A la hora de pasar de una red privada a otra pública, tienes que conocer muy bien las tecnologías de acceso conmutado y de acceso dedicado. La elección de una u otra dependerá de ti si en un futuro trabajas como técnica o técnico, serás el encargado de contratar los servicios de datos, voz sobre IP (VoIP), videoconferencia, etc. Por ejemplo, el ancho de banda dependerá de los servicios que necesites utilizar. De cualquier forma siempre te serán necesarios aparatos de interconexión, sobre todo enrutadores, que dirigen y adaptan el tráfico entre diferentes redes. También necesitaras establecer unas medidas de seguridad como un cortafuegos y un servidor proxy-caché con los que controlar los accesos internos de los empleados en la zona exterior a la intranet. También tendrás que controlar los accesos de los visitantes o posibles atacantes.

Las líneas de acceso conmutado (LAC), empleadas a finales del siglo XX, necesitan establecer una llamada entre ambos extremos para realizar la comunicación. Esto es, deben conmutar o conectar las líneas a su paso por cada central, desde el origen al destino, tal como sucede cuando se llama por teléfono.

Las tecnologías LAC son las siguientes:

• Red Telefónica Conmutada o Red Telefónica Básica (RTC/RTB).
• Red Digital de Servicios Integrados (RDSI).
• Sistemas de telefonía móvil analógicos.
• Sistema Global de Comunicaciones Móviles (GSM).
• Servicio General de Paquetes por Radio Mejorado.

Las líneas de acceso dedicado (LAD), mucho más actuales que las anteriores, son exclusivas de los clientes que las han contratado, estos las utilizan a tiempo completo. Siempre están activas y poseen un ancho de banda mayor.

Las tecnologías que funcionan como LAD son las siguientes:

• La familia de tecnologías de abonado digital (xDSL, siglas en ingles de Digital Subscriber Line).
• Redes mixtas de TV e Internet por cable (CATV).
• Conexión por cable eléctrico.
• Redes de fibra hasta el hogar.
• Vía satélite (VSAT).
• Servicio de distribución multipunto.
• Redes metropolitanas inalámbricas.
• Servicio de telefonía móvil universal.
• Servicio de telefonía móvil universal avanzado.
• Sistema de telefonía móvil sobre IP.

Para empezar, te propongo un poco de historia…

La primera tecnología que surgió fue la red de telefonía conmutada o básica (RTC/RTB). Se trata de una red de banda estrecha que funciona de manera analógica sobre un par trenzado de cobre, del cual solo utiliza dos hilos: uno para transmisión y otro para recepción. Durante mucho tiempo se ha utilizado para enviar mensajes de voz, y a finales del siglo XX se adaptaron para el envío de datos desde los ordenadores. Como los ordenadores trabajan con señales digitales, hubo que convertir las señales digitales en analógicas mediante el módem.

El módem es un modulador/demodulador de señales. Este dispositivo convierte la señal digital del ordenador en analógica hacia la RTC (modulación) y también realiza la operación inversa (demodulación), al pasar la señal analógica de la RTC a digital para enviarla al ordenador.

Estas tecnologías funcionan con cables de par trenzado de 4 hilos con clavijas RJ11.

La red digital de servicios integrados (RDSI), de la misma forma que la anterior, funciona sobre un par trenzado de cobre, aunque de manera digital. Integra los servicios disponibles en el momento de su aparición que eran voz y datos, con señales digitales.

Existen dos tipos de RDSI:

• De banda ancha: Puede dar servicios avanzados de TV y videoconferencias. Se utiliza con velocidades superiores a 2 Mbps.
• De banda estrecha: Empleado en conexiones conmutadas de 64 Kbps, aunque se prevé que se aumente hasta los 2 Mbps. En este caso, se recurre a dos interfaces de abonado: Acceso básico y Acceso primario.

A diferencia de la tecnología RTC/RTB, la RDSI utiliza cables de par trenzado de 8 hilos con clavijas RJ45.

