Se consideran tres escenarios
Escenario |
Descripción |
|---|---|
Web con Proxy |
DESCRIBIR !!! (Apache/IIS JKMount, hacer proxy solo a /o3portal, /cas y /eportal y /o3report) |
Puerto 8080 expuesto a Internet |
Por ejemplo con un firewall delante haciendo NAT |
Máquina expuesta a internet |
Sin ningún tipo de protección por firewall |
Para cada uno de estos escenarios se realizan las siguientes recomendaciones, algunas de ellas están basadas en sugerencias de seguridad de JBoss: http://community.jboss.org/wiki/SecureJboss
Web con Proxy
Este mecanismo es el recomendado ya que brinda la mayor seguridad, dado que se accede de internet sólo a la funcionalidad permitida.
En este caso se utiliza un servidor Web con capacidad de proxy (por ejemplo Apache o IIS junto con mod_jk) para hacer proxy de las siguientes aplicaciones Web de O3:
- /o3portal
- /cas
- /eportal
- /o3report
Puerto 8080 expuesto a Internet
En este caso se exponen todas las aplicaciones Web publicadas en el servidor JBoss de O3 a internet (por ejemplo realizando NAT en un firewall), por lo tanto deben tomarse las siguientes medidas:
- Cambiar la password de la consola JMX (jmx-console): PONER LINK A PAGINA, ACLARAR EN LA PAGINA QUE EN 5.2 YA ESTA CON PASSWORD, SOLO HAY QUE CAMBIARLA
- Eliminar "invokers" de JBoss: http://community.jboss.org/wiki/RemoveTheInvokers
- Deshabilitar la característica de RMIClassLoading de JBoss: http://community.jboss.org/wiki/RMIClassLoadingService
En futuras versiones estas últimas características serán deshabilitadas en el JBoss utilizado en O3.
Máquina expuesta a Internet
Este caso el altamente contraindicado, expone a todos los servicios no sólo a O3 a ataques externos.
Si a pesar de esta indicación, se utiliza este mecanismo, se deben seguir todas las recomendaciones de la siguiente página de JBoss: http://community.jboss.org/wiki/SecureJboss, tener en cuenta que con este mecanismo sólo se asegura el servidor JBoss de O3 pero no los demás servicios disponibles en la máquina