ADSL: Análisis y repercusiones del comportamiento del Proxy-caché de Telefónica.
La adopción de proxys-cachés no es novedosa en la Red, estos dispositivos están siendo utilizados por distintas operadoras e Isps públicos y privados,(ver cuadro), junto con el hecho de que no existe ninguna reglamentación que obligue a las operadoras a cumplir algún parametro de calidad para la prestación de servicios de acceso a Internet lo que supone una falta de criterios aplicables a estos casos por parte de la Administracción, esta Asociación ha solicitado formalmente al Ministerio información sobre sà ha abierto un expediente sobre este proxy y de todos aquellos que están operativos en el caso de que se hubiera abierto alguno, lo que podrÃa ayudarnos a valorar con referentes anteriores y que a fecha de hoy, no hemos tenido contestación alguna.
Disponibilidad de proxies por parte de operadores nacionales e internacionales
Proxy transparente: Es una arquitectura tal que el cliente no tiene que configurar ninguna de sus aplicaciones para que su tráfico sea atendido por el proxy.
Proxy explÃcito: Es una arquitectura en la que el cliente tiene que configurar sus aplicaciones de forma que estas utilicen el proxy.
Proxy obligatorio: Es una configuración de proxy explÃcito pero en la que el usuario si no configura correctamente su aplicación para el uso de proxy, no podrá conectar con Internet.
Esta dejadez ministerial provoca alarma social y confusión. De hecho el pasado 27 de marzo asistimos a un confuso, indocumentado e inapropiado debate parlamentario que Psoe y Pp protagonizaron sobre la propuesta no de Ley presentada a instancia de los socialistas en la que se solicitó el establecimiento de medidas dirigidas a garantizar ¿la privacidad? de las navegaciones por Internet ante el uso de mecanismos como el servidor 'proxy-caché' para los servicios de ADSL, en la que se perdÃo una vez más una magnifica oportunidad para llegar a un consenso parlamentario para exigir la posibilidad de elección por parte de los internautas de utilizar ese tipo de soportes cache.
Opción que entendemos idónea, porque se preserva la libertad de elección del usuario ante una prática común a varias operadoras, incluso la necesidad de informar por parte de estas si su servicio de acceso pasa por un proxy-caché antes de la contratación, además también se atiende a los clientes que comparten el criterio de que con la utilización de estos dispositivos agilizan su navegación por los espacios web.
Ante esa caótica situación surge la indefensión a la que nos aboca la Administracción, que produce una lógica confusión provocada en el debate sobre los supuestos beneficios e inconvenientes de la utilización de proxy-cache con la aparición de problemas muy concretos producidos por su configuración, la Asociación de Internautas (AI) mantuvo una reunión con representantes de Telefónica, en la sede de esta empresa, en la Gran VÃa madrileña, para hacerle llegar las primeras quejas recibidas en relación al proxy-caché transparente instalado recientemente en las redes de la operadora.
Trasladamos a Telefónica nuestras dudas y todas las quejas recibidas sobre este particular para su resolución, en esa reunión se llegó al acuerdo de constituir un Grupo de trabajo que hiciera un seguimiento sobre la repercusión y el grado de satisfación de los usuarios con la utilización del proxy-caché.
Además la Asociación de Internautas implementó en su página web un test para que los internautas puedan saber si tienes un proxy detrás, que ha obtenido más de 55.000 lecturas, y publicó diversa información especializada sobre la materia, el artÃculo el lio del proxy-caché ha sobrepasado las 12.000 lecturas, y pusó a disposición un formulario de reclamaciones , con 11.000 lecturas, que han cumplimentado 700 internautas afectados con la siguiente distribución de reclamaciones .
Algunas de estas reclamaciones han obtenido respuesta individualizada por la especifidad del problema, aunque hay incidencias pendientes, a continuación relacionamos las respuestas que Telefónica nos ha dado sobre las más comunes.
Respuestas a las incidencias emitidas a Telefónica:
1. Actualización de páginas
El servidor de proxy-caché almacena los contenidos visitados para aumentar la rapidez de su presentación en una nueva visita.
