Por Gerry Blackwell
Para los administradores de redes para redes grandes, la necesidad de servidores proxy, intermediarios que se mantienen centinelas entre una red interna y el Internet abierto, es tan básica que no hace falta decirlo. Pero en las organizaciones más pequeñas que carecen de recursos de TI dedicados, la necesidad puede no ser tan evidente.
Cómo funcionan
Los Proxies interceptan solicitudes de páginas de Internet de usuarios dentro de la red de una empresa y realizan una serie de tareas relacionadas con la protección de la red, la mejora del rendimiento y la aplicación de las políticas de uso de la Web de la empresa. Esto a veces se conoce como un servidor proxy hacia adelante. Es del tipo que prácticamente todas las organizaciones necesitan.
Si su empresa también aloja sus propios servidores web en sus instalaciones, también necesita un proxy inverso para realizar un conjunto complementario, pero algo diferente, de tareas relacionadas con la seguridad y el rendimiento en torno a las solicitudes que llegan de Internet a sus servidores.
En este artículo nos centraremos en el primer tipo de proxy y una variante basada en servicios de interés para los consumidores y los usuarios de negocios móviles.
Proxy que reenvía
Cuando un usuario interno solicita una página web, la solicitud pasa por el servidor proxy para que Internet parezca que proviene del servidor, de su dirección IP (o de una de ellas), y no del dispositivo del usuario. Este anonimato proporciona una medida importante de seguridad al reducir la cantidad de información sobre una red y sus usuarios de fácil acceso para los hackers en Internet.
El servidor proxy puede, además, realizar almacenamiento en caché.
Si sus usuarios necesitan acceder con frecuencia a ciertas páginas de Internet, el servidor puede descargar y almacenar copias en su disco duro, en caché y también monitorear continuamente la página en busca de cambios y descargarlos cuando aparezcan, de modo que la página en caché siempre esté actualizada.
Consultor James Quin, analista principal de la firma de investigación y consultoría Info-Tech Research Inc., dice que el almacenamiento en caché acelera las cosas para todos:
«Así que ahora, cuando alguien solicita esa página o recurso, el servidor proxy dice: ‘Espera, lo tengo aquí mismo’ y se lo devuelve al usuario final sin tener que salir a Internet», explica Quin.
Esto acelera la visualización de las páginas en caché para los usuarios y reduce el tráfico que sale a través de la puerta de enlace de Internet de la empresa, lo que potencialmente reduce los requisitos de ancho de banda y la congestión que pueden degradar el rendimiento general.
Control de la navegación web
Un tercer conjunto importante de tareas del servidor proxy se relaciona con la aplicación de las políticas y restricciones de la empresa en torno al uso de la Web.
En las organizaciones que permiten a los empleados un acceso sin restricciones a Internet pero publican políticas que limitan el uso personal (por ejemplo, sitios de juegos de azar, pornografía u literatura de odio, o solo durante el almuerzo y las pausas), los administradores de red pueden monitorear los registros del servidor proxy para detectar a los usuarios que habitualmente incumplen las políticas.
Pero el monitoreo de registros de proxy puede ser un negocio complicado, advierte el consultor Steve Armstrong, director de seguridad técnica de LogicallySecure, consultora con sede en el Reino Unido.
Algunas empresas cometen el error de instalar un proxy y luego no volver a verlo, desperdiciando así gran parte de su utilidad potencial, dice Armstrong. Pero otros pasan demasiado tiempo estudiando detenidamente los troncos. «Puede ser casi como el acoso o acoso de los usuarios por poderes.»
Si a los empleados se les permite usar la Web para navegar personalmente, un monitoreo demasiado cercano podría resultar en infracciones de la privacidad y las leyes laborales por parte de la empresa, si un empleado está investigando un problema médico en su hora de almuerzo, por ejemplo.
Además, si los administradores supervisan de cerca la actividad de un empleado sin una buena razón, especialmente en ausencia de políticas claramente establecidas, y luego intentan iniciar acciones disciplinarias por violaciones, los sindicatos o los abogados pueden reclamar que la empresa victimizó al empleado.
Control automático
Pero si los empleados establecen y aprueban claramente las restricciones de las políticas y las prácticas de monitoreo, no deberían surgir este tipo de problemas, dice Armstrong.
La alternativa es usar las capacidades básicas de filtrado del software del servidor proxy para bloquear a los usuarios que van a ciertos sitios. Funciona de manera similar al filtrado parental en redes domésticas.
En el nivel más simple, si se agrega un sitio restringido a una lista en el software del servidor, cuando un usuario intenta navegar a ese sitio, el servidor niega la solicitud y devuelve un mensaje de error.
La adición de capacidades mejoradas con software de filtrado integrado o el uso de productos avanzados como el servidor ISA (Seguridad y aceleración de Internet) de Microsoft permiten restringir los sitios o la navegación en general por hora del día, o incluso por función de trabajo o departamento.
Implementación
Si ha leído hasta aquí y ve la necesidad de un servidor proxy, es probable que necesite los servicios de un consultor para ayudarlo a seleccionar productos e implementarlos. Podría estar comprando software para instalarlo en un servidor estándar. Muchos de estos productos son de código abierto, algunos de ellos gratuitos.
Podría ser un dispositivo de servidor proxy, hardware especialmente diseñado con software preinstalado. O podría ser un dispositivo de servidor proxy virtual, un servidor que está lógicamente separado pero comparte espacio en un servidor físico con otros servidores en un entorno VMware u otro servidor virtualizado.
Algunos servidores proxy son independientes, otros integran otras funcionalidades. Una de las funciones más comúnmente combinadas con el proxy básico es el filtrado avanzado, señala Quin. Argumenta que los servidores proxy independientes, como cualquier solución de un solo propósito o «punto», necesariamente implican más gastos generales de gestión, por lo que podría decirse que tienen menos sentido para la mayoría de las organizaciones.