Ahora vas a ver una de las tecnologías más populares de acceso a internet, conocido por las siglas xDSL (siglas en inglés de Digital Subscriber Line, significa líneas de abonado digital), engloba la conocida ADSL (siglas en inglés de Asymmetric Digital Subscriber Line, significa línea de abonado digital asimétrica), así como otras más especializadas. Estas tecnologías utilizan el bucle de abonado actual de par trenzado de cobre de las tecnologías RTC o RDSI, sobre las que trabajan para convertirlo en una línea digital de alta velocidad de banda ancha, aprovechando la parte que no utilizan debido a que el canal de voz tan solo usa una mínima parte.

El bucle local o de abonado es el último tramo o la última milla de conexión entre el nodo cliente y la central de comunicaciones de la que depende. Suele ser el tramo de cable más caro y más importante. Se regula como dispone la ley de la Oferta de Bucle de Abonado (OBA).

Este grupo de tecnologías pueden ser:

• Simétricas: se usan para empresas que tienen mucho tráfico de subida a Internet.
• Asimétricas: para clientes finales que descargan mucho más que lo que suben a Internet.

Tienes que tener en cuenta que la calidad de la transmisión con cable de cobre empeora con la distancia, por lo tanto, la distancia a la central telefónica influye en la calidad de las mismas.

Existen 4 tipos de tecnologías xDSL:

• VDSL, acrónimo de siglas de Very high bit-rate Digital Subscriber Line (DSL de muy alta tasa de transferencia).
• HDSL, acrónimo de High bit rate Digital Subscriber Line (Línea de abonado digital de alta velocidad binaria.) El módem habilita el establecimiento telefónico de un circuito digital unidireccional.
• ADSL, acrónimo de Asymmetric Digital Subscriber Line (“Línea de Abonado Digital Asimétrica”).
• SDSL, acrónimo de Symmetric Digital Subscriber Line. (“Línea de Abonado Digital simétrica”).

La más adecuada para el uso domestico de acceso a Internet es la ADSL. Una vez comprobada su viabilidad, ha tenido un gran éxito. Al cabo de poco tiempo se creó una segunda versión, denominada ADSL2, que no llegó a comercializarse a causa de la inmediata puesta en marcha de la actual ADSL2+.

Ahora vas a ver una tecnología de la que se habló mucho en su día, pero que no ha llegado a cuajar. Power Line Communications, también conocido por sus siglas PLC, es un término inglés que puede traducirse por comunicaciones mediante cable eléctrico y que se refiere a diferentes tecnologías que utilizan las líneas de energía eléctrica convencionales para transmitir señales de radio para propósitos de comunicación. La tecnología PLC aprovecha la red eléctrica para convertirla en una línea digital de alta velocidad de transmisión de datos, permitiendo, entre otras cosas, el acceso a Internet mediante banda ancha. Aunque experimentó un cierto auge en los primeros años del siglo XXI, el coste que supone la inversión en infraestructura para las empresas eléctricas y su lenta implantación la han dejado en un segundo plano. Sin embargo, hay ocasiones en que resulta práctica, por ejemplo para extender la red de internet dentro de un domicilio en el que las redes wifi no tienen suficiente alcance o hay demasiadas interferencias radioeléctricas.

La Banda ancha sobre líneas eléctricas (abreviada BPL por su denominación en inglés Broadband over Power Lines) representa el uso de tecnologías PLC que proporcionan acceso de banda ancha a Internet a través de líneas de energía ordinarias. En este caso, una computadora (o cualquier otro dispositivo) necesitaría solo conectarse a un módem BPL enchufado en cualquier toma de energía en una edificación equipada para tener acceso de alta velocidad a Internet. Esta tecnología no ha llegado a implantarse.

La tecnología de telecomunicaciones FTTH (del inglés Fiber To The Home), también conocida como fibra hasta el hogar, enmarcada dentro de las tecnologías FTTx (donde x indica el alcance conseguido del tendido) se basa en la utilización de cables de fibra óptica y sistemas de distribución ópticos adaptados a esta tecnología para la distribución de servicios avanzados a los hogares y negocios de los abonados, como el Triple Play:

• Telefonía.
• Internet de banda ancha.
• Televisión.