Habitualmente, los proveedores de contenido incluyen en sus páginas datos que permiten al proxy-caché averiguar de la forma más óptima la validez o caducidad de un contenido, configurando los servidores Web para que envÃen - -en la respuesta HTTP- los criterios de caducidad de dicho contenido e incluso el comportamiento que debe seguir el proxy-caché ante la recepción de dicho contenido.
En caso de que los proveedores no utilicen estos mecanismos en sus contenidos, el usuario puede solicitar la comprobación de la validez de contenidos a través de distintos mecanismos. En concreto, la Red IP de Telefónica de España permite utilizar los mecanismos de comprobación soportados por los navegadores estándar:
Microsoft Internet Explorer. Procedimiento:
Pulsar el botón "Refresh". Esta acción solicita al proxy-caché que compruebe si el contenido ha caducado. Pulsar la tecla "CTRL" y manteniéndola pulsada, usar el botón "Reload" del navegador. Internet Explorer solicitará al proxy-caché que se fuerce el refresco del contenido.
Netscape Navigator:
Procedimiento:
Pulsar el botón "Reload". Esta acción solicita al proxy-caché que compruebe si el contenido ha caducado. Pulsar la tecla "SHIFT" y manteniéndola pulsada, usar el botón "Reload" del navegador. El navegador solicitará al proxy-caché que se fuerce el refresco del contenido.
En el caso de que el navegador utilizado sea otro diferente, se debe comprobar con el fabricante del mismo la posibilidad de realizar acciones equivalentes a las anteriores desde estos navegadores alternativos.
Nota Importante:
En algunas circunstancias de navegación con frames anidados, el navegador no refresca cada uno de los frames visualizados, aunque sà lo hace con los contenidos por defecto dentro del frame más externo.
Los mecanismos antes descritos funcionan gracias a la inclusión en el protocolo estándar HTTP de cabeceras de control de cachés (Cache-Control) en las peticiones de contenido, que permiten esta comunicación relativa a contenidos posiblemente caducados. Para más información, consultar el documento de definición del protocolo HTTP 1.1 (RFC 2616).
2. Uso de resolución de nombres en local.
El cliente realiza la resolución de nombres de forma privada. La resolución de dominios a usar en las peticiones HTTP por puerto 80 deben de ser dominios registrados.
3. Incidencias relativas a cortes en la descarga de páginas.
Existen servidores web en los que algunas peticiones de páginas tienen mucha duración (debido entre otras causas a la posible saturación del propio servidor, ejecución de aplicaciones donde la respuesta tarda?etc.etc), pudiendo tardar hasta 2 minutos en empezar a devolver los contenidos al cliente.
Como consecuencia de la citada duración de tiempo excesivo, la caché temporiza y devuelve al cliente el mensaje de que es imposible satisfacer su petición.
Esto se ha solucionado realizando el tunning de los proxy-cache y aumentando el valor de temporización a 3 minutos. Con esta modificación tales problemas han quedado resueltos.
4. Incidencias en autenticación con NTLM
El sistema de autenticación NTLM de Microsoft no funciona en un entorno de proxy-caché. Este hecho es conocido por Microsoft y, por tanto, sólo recomienda este tipo de autenticación en entornos con conexión punto a punto.
En el entorno de proxy-caché de Telefónica de España, Microsoft recomienda el uso de otros mecanismos de autenticación alternativos a NTLM.
En particular existen casos reportados en Microsoft para las siguientes aplicaciones:
Microsoft Exchange OWA:
http://support.microsoft.com/default.aspx?scid=kb;en-us;198509 Administración de un servidor web autentificado por NTLM: http://support.microsoft.com/default.aspx?scid=kb;en-us;183730
Otros enlaces y recomendaciones sobre métodos de autenticación en diferentes entornos de red aparecen publicados en las siguientes páginas de Microsoft:
http://officeupdate.microsoft.com/frontpage/WPP/serk/scwin_2.htm http://support.microsoft.com/support/kb/articles/Q264/9/21.ASP
5. Autenticación IP Origen
No es posible realizar este tipo de autenticación en la Red.