Elegir un proxy
El tipo y la calidad del producto de servidor proxy que elija dependerán de una serie de factores, incluido el riesgo percibido para los recursos detrás del proxy, el nivel de tolerancia al riesgo y el presupuesto.
Info-Tech en sí utiliza software de servidor proxy de código abierto porque tiene una tolerancia al riesgo razonablemente alta, ya que está bien equipada con habilidades de TI y seguridad, y requisitos de filtrado y almacenamiento en caché relativamente ligeros, dice Quin.
Las organizaciones más grandes con cientos o miles de usuarios, menos tolerancia al riesgo y necesidades de filtrado más granular o almacenamiento en caché de trabajo más pesado, pueden requerir una solución más robusta y también pueden estar mejor con una que se integre estrechamente con un entorno de red Cisco, Microsoft u otro existente, sugiere Quin.
Una cosa a tener en cuenta, dice, es que el servidor proxy está expuesto a Internet. «Es un objetivo muy fácil de atacar, y es una parte confiable de su infraestructura de red interna. Así que hay que ser muy rigurosos con la seguridad, hay que mantener los parches actualizados y mantenerlo religiosamente.»
Proxying para consumidores
También puede obtener proxying como servicio, a menudo de forma gratuita. Las solicitudes de página van desde el dispositivo cliente a través de Internet a un servidor y desde allí al sitio solicitado. Esto es principalmente de interés para los consumidores, pero también puede tener aplicaciones para usuarios móviles.
¿Por qué querrían los consumidores utilizar los servicios de proxy?
La privacidad y la seguridad fueron las razones principales originalmente. Los servicios de proxy en línea proporcionan el mismo tipo de anonimato que los proxies corporativos internos, lo que mejora la seguridad, pero también atrae a los internautas que se oponen a que los anunciantes y otros puedan rastrear a dónde van en la Red.
En teoría, los servicios proxy también hacen un mejor trabajo de filtrado de malware transmitido por la Web. Que todo funcione es otro asunto. Y algunos proporcionan cifrado similar a una VPN entre el cliente y su servidor para proteger contra la interceptación de datos cuando se utilizan puntos de acceso Wi-Fi públicos. Algunos pueden proporcionar almacenamiento en caché, pero es poco probable que sea tan efectivo como en un entorno de redes corporativas.
TV en línea
Una razón cada vez más popular para usar un servicio de proxy hoy en día es sortear las restricciones regionales de acceso a los medios en línea.
Por razones de licencia, los sitios de video como Netflix, Hulu y otros solo pueden servir contenido a usuarios en el país de origen. Bloquean las solicitudes de direcciones IP que se sabe que están fuera del país.
Mediante el uso de un servicio proxy con servidores en el país, un usuario externo puede sortear estas restricciones. Su corresponsal, por ejemplo, vive y trabaja actualmente en España y utiliza servicios de proxy para transmitir programación de televisión desde sitios del Reino Unido y Estados Unidos.
Cómo funcionan
Los servicios proxy funcionan de una de tres maneras. Con muchos servicios gratuitos, simplemente navega al sitio web del proveedor de servicios y escribe la URL del sitio que deseas en un campo de dirección en la página. Otros requieren que los usuarios descarguen una pequeña aplicación. Otros requieren que los suscriptores establezcan una conexión VPN en Windows y introduzcan un ID de usuario y una contraseña.
Elegir un servicio de proxy
Muchos servicios de proxy son gratuitos. Algunos son ofrecidos por empresas para promover otros servicios de Internet de pago. La mayoría son compatibles con anuncios de una forma u otra. También hay muchos agregadores, como Proxy 4 Free, que proporcionan listas constantemente actualizadas de servidores proxy gratuitos. Algunos incluso cobran una tarifa de suscripción para proporcionar un fácil acceso a los servicios enumerados. Sin embargo, pocos servicios gratuitos son tan confiables, rápidos o seguros como los servicios de pago. Y muchos de los servicios gratuitos que probamos no eran compatibles con Flash en nuestras pruebas.
Su corresponsal está utilizando dos servicios gratuitos con publicidad de Anchorfree, una empresa de Silicon Valley. Requieren una descarga de la aplicación. ExpatShield y Hotspot Shield cuentan con publicidad de video particularmente molesta y redirecciones de páginas, así como banners insertados en la parte superior de las páginas del navegador. Pero los anuncios se pueden detener, los servicios Anchorfree funcionan razonablemente bien y son gratuitos.
Con muchos servicios gratuitos, el rendimiento reducido debido a los saltos de enrutador adicionales que implica llegar y salir del servidor, significa que la calidad de transmisión es pobre hasta el punto de hacer que el video no se pueda ver.
Los servicios Anchorfree, sin embargo, transmiten video desde los sitios de BBC e ITV en el Reino Unido (ExpatShield) y Hulu en los Estados Unidos (Hotspot Shield) a España de forma más o menos impecable, al menos a través de una conexión a Internet rápida (12 Mbps).
Aplicaciones empresariales
Para los guerreros de la carretera que deben conectarse a la Red en cafeterías y otros puntos de acceso públicos, los servicios proxy con funcionalidad VPN integrada pueden ser una forma rápida y sucia de agregar algo de protección contra el espionaje inalámbrico. Dicho esto, un túnel VPN a través de los servidores de la empresa y controlado por ellos sería más seguro de forma confiable.
En el lado negativo, es posible que los administradores de red quieran estar al tanto de los empleados que usan servicios de proxy públicos en la oficina. Es una indicación probable de navegación no oficial, en el mejor de los casos, y posiblemente de uso de la Web que contraviene las políticas de la empresa.