¿Qué es un proxy?

Un servidor proxy (cuya traducción literal es “representante“) es una interfaz de comunicación en una red que actúa como mediadora entre dos sistemas informáticos. La tarea básica de un servidor proxy es hacerse cargo, como delegado, de las peticiones de los clientes en un servidor y de transmitirlas con la dirección IP adecuada al ordenador de destino. En este tipo de comunicación no existe una conexión directa entre el remitente y el destinatario. En ocasiones, ni el sistema al que se le hacen las peticiones ni el ordenador de destino saben que hay un proxy de por medio. Los servidores proxy pueden funcionar en dos sentidos. Por un lado, un proxy de reenvío (forward proxy) sirve para proteger a una red cliente frente a influencias de Internet. Si el sistema de destino, por ejemplo, un servidor web, está protegido por medio de un servidor proxy intercalado, se puede hablar en este caso de un proxy inverso (reverse proxy).

  • Proxy de reenvío (protección del cliente): si se instala un servidor proxy como interfaz entre una red privada (LAN) e Internet, los terminales locales pueden protegerse de forma efectiva de las influencias de la red pública. El proxy se hará cargo de las peticiones provenientes de la red LAN y las transmitirá con su dirección IP en calidad de remitente al ordenador de destino. Los paquetes de respuesta de la red no se dirigirán al cliente en la red LAN, sino que pasan por el servidor proxy antes de llegar al destino final. En general, el proxy actúa como autoridad de control. Los correspondientes sistemas de seguridad no tienen que instalarse en cada cliente de la red, sino que hay un número considerable de ellos que se ejecutan en servidores proxy.
  • Proxy inverso (protección del servidor): los servidores web también pueden protegerse, para lo que se intercalará un servidor proxy al acceder desde la red pública. Los clientes de Internet no pueden acceder de manera directa al ordenador de destino, sino que en su lugar el proxy será el que reciba las peticiones, compruebe su configuración de seguridad y las transmita al servidor de forma segura.

Ámbito de aplicación de un servidor proxy

La implementación de los servidores proxy está ligada a varios factores. En su rol de nexo de unión entre los dos participantes de la comunicación, este componente de red hace posible el intercambio de datos entre dos sistemas en aquellas situaciones en las que no se pueda establecer una conexión directa debido a la presencia de direcciones IP incompatibles, por ejemplo porque un componente utiliza el protocolo IPv4 y el otro la versión IPv6. Los datos que no adoptan la vía directa, sino que se desvían hacia el proxy, pueden filtrarse, almacenarse de forma intermedia y distribuirse por diversos sistemas de destino mediante el balanceo de carga. Además, un proxy es un componente fundamental del Firewall que protege a los sistemas informáticos de ataques procedentes de la red pública.

  • Caché: esta es otra de las funciones básicas del proxy. Para poder responder con celeridad a las continuas peticiones de una red local, un proxy adecuadamente configurado guarda de manera temporal una copia de los datos obtenidos por parte del servidor desde Internet en el caché. Los contenidos web más solicitados no tienen que cargarse de nuevo cada vez que se quiera acceder a ellos, sino que estos se entregan directamente, lo que ahorra tiempo y ancho de banda.
  • Filtrado: cuando se instala un proxy en calidad de interfaz entre dos sistemas informáticos puede usarse como filtro para la transmisión de datos con el objetivo de bloquear determinados contenidos web para los clientes o para rechazar automáticamente peticiones anómalas.
  • Control del ancho de banda y distribución de cargas: si se utiliza un proxy para controlar el ancho de banda, este distribuirá los recursos definidos para los clientes de una red en función de la capacidad de carga. Así se puede tener la seguridad de que las aplicaciones no bloquearán el ancho de banda por completo. Debido a su papel de interfaz central, el servidor proxy permite depositar en diferentes sistemas las peticiones de clientes que requieren muchos recursos o las respuestas del servidor, de forma que la carga se pueda distribuir de manera uniforme dentro de una misma red informática.
  • Anonimización: ya que el servidor proxy impide la conexión directa entre remitente y destinatario, puede que la dirección IP de un cliente se oculte tras la interfaz de comunicación. Esto permite cierto anonimato, ya que el usuario puede operar de manera externa con la dirección IP y la ubicación del proxy. Aquellos países que tienen una estricta censura en lo referente al uso de Internet o que tienen un acceso restringido a contenidos protegidos por derechos de autor recurren en ocasiones a un servidor proxy en el extranjero para evitar el geoblocking.

Tipos de servidores proxy

Junto a la definición de proxy más general, se dan diversas denominaciones para diferentes tipos de servidores proxy, referentes tanto a la realización técnica de los componentes de red como a las diferencias en cuanto a su aplicación. Lo más habitual es establecer una división entre servidores proxy de aplicación y de circuito y servidores dedicados y genéricos.

Servidores proxy de aplicación y de circuito

Técnicamente, algunos servidores proxy son implementados técnicamente de manera que puedan analizar los paquetes de datos que tienen que reenviar. Por el contrario, otros tipos de implementaciones del proxy no permiten el acceso a los paquetes de datos. Sin embargo, las funciones de filtrado se pueden llevar a cabo, en este caso, tomando como base la dirección IP del remitente y del puerto referido.  

  • Servidor proxy de aplicación: un servidor proxy de aplicación se asienta sobre la capa de aplicación (capa 7) del modelo de referencia OSI (Open System Interconnection). Este tipo de servidor proxy, denominado también filtro de aplicación, cuenta así con funciones para analizar los paquetes de datos y para bloquearlos, modificarlos o reenviarlos siguiendo reglas predefinidas.
  • Servidor proxy de circuito: el servidor proxy de circuito trabaja en la capa de transporte (capa 4) del modelo de referencia OSI y entre sus funciones no se encuentra el análisis de los paquetes de datos. Por lo general, este tipo de proxy se utiliza como módulo de filtro de Firewall y permite filtrar los paquetes de datos a través de puertos y de direcciones IP. Al contrario de lo que ocurre con el servidor proxy de aplicación, el de circuito no puede ejercer ningún tipo de influencia en la comunicación. En su lugar, el filtrado se basa en el principio de todo o nada y se permitirá la entrada de paquetes de datos o, por el contrario, se bloquearán.

Servidores proxy dedicados y genéricos

La clasificación a partir de los términos “dedicado” y “genérico” depende de si un servidor proxy solo es apto para un protocolo de comunicación (proxy dedicado) o si la interfaz de red opera como elemento de contacto para todos los protocolos de comunicación (proxy genérico).

  • Proxy dedicado: como su nombre indica, un servidor proxy dedicado está configurado para un determinado protocolo de comunicación. Por este motivo, diferentes servidores proxy dedicados funcionan generalmente en paralelo para los diversos protocolos como HTTP, FTP o SMTP.  
  • Proxy genérico: al contrario de lo que ocurre en los servidores proxy dedicados, un servidor proxy genérico no es un servidor especializado y, por lo tanto, no se utiliza para más de un protocolo de comunicación.

En la práctica, los servidores proxy de aplicación actúan como servidores dedicados, mientras que los genéricos, por su parte, se usan como servidores proxy de circuito, por lo que a menudo estos términos se usan como sinónimos.