La autenticación por IP origen es algo poco fiable en Internet debido al uso extensivo de IPs dinámicas, proxies, firewalls, etc.... Alternativas como el uso de HTTPS ofrecen una garantÃa mayor para la seguridad de los servidores web y, por tanto, de la confianza de los usuarios en los mismos.
6. Microcortes en la recepción de streams de audio de WinAMP
Se ha detectado este problema en el SW que implementa la función de caché.
Para resolver esta situación se ha generado una nueva versión de SW que ha sido probada con éxito en los proxy-cache de determinado centro de acceso. Asà mismo, se ha comprobado que el parche resuelve los microcortes en la recepción de streams de audio de WinAMP que se distribuyen utilizando el protocolo HTTP (puerto 80).
Actualmente esta nueva versión está siendo implementada en todos los proxy-cache.
7. Incidencia denunciada desde BarraPunto:
"al ir a visitar esta página me encuentro que me han 'baneado'. Bueno. mejor dicho, a mà no, a la IP de mi proxy de salida..."
Literal de la incidencia:
"Pues sÃ, señores, al fin una muestra de la seguridad prometida por el famoso Proxy-Cache de Timofónica. Según la operadora, el hecho de salir a través de un proxy harÃa que la navegación fuera más segura, al no mostrar nuestra IP. Pero se olvidaron de decir que el hecho de salir con una única IP para todos podrÃa ocasionar perjuicios como el que me he encontrado al tratar de visitar la página de http://slashdot.org/. Cual ha sido mi sorpresa hoy cuando al ir a visitar esta página me encuentro que me han 'baneado'. Bueno. mejor dicho, a mà no, a la IP de mi proxy de salida..."
Respuesta:
El proveedor de destino tenÃa filtrada la IP 80.58.54.107 de la caché de Burgos Gamonal.
Es responsabilidad suya la polÃtica de filtrado de direcciones. Por consiguiente, Telefónica no puede mejorar la citada situación.
8. Incidencias en la Web de "www.entradas.com.
Este sistema utiliza un reparto de carga interno para atender peticiones que se basa en la IP de origen del cliente..
Como solución temporal se le ha aplicado un work-around.
Se ha proporcionado asesoramiento en cuanto a las posibles alternativas a usar para un buen funcionamiento de su sistema de balanceo que mejore el funcionalidad del sistema..
Los problemas de conexión con www.uno-e.com eran debidos a que el propio servidor estaba filtrando las direcciones de los proxy-cache, se advirtió a los administradores de esta circunstancia y eliminaron dicho filtrado.
9.Otro tipo de incidencias al margen de los Proxy-Cache.
Actualmente los protocolos que pasan por caché son
HTTP (web) puerto 80
WMT (Streaming de Windows Media) puerto 1755 (UDP y TCP)
Los protocolos que utilizan las aplicaciones de Real Networks, entre ellas la del cliente, RealOne Player, no están siendo cacheados..
Queremos constatar estos datos con la participación directa de los clientes de este servicio, y a tal fÃn, responsables técnicos de Telefónica han aceptado participar en un chat en nuestro sitio web para que atiendan las preguntas, dudas, sugerencias, reclamaciones, observaciones sobre el comportamiento del proxy-caché de este encuentro podemos ampliar esta información y ayudará a conformar más criterio.
El chat se ha fijado en principio para el dÃa 24 de abril de 17 a 19 horas. Seguiremos informando.
Asociación de Internautas
Formulario de notificación de problemas Proxy-Caché.
Noticias relacionadas:
Creación de un Grupo de trabajo de seguimiento del Proxy-caché de Telefónica.
. La AI y Telefónica crean un grupo de trabajo para analizar el funcionamiento del proxy-caché en los usuarios de ADSL.
Quejas de los internautas ante la adopción del ‘proxy’ por parte de Telefónica.
ADSL: ¿Quieres saber si estas detrás de un PROXY transparente?
Lecturas recomendadas sobre el Proxy-Caché:
El lÃo del proxy-caché
¿Cómo funciona el proxy-caché de Telefónica?