La implantación de esta tecnología ya está muy avanzada en todo el mundo, y en España es la principal forma de acceso a internet, con una cobertura superior al 90% del territorio.

Te toca seguir con las tecnologías CATV y VSAT.

CATV (siglas en inglés de Community Antenna Television, significa Televisión por Cable), es un sistema de servicios de televisión prestado a los consumidores a través de señales de radiofrecuencia que se transmiten a los televisores fijos a través de fibras ópticas o cables coaxiales.

Este servicio te ofrece transferencia de imágenes de televisión hasta tu domicilio si estás abonado. Existen redes de televisión por cable desde los años 40. La primera red de cable fue montada en EEUU y han evolucionado mucho desde entonces.

VSAT (siglas de Terminal de Apertura Muy Pequeña, del inglés, Very Small Aperture Terminal). Designa un tipo de antena para comunicación de datos vía satélite y por extensión a las redes que se sirven de ellas, normalmente para intercambio de información punto-punto, punto-multipunto (broadcasting) o interactiva.

Los satélites usados para la transmisión pueden clasificarse en dos grupos:

• Satélites banda-C: más antiguos, utilizan frecuencias de 3,7 a 4,2 GHz y de 5,9 a 6,4 GHz que requieren de antenas parabólicas grandes.
• Satélites banda-K: más modernos, utilizan frecuencias de 11 a 12 GHz, habituales en el acceso doméstico y requieren antenas parabólicas pequeñas.

Esta tecnología puede usarse en caso de que no sea posible aprovechar las otras a causa de la distancia entre las viviendas y las centrales o las antenas. También se usa para embarcaciones.

Existen dos tipos de módem para la conexión por satélite en función de la conexión a Internet contratada:

• Los módem unidireccionales: solo pueden recibir datos, si se requiere enviar y recibir datos desde internet tendrás que disponer de una conexión terrestre.
• Los módem bidireccionales: reciben y envían datos. Resultan más caros.

¿Y cómo te conectas a Internet en los lugares donde no llegan los cables? Aquí tienes dos respuestas.

El Servicio de Distribución Multipunto Multicanal o MMDS (del inglés Multichannel Multipoint Distribution Service) es un término que identifica a una tecnología inalámbrica de telecomunicaciones, usada para el establecimiento de una red de banda ancha de uso general o, más comúnmente, como método alternativo de recepción de programación de televisión por cable.

Se utiliza generalmente en áreas rurales poco pobladas, en donde instalar redes de cable no es económicamente viable. Un ejemplo es el del sistema TRAC que se utilizó en España para el acceso telefónico en zonas rurales.

Las redes inalámbricas de área metropolitana (WMAN) también se conocen como bucle local inalámbrico (WLL, Wireless Local Loop). Las WMAN se basan en el estándar IEEE 802.16. Los bucles locales inalámbricos ofrecen una velocidad total efectiva de 1 a 10 Mbps, con un alcance de 4 a 10 kilómetros, algo muy útil para compañías de telecomunicaciones.

La mejor red inalámbrica de área metropolitana es WiMAX (Worldwide Interoperability for Microwave Access, es decir, Interoperabilidad Mundial para Acceso con Microondas), que puede alcanzar una velocidad aproximada de 70 Mbps en un radio de varios kilómetros. Es una tecnología dentro de las conocidas como tecnologías de última milla, también conocidas como bucle local que permite la recepción de datos por microondas y retransmisión por ondas de radio. El protocolo que caracteriza esta tecnología es el IEEE 802.16. Una de sus ventajas es dar servicios de banda ancha en zonas donde el despliegue de cable o fibra por la baja densidad de población presenta unos costos por usuario muy elevados (zonas rurales).

