puente entre las tarjetas de interfaz
Ethernet puede ayudar a eliminar algunos problemas de ICS.
Referencias
No hay comentarios:
Publicar un comentario