ISP | PAIS | PROXY |
Telefónica | España | Si, proxy transparente |
Terra | España | Si, proxy transparente |
Eresmas | España | No |
Arrakis | España | No |
Ya.com | España | Si, proxy transparente |
Wanadoo | España | Si, proxy transparente |
Auna | España | No |
Ono | España | Si, proxy transparente |
Retecal | España | Si, proxy transparente |
INTERNACIONAL
ISP | PAIS | PROXY |
AOL | EEUU | Si, proxy obligatorio |
Belgacom | Bélgica | Si, proxy transparente |
British Telecom | Inglaterra | No |
Demon | Inglaterra | Si, proxy explÃcito |
D. Telekom | Alemania | Si, proxy transparente |
NTL | Inglaterra | Si, proxy transparente |
Portugal Telecom | Portugal | Si, proxy transparente |
TDC | Dinamarca | No |
Telecom Italia | Italia | Si, proxy transparente |
Telenor | Noruega | Si, proxy transparente |
Telia-Sonera | Suecia-Finlandia | No |
Telewest | Inglaterra | Si, proxy transparente |
Proxy transparente: Es una arquitectura tal que el cliente no tiene que configurar ninguna de sus aplicaciones para que su tráfico sea atendido por el proxy.
Proxy explÃcito: Es una arquitectura en la que el cliente tiene que configurar sus aplicaciones de forma que estas utilicen el proxy.
Proxy obligatorio: Es una configuración de proxy explÃcito pero en la que el usuario si no configura correctamente su aplicación para el uso de proxy, no podrá conectar con Internet.
Esta dejadez ministerial provoca alarma social y confusión. De hecho el pasado 27 de marzo asistimos a un confuso, indocumentado e inapropiado debate parlamentario que Psoe y Pp protagonizaron sobre la propuesta no de Ley presentada a instancia de los socialistas en la que se solicitó el establecimiento de medidas dirigidas a garantizar ¿la privacidad? de las navegaciones por Internet ante el uso de mecanismos como el servidor 'proxy-caché' para los servicios de ADSL, en la que se perdÃo una vez más una magnifica oportunidad para llegar a un consenso parlamentario para exigir la posibilidad de elección por parte de los internautas de utilizar ese tipo de soportes cache.
Opción que entendemos idónea, porque se preserva la libertad de elección del usuario ante una prática común a varias operadoras, incluso la necesidad de informar por parte de estas si su servicio de acceso pasa por un proxy-caché antes de la contratación, además también se atiende a los clientes que comparten el criterio de que con la utilización de estos dispositivos agilizan su navegación por los espacios web.
Ante esa caótica situación surge la indefensión a la que nos aboca la Administracción, que produce una lógica confusión provocada en el debate sobre los supuestos beneficios e inconvenientes de la utilización de proxy-cache con la aparición de problemas muy concretos producidos por su configuración, la Asociación de Internautas (AI) mantuvo una reunión con representantes de Telefónica, en la sede de esta empresa, en la Gran VÃa madrileña, para hacerle llegar las primeras quejas recibidas en relación al proxy-caché transparente instalado recientemente en las redes de la operadora.
Trasladamos a Telefónica nuestras dudas y todas las quejas recibidas sobre este particular para su resolución, en esa reunión se llegó al acuerdo de constituir un Grupo de trabajo que hiciera un seguimiento sobre la repercusión y el grado de satisfación de los usuarios con la utilización del proxy-caché.
Además la Asociación de Internautas implementó en su página web un test para que los internautas puedan saber si tienes un proxy detrás, que ha obtenido más de 55.000 lecturas, y publicó diversa información especializada sobre la materia, el artÃculo el lio del proxy-caché ha sobrepasado las 12.000 lecturas, y pusó a disposición un formulario de reclamaciones , con 11.000 lecturas, que han cumplimentado 700 internautas afectados con la siguiente distribución de reclamaciones .
Algunas de estas reclamaciones han obtenido respuesta individualizada por la especifidad del problema, aunque hay incidencias pendientes, a continuación relacionamos las respuestas que Telefónica nos ha dado sobre las más comunes.