Esta tecnología sigue siendo usada en la actualidad en núcleos rurales, aunque algunas empresas han descontinuado su despliegue.

Seguramente tienes teléfono móvil y navegas con él por Internet. Vas a ver cómo ha ido evolucionando esta tecnología hasta nuestros días.

La telefonía móvil usa ondas de radio para poder ejecutar las operaciones desde el móvil a la base, ya sea llamar, mandar un mensaje de texto, etc., y esto es producto de lo que sucedió hace algunas décadas. La comunicación inalámbrica tiene sus raíces en la invención de la radio por Nikola Tesla en los años 1880, aunque formalmente presentado en 1894 por un joven italiano llamado Guglielmo Marconi. La tecnología móvil no es una tecnología en sí misma, sino el resultado de la evolución de sistemas en la que pueden distinguirse cuatro generaciones. Desde la primera, de funcionamiento analógico hasta la cuarta.

• La primer generación 1G: Esta generación hizo su aparición en 1979, se caracterizó por ser analógica y estrictamente para voz.
• La segunda generación 2G: A diferencia de la primera se caracterizó por ser digital. El sistema 2G utiliza protocolos de codificación más sofisticados y son los sistemas de telefonía móvil usados en la actualidad. Las tecnologías predominantes son: GSM (Global System for Mobile Communications). Los protocolos empleados en los sistemas 2G soportan velocidades de información más altas para voz pero limitados en comunicaciones de datos.

La generación 2.5G: Muchos de los proveedores de servicios de telecomunicaciones, se cambiarán a las redes 2.5G antes de entrar masivamente a 3G. La tecnología 2.5G es más rápida y más económica para actualizar a 3G.

• La tercer generación 3G: Esta tecnología surgió en 1998 con el propósito de crear un estándar de telefonía móvil para el mundo. El proyecto auspiciado por la Unión Europea, ha contado con el respaldo de la Unión Internacional de Telecomunicaciones que le ha asignado la banda de frecuencia de 2 GHz. Entre las tecnologías contendientes de la tercera generación se encuentran UMTS (Universal Mobile Telephone Service).
• La cuarta generación 4G: La cuarta generación es un proyecto que está despegando actualmente. Está basada en la tecnología LTE (Long Term Evolution), que permitirán velocidades de más de 100 megas.
• La quinta generación 5G: en pleno desarrollo en la actualidad. Ya se han implementado algunas redes comerciales, pero su expansión está empezando a hacerse realidad en estos momentos. Pronto permitirá navegar en dispositivos móviles a una velocidad de hasta 1,2 Gbps.

Como ya sabes, la estructura básica de cualquier empresa, son las redes de área local (LAN), ante la necesidad de comunicar puntos remotos, y lo costoso que significaría tener una WAN (Wide Area Network, significa rede de área amplía) ya que se tendrían que tirar líneas entre cada sucursal de una empresa “X”, se pensó en la forma de utilizar redes públicas para comunicar estas sucursales.

Esto se consigue mediante el uso de Redes Privadas Virtuales. Para poder habilitar redes privadas, que comuniquen de forma segura cada uno de los nodos de una red pública hay una necesidad de aplicar algún sistema de seguridad, debido a que los datos de la empresa son valiosos, y no deben ser interceptados.

Con una Red Privada Virtual (VPN, del inglés Virtual Private Network), los usuarios remotos, que pertenecen a una red privada, pueden comunicarse de forma libre y segura entre redes remotas a través de redes públicas.

Una VPN normalmente usa la red Internet como transporte para establecer enlaces seguros, extendiendo las comunicaciones a oficinas aisladas. Significativamente, decrece el coste de las comunicaciones porque el acceso a Internet es generalmente local y mucho más barato que las conexiones mediante Acceso Remoto a Servidores.

Una Red Privada Virtual transporta datos de manera segura por Internet. A través de un túnel establecido entre dos puntos que negocian un esquema de encriptación y autentificación para el transporte. Una VPN te permite el acceso remoto a servicios de red de forma transparente y segura, con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con cortafuegos y routers para lograr esa encriptación y autentificación.

