Versions Compared

Old Version 7

changes.mady.by.user Laura Font

Saved on

compared with

New Version 8

changes.mady.by.user Martín Rostán (Unlicensed)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Guía de seguridad

...

Consideraciones de Seguridad sobre el acceso a través de Internet a O3

La exposición del servidor de O3 a Internet abre un conjunto de riesgos de seguridad, como ocurre con cualquier aplicación, este artículo analiza diferentes escenarios de seguridad y le asigna diferentes niveles de recomendación:

Escenario

Descripción

Recomendación

Web con Proxy

Consiste en utilizar herramientas adicionales para permitir el acceso desde Internet a un servidor de O3 (ubicado por ejemplo en una DMZ). Se lo utiliza para exponer el servicio a internet permitiendo el acceso por ej. a

http://www.servidor_empresarial.com/o3portal

, incluso cuando servidor_empresarial no es el que contiene a O3

(tick)

Puerto 8080 expuesto a Internet

Consiste en exponer el puerto 8080 a internet a través de una tercera máquina.
Por ejemplo con un firewall delante haciendo NAT

(warning)

Máquina expuesta a internet

Consiste en tener la máquina sin ningún tipo de protección conectada a internet

(error)

Para cada uno de estos escenarios se realizan las siguientes recomendaciones, algunas de ellas están basadas en sugerencias de seguridad de JBoss: http://community.jboss.org/wiki/SecureJboss

Web con Proxy (tick)

Este mecanismo es el recomendado ya que brinda la mayor seguridad, dado que se accede desde internet sólo a la funcionalidad permitida.
En este caso se utiliza un servidor Web con capacidad de proxy (por ejemplo Apache o IIS ) se recomiendo para este caso el uso de un módulo que haga de puente entre el servidor web y el tomcat (el más recomendado es JK Mount).
Se debe hacer proxy de las siguientes aplicaciones Web de O3:

  • /o3portal
  • /cas
  • /eportal
  • /o3report

Puerto 8080 expuesto a Internet (warning)

En este caso se exponen todas las aplicaciones Web publicadas en el servidor JBoss de O3 a internet (por ejemplo realizando NAT en un firewall), por lo tanto deben tomarse las siguientes medidas:

...

En futuras versiones estas últimas características serán deshabilitadas en el JBoss utilizado en O3.

Máquina expuesta a Internet (error)

Este caso es altamente contraindicado, expone a todos los servicios del servidor y no sólo a O3 a ataques externos.
Si a pesar de esta indicación, se utiliza este mecanismo, se deben seguir todas las recomendaciones de la siguiente página de JBoss: http://community.jboss.org/wiki/SecureJboss, tener en cuenta que con este mecanismo sólo se asegura el servidor JBoss de O3 pero no los demás servicios disponibles en la máquina

...