Respuestas a las incidencias emitidas a Telefónica:
1. Actualización de páginas
El servidor de proxy-caché almacena los contenidos visitados para aumentar la rapidez de su presentación en una nueva visita.
Habitualmente, los proveedores de contenido incluyen en sus páginas datos que permiten al proxy-caché averiguar de la forma más óptima la validez o caducidad de un contenido, configurando los servidores Web para que envÃen - -en la respuesta HTTP- los criterios de caducidad de dicho contenido e incluso el comportamiento que debe seguir el proxy-caché ante la recepción de dicho contenido.
En caso de que los proveedores no utilicen estos mecanismos en sus contenidos, el usuario puede solicitar la comprobación de la validez de contenidos a través de distintos mecanismos. En concreto, la Red IP de Telefónica de España permite utilizar los mecanismos de comprobación soportados por los navegadores estándar:
Microsoft Internet Explorer. Procedimiento:
Pulsar el botón "Refresh". Esta acción solicita al proxy-caché que compruebe si el contenido ha caducado. Pulsar la tecla "CTRL" y manteniéndola pulsada, usar el botón "Reload" del navegador. Internet Explorer solicitará al proxy-caché que se fuerce el refresco del contenido.
Netscape Navigator:
Procedimiento:
Pulsar el botón "Reload". Esta acción solicita al proxy-caché que compruebe si el contenido ha caducado. Pulsar la tecla "SHIFT" y manteniéndola pulsada, usar el botón "Reload" del navegador. El navegador solicitará al proxy-caché que se fuerce el refresco del contenido.
En el caso de que el navegador utilizado sea otro diferente, se debe comprobar con el fabricante del mismo la posibilidad de realizar acciones equivalentes a las anteriores desde estos navegadores alternativos.
Nota Importante:
En algunas circunstancias de navegación con frames anidados, el navegador no refresca cada uno de los frames visualizados, aunque sà lo hace con los contenidos por defecto dentro del frame más externo.
Los mecanismos antes descritos funcionan gracias a la inclusión en el protocolo estándar HTTP de cabeceras de control de cachés (Cache-Control) en las peticiones de contenido, que permiten esta comunicación relativa a contenidos posiblemente caducados. Para más información, consultar el documento de definición del protocolo HTTP 1.1 (RFC 2616).
2. Uso de resolución de nombres en local.
El cliente realiza la resolución de nombres de forma privada. La resolución de dominios a usar en las peticiones HTTP por puerto 80 deben de ser dominios registrados.
3. Incidencias relativas a cortes en la descarga de páginas.
Existen servidores web en los que algunas peticiones de páginas tienen mucha duración (debido entre otras causas a la posible saturación del propio servidor, ejecución de aplicaciones donde la respuesta tarda?etc.etc), pudiendo tardar hasta 2 minutos en empezar a devolver los contenidos al cliente.
Como consecuencia de la citada duración de tiempo excesivo, la caché temporiza y devuelve al cliente el mensaje de que es imposible satisfacer su petición.
Esto se ha solucionado realizando el tunning de los proxy-cache y aumentando el valor de temporización a 3 minutos. Con esta modificación tales problemas han quedado resueltos.
4. Incidencias en autenticación con NTLM
El sistema de autenticación NTLM de Microsoft no funciona en un entorno de proxy-caché. Este hecho es conocido por Microsoft y, por tanto, sólo recomienda este tipo de autenticación en entornos con conexión punto a punto.
En el entorno de proxy-caché de Telefónica de España, Microsoft recomienda el uso de otros mecanismos de autenticación alternativos a NTLM.
En particular existen casos reportados en Microsoft para las siguientes aplicaciones:
Microsoft Exchange OWA:
http://support.microsoft.com/default.aspx?scid=kb;en-us;198509 Administración de un servidor web autentificado por NTLM: http://support.microsoft.com/default.aspx?scid=kb;en-us;183730
Otros enlaces y recomendaciones sobre métodos de autenticación en diferentes entornos de red aparecen publicados en las siguientes páginas de Microsoft:
http://officeupdate.microsoft.com/frontpage/WPP/serk/scwin_2.htm http://support.microsoft.com/support/kb/articles/Q264/9/21.ASP
5. Autenticación IP Origen
No es posible realizar este tipo de autenticación en la Red.