Para terminar con este punto, te vamos hablar de los protocolos de túnel, que son en los que se basan las redes privadas virtuales. Estos protocolos cifran los datos que se transmiten desde un lado de la VPN hacia otro.

El protocolo de túnel es el encargado de garantizar que los datos estén cifrados desde el momento que entran en la VPN hasta que salen de ella y, por lo tanto, no son comprensibles para cualquiera que no se encuentre en uno de los extremos. En una VPN hay un equipo que cifra y descifra los datos del lado del usuario y otro del lado del servidor VPN que es el elemento que descifra los datos del lado de la organización.

Así, cuando un usuario necesita acceder a la red privada virtual, su solicitud se transmite sin cifrar al equipo que realiza el cifrado que se conecta con la red remota mediante una red pública como es Internet, para transmitir la información cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y éste envía la respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y los envía al usuario que ha realizado la petición.

La mayoría de los routers tienen la posibilidad de actuar como clientes/servidores de VPN.

Los principales protocolos de túnel son:

• PPTP (del inglés Point to Point Tunneling Protocol, traducido es Protocolo de Túnel Punto a Punto) es un protocolo de capa 2 desarrollado por el conjunto de empresas: Microsoft, 3Com, Ascend, US Robotics y ECI Telematics.
• L2F (del inglés Layer Two Forwarding, traducido es Reenvío de Capa dos) se creó en las primeras etapas del desarrollo de las redes privadas virtuales. Como PPTP, L2F fue diseñado por Cisco para establecer túneles de tráfico desde usuarios remotos hasta sus sedes corporativas.
• L2TP (del inglés Layer Two Tunneling Protocol, traducido es Protocolo de Túnel de Capa dos) es un protocolo que incluye las características de PPTP y L2F. Surge como resultado del trabajo del IETF (RFC 2661).
• IPSec (del inglés Internet Protocol security, traducido Protocolo Seguro de Internet). Es un protocolo definido por IETF que se usa para transferir datos de manera segura en la capa de red (capa tres).

Seguro que te suena esto del cortafuegos, después de leer este punto vas a resolver las dudas que tengas sobre esta herramienta. Si es que tienes alguna duda.

Un cortafuegos o firewall es un sistema que previene el uso y el acceso desautorizado a tu ordenador. Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las redes privadas conectadas con Internet, especialmente intranets. Todos los mensajes que entran o salen de la Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad especificados.

Es importante recordar que un cortafuegos no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección adicional para tu ordenador o red.

Los cortafuegos de hardware proporcionan una fuerte protección contra la mayoría de las formas de ataque que vienen del mundo exterior y se pueden comprar como producto independiente o en routers de banda ancha. Desafortunadamente, luchando contra virus, gusanos y troyanos, un cortafuegos de hardware puede ser menos eficaz que un cortafuegos de software, pues podría no detectar gusanos en correos electrónicos.

Para usuarios particulares, el más utilizado es un cortafuegos de software. Un buen cortafuegos de software protegerá tu ordenador contra los intentos de controlar o acceder a tu ordenador desde el exterior, y generalmente proporciona protección adicional contra los troyanos o gusanos de E-mail más comunes. La desventaja de los cortafuegos de software es que protegen solamente al ordenador en el que están instalados y no protegen una red.

La política general de diseño del tráfico que se permite pasar suele ser restrictiva: no deja pasar ningún tipo de tráfico, salvo el que esté explícitamente permitido.

Tengo que decirte que aunque no hay una tipología oficial, normalmente se habla de 4 tipos de cortafuegos:

• Los filtros de paquetes, que suelen ser (aunque no siempre) encaminadores, que filtran el tráfico basándose en combinaciones de diferentes campos de las cabecera de cada mensaje.
• Gateways de aplicaciones, también llamados servidores proxy, que suelen ser equipos intermedios, que aceptan peticiones entrantes de servicios de red, y realizan las llamadas adecuadas, a favor de cada cliente del servicio correspondiente.
• Cortafuegos de tipo stateful inspection, o de filtrado dinámico de paquetes, que son capaces de mantener el estado de cada sesión a través del cortafuegos y cambiar las reglas de filtrado dinámicamente, conforme a lo definido en la política de seguridad.
• Cortafuegos híbridos, que suelen tener unas propiedades que son el resultado de combinar las propiedades de los citados previamente.

La técnica de filtrado de paquetes permite examinar las direcciones IP así como los puertos de E/S de origen y destino de cada paquete. Después, mediante un conjunto de reglas, los acepta o rechaza. Las reglas se utilizan para cerrar el tráfico de paqutes hacia determinados puertos y deja abiertos, única y exclusivamente, los que necesitan los servicios activados. Por ejemplo, si se desea que nadie descargue nada de la red interna mediante el protocolo FTP, se cerrará el puerto 20.

No obstante, existen paquetes IP, que parecen correctos, cuya cabecera no contiene errores, pero contienen código malicioso, diseñado para aprovechar fallos de seguridad en los servicios, como ocurre con los virus informáticos. La construcción de cortafuegos seguros depende de la experiencia acumulada, esto requiere un buen dominio de las tecnologías utilizadas. Se pueden plantear diferentes tipos de construcciones:

• Red perimetral: es el modelo más seguro, costoso y completo. Requiere de una gran experiencia para configurarla, ya que puedes intercalar tantos cortafuegos en cascada como la empresa requiera. Dispone al menos de dos equipos que encierran la DMZ.
• DMZ expuesta: no dedica recursos a proteger los servidores públicos, solo se centra en la seguridad de la intranet.
• DMZ protegida o cortafuegos compartido: el modelo más básico y barato, pero menos seguro. La DMZ y la intranet tienen el mismo nivel de seguridad. Es usado por la mayoría de las PYME que no disponen de técnicas o técnicos especialistas en sus plantillas.

En la mayoría de los sistemas Linux se utiliza el software “iptables” como firewall. Para aprender a manejar el firewall, se puede ver una guía básica en el siguiente enlace:

https://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html

Este artículo presenta un tutorial más completo, con diferentes reglas y configuraciones:

https://www.linuxito.com/seguridad/793-tutorial-basico-de-iptables-en-linux

También existe la herramienta “ufw”, que permite manejar la configuración para iptables de una manera más sencilla.

El software de cortafuegos se puede gestionar desde la herramienta Webmin, que hemos visto en otros capítulos de este módulo.
Para saber la versión de iptables, podemos teclear:

$ iptables -V
iptables v1.8.3 (legacy)

La administración de Webmin se realiza mediante el navegador web, accediendo a la URL

https://localhost:10000

Para acceder al menú de iptables, pulsamos en el menú de la izquierda, opción “Networking”, apartado “Linux Firewall”, y veremos una pantalla como la siguiente:

En esta pantalla podemos añadir y modificar reglas, resetear la configuración, etc…, tanto para IPv4 como para IPv6.

Es posible que alguna vez entrando en el apartado de conexiones de tu navegar, hayas visto una opción en la que pide la dirección de un servidor Proxy. Pues bien, vas a ver para qué sirve esto.

El principio operativo básico de un servidor proxy es bastante sencillo: se trata de un servidor que actúa como "representante" de una aplicación efectuando solicitudes en Internet en su lugar. De esta manera, cuando un usuario se conecta a Internet con una aplicación del cliente configurada para utilizar un servidor proxy, la aplicación primero se conectará con el servidor proxy y le dará la solicitud. El servidor proxy se conecta entonces al servidor al que la aplicación del cliente desea conectarse y le envía la solicitud. Después, el servidor le envía la respuesta al proxy, el cual a su vez la envía a la aplicación del cliente.