La autenticación por IP origen es algo poco fiable en Internet debido al uso extensivo de IPs dinámicas, proxies, firewalls, etc.... Alternativas como el uso de HTTPS ofrecen una garantÃa mayor para la seguridad de los servidores web y, por tanto, de la confianza de los usuarios en los mismos.
6. Microcortes en la recepción de streams de audio de WinAMP
Se ha detectado este problema en el SW que implementa la función de caché.
Para resolver esta situación se ha generado una nueva versión de SW que ha sido probada con éxito en los proxy-cache de determinado centro de acceso. Asà mismo, se ha comprobado que el parche resuelve los microcortes en la recepción de streams de audio de WinAMP que se distribuyen utilizando el protocolo HTTP (puerto 80).
Actualmente esta nueva versión está siendo implementada en todos los proxy-cache.
7. Incidencia denunciada desde BarraPunto:
"al ir a visitar esta página me encuentro que me han 'baneado'. Bueno. mejor dicho, a mà no, a la IP de mi proxy de salida..."
Literal de la incidencia:
"Pues sÃ, señores, al fin una muestra de la seguridad prometida por el famoso Proxy-Cache de Timofónica. Según la operadora, el hecho de salir a través de un proxy harÃa que la navegación fuera más segura, al no mostrar nuestra IP. Pero se olvidaron de decir que el hecho de salir con una única IP para todos podrÃa ocasionar perjuicios como el que me he encontrado al tratar de visitar la página de http://slashdot.org/. Cual ha sido mi sorpresa hoy cuando al ir a visitar esta página me encuentro que me han 'baneado'. Bueno. mejor dicho, a mà no, a la IP de mi proxy de salida..."
Respuesta:
El proveedor de destino tenÃa filtrada la IP 80.58.54.107 de la caché de Burgos Gamonal.
Es responsabilidad suya la polÃtica de filtrado de direcciones. Por consiguiente, Telefónica no puede mejorar la citada situación.
8. Incidencias en la Web de "www.entradas.com.
Este sistema utiliza un reparto de carga interno para atender peticiones que se basa en la IP de origen del cliente..
Como solución temporal se le ha aplicado un work-around.
Se ha proporcionado asesoramiento en cuanto a las posibles alternativas a usar para un buen funcionamiento de su sistema de balanceo que mejore el funcionalidad del sistema..
Los problemas de conexión con www.uno-e.com eran debidos a que el propio servidor estaba filtrando las direcciones de los proxy-cache, se advirtió a los administradores de esta circunstancia y eliminaron dicho filtrado.
9.Otro tipo de incidencias al margen de los Proxy-Cache.
Actualmente los protocolos que pasan por caché son
HTTP (web) puerto 80
WMT (Streaming de Windows Media) puerto 1755 (UDP y TCP)
Los protocolos que utilizan las aplicaciones de Real Networks, entre ellas la del cliente, RealOne Player, no están siendo cacheados..
Queremos constatar estos datos con la participación directa de los clientes de este servicio, y a tal fÃn, responsables técnicos de Telefónica han aceptado participar en un chat en nuestro sitio web para que atiendan las preguntas, dudas, sugerencias, reclamaciones, observaciones sobre el comportamiento del proxy-caché de este encuentro podemos ampliar esta información y ayudará a conformar más criterio.
El chat se ha fijado en principio para el dÃa 24 de abril de 17 a 19 horas. Seguiremos informando.
Asociación de Internautas
Noticias relacionadas:
Creación de un Grupo de trabajo de seguimiento del Proxy-caché de Telefónica.
. La AI y Telefónica crean un grupo de trabajo para analizar el funcionamiento del proxy-caché en los usuarios de ADSL.
Quejas de los internautas ante la adopción del ‘proxy’ por parte de Telefónica.
ADSL: ¿Quieres saber si estas detrás de un PROXY transparente?
Lecturas recomendadas sobre el Proxy-Caché:
El lÃo del proxy-caché
¿Cómo funciona el proxy-caché de Telefónica?