La mayoría de los proxy tienen una caché, es decir, la capacidad de guardar en memoria (“en caché”) las páginas que los usuarios de la red de área local, que visitan comúnmente para poder proporcionarlas lo más rápido posible. De hecho, el término "caché" se utiliza con frecuencia en informática para referirse al espacio de almacenamiento temporal de datos (a veces también denominado "búfer").

Un servidor proxy con la capacidad de tener información en caché generalmente se denomina servidor "proxy-caché".

Esta característica, implementada en algunos servidores proxy, se utiliza para disminuir tanto el uso de ancho de banda en Internet como el tiempo de acceso a los documentos de los usuarios.
Sin embargo, para lograr esto, el proxy debe comparar los datos que almacena en la memoria caché con los datos remotos de manera regular para garantizar que los datos en caché sean válidos.

En primer lugar, tendrás que tener configurados los ordenadores clientes para acceder a Internet a través de un servidor Proxy-caché. El funcionamiento es el siguiente:

• El navegador Web (cliente) solicita una página HTML a un servidor Web pero en realidad lo que está haciendo es acceder al Proxy-caché.
• El Proxy-caché recibe la petición y busca en la caché (disco duro del Proxy) la página solicitada.
• Si es la primera vez que se accede a la página Web, el Proxy-caché no la tiene almacenada y reenvía la petición al servidor Web el cual se la proporciona. El Proxy la guarda en la caché y se la envía al cliente que la había solicitado.
• Si el Proxy-caché la tiene almacenada, solicita al servidor Web que le envíe la cabecera de la página. En la cabecera tiene: fecha de creación y fecha de modificación. El Proxy-caché la compara con la copia de la página HTML almacenada en la caché. Si la página no ha sido modificada se la envía al navegador del cliente. Si por el contrario, la página ha sido modificada se la envía el servidor Web.

Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crear registros de actividad (logs) para guardar sistemáticamente las peticiones de los usuarios cuando solicitan conexiones a Internet.

Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del cliente como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del cliente con una lista de solicitudes autorizadas se denomina lista blanca; y el filtrado que se realiza con una lista de sitios prohibidos se denomina lista negra. Finalmente, el análisis de las respuestas del servidor que cumplen con una lista de criterios (como palabras clave) se denomina filtrado de contenido.

Como el proxy es una herramienta intermediaria indispensable para los usuarios de una red interna que quieren acceder a recursos externos, a veces se le puede utilizar para autenticar usuarios, es decir, pedirles que se identifiquen con un nombre de usuario y una contraseña. También es fácil otorgarles acceso a recursos externos sólo a las personas autorizadas y registrar cada uso del recurso externo en archivos de registro de los accesos identificados.

Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas relacionados con las libertades individuales y los derechos personales.

Sin duda, la herramienta proxy más utilizada es Squid, es un software de uso libre y gratuito, disponible para diversas plataformas que incluye a Windows y Linux.

Squid es un Servidor Intermediario (Proxy) de alto desempeño, que puede funcionar como Servidor Intermediario (Proxy) y caché de contenido de red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, caché transparente, WWCP, aceleración HTTP, caché de consultas DNS, filtración de contenido y control de acceso por IP y por usuario.

Consiste básicamente en un programa principal como servidor, un programa para búsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticación, algunas herramientas para administración y herramientas para clientes.

En los sistemas Linux no se instala por defecto, pero se encuentra en los repositorios de Ubuntu, por lo que puede ser instalado a través de Synaptic, Aptitude o apt-get.

El archivo de configuración se encuentra en /etc/squid/ y se llama squid.conf. Si lo observas, es un archivo bastante grande ya que Squid es un servidor proxy bastante completo.

Una configuración básica debe incluir, al menos, los parámetros que se indican a continuación:

• http-port: Establece el puerto de escucha para squid (por defecto puerto 3128).
• visible_hostname: nombre del equipo.
• acl: a cada ACL o lista de control de acceso se le hace corresponder una regla de control de acceso (http_access) que es la que permite o deniega las conexiones definidas en cada ACL.

Parámetro cache_dir: ¿Cuanto deseas almacenar de Internet en el disco duro?

Este parámetro se utiliza para establecer el tamaño de la caché en el disco duro para Squid. Para entender esto un poco mejor, responde a esta pregunta: ¿Cuanto deseas almacenar de Internet en el disco duro? De modo predefinido Squid utilizará un caché de 100 MB, de modo que encontrará la siguiente línea:

cache_dir ufs /var/spool/squid 100 16 256

Puedes incrementar el tamaño de la caché hasta donde lo desee el administrador. Cuanto más grande sea la caché, más objetos se almacenarán en ésta y por lo tanto se utilizará menos el ancho de banda. La siguiente línea establece un caché de 700 MB:

cache_dir ufs /var/spool/squid 700 16 256

Los números 16 y 256 significan que el directorio del caché contendrá 16 directorios subordinados con 256 niveles cada uno. No modifiques estos números, no tienes necesidad de hacerlo.

Es muy importante considerar que si se especifica un determinado tamaño de caché y éste excede al espacio real disponible en el disco duro, Squid se bloqueará inevitablemente. Tienes que tener cautela con el tamaño de caché especificado.

Para que entiendas un poco mejor como se configura Squid, a continuación vas a ver un ejemplo de configuración muy frecuente, en el que vas a denegar el acceso a una dirección de internet.

Ejemplo: Denegar la dirección www.youtube.com a todas las máquinas.

Abres y editas el fichero de configuración de squid.conf:

#Parámetros obligatorios:
visible_hostname debian
http_port 3128
cache_mem 64 MB
cache_dir ufs /var/spool/squid 700 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
#Listas de control de acceso:
acl all src 0.0.0.0/0.0.0.0
acl denegado dstdomain www.youtube.com
acl localhost src 127.0.0.1
#Control de acceso:
http_access deny denegado !localhost
http_access allow all
error_directory /usr/share/squid/errors/Spanish

En esta configuración, puedes observar:

1. En el apartado de parámetros obligatorios: el puerto de escucha, el nombre del servidor (si no sabes cuál es el nombre de tu máquina, vete a un terminal y teclea "hostname"), el tamaño de la memoria cache y las rutas.
2. En el segundo apartado se encuentran las listas de control de acceso, en las cuales se asigna el rango de IP, asignación de dominio, etc.
3. En el tercer apartado defines el control de acceso. Una vez asignadas las listas de control con http_access deny se deniegan ya sea IP ó dominios, y con http_access allow, se permite lo mismo. También por ahí aparece una línea error_directory la cual muestra los mensajes de advertencia en idioma español.

Para Resetear squid:

# /etc/init.d/squid restart

Si no aparece ningún mensaje de error entonces tu proxy debe de funcionar de acuerdo a lo establecido. Para poder probarlo vete a un navegador de una máquina que esté conectada en la misma LAN, mira en las propiedades y habilita el uso de Proxy. En la IP, tienes que poner la IP de la máquina que tiene el squid corriendo.

Cuando hagas pruebas te bloqueará www.youtube.com, pero si pones youtube.com "sí" te dejará entrar, para eso se utiliza otra lista de control de acceso:

acl denegado url_regex “/home/tuusuario/denegados”

Estamos a punto de finalizar este módulo de Servicios de Red. Deseamos que todos estos contenidos te hayan sido de utilidad y te animamos a que sigas profundizando en estos servicios.

Aparte de las aplicaciones que hemos tenido ocasión de utilizar a lo largo de este módulo, existen diferentes soluciones comerciales y de código abierto para llevar a cabo la implementación y configuración de diferentes servicios en red. En un entorno cambiante, en el que no paran de surgir nuevas soluciones tecnológicas, debes acostumbrarte a estar siempre dispuesto a aprender más y conocer nuevas aplicaciones.

Volviendo al capítulo que nos ocupa, simplemente decir que también existen versiones de cortafuegos y proxy-caché disponibles para Windows, como el propio software squid, que hemos visto en el capítulo anterior.