Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 8 Next »

Consideraciones de Seguridad sobre el acceso a través de Internet a O3

La exposición del servidor de O3 a Internet abre un conjunto de riesgos de seguridad, como ocurre con cualquier aplicación, este artículo analiza diferentes escenarios de seguridad y le asigna diferentes niveles de recomendación:

Escenario

Descripción

Recomendación

Web con Proxy

Consiste en utilizar herramientas adicionales para permitir el acceso desde Internet a un servidor de O3 (ubicado por ejemplo en una DMZ). Se lo utiliza para exponer el servicio a internet permitiendo el acceso por ej. a

http://www.servidor_empresarial.com/o3portal

, incluso cuando servidor_empresarial no es el que contiene a O3

(tick)

Puerto 8080 expuesto a Internet

Consiste en exponer el puerto 8080 a internet a través de una tercera máquina.
Por ejemplo con un firewall delante haciendo NAT

(warning)

Máquina expuesta a internet

Consiste en tener la máquina sin ningún tipo de protección conectada a internet

(error)

Para cada uno de estos escenarios se realizan las siguientes recomendaciones, algunas de ellas están basadas en sugerencias de seguridad de JBoss: http://community.jboss.org/wiki/SecureJboss

Web con Proxy (tick)

Este mecanismo es el recomendado ya que brinda la mayor seguridad, dado que se accede desde internet sólo a la funcionalidad permitida.
En este caso se utiliza un servidor Web con capacidad de proxy (por ejemplo Apache o IIS ) se recomiendo para este caso el uso de un módulo que haga de puente entre el servidor web y el tomcat (el más recomendado es JK Mount).
Se debe hacer proxy de las siguientes aplicaciones Web de O3:

  • /o3portal
  • /cas
  • /eportal
  • /o3report

Puerto 8080 expuesto a Internet (warning)

En este caso se exponen todas las aplicaciones Web publicadas en el servidor JBoss de O3 a internet (por ejemplo realizando NAT en un firewall), por lo tanto deben tomarse las siguientes medidas:

En futuras versiones estas últimas características serán deshabilitadas en el JBoss utilizado en O3.

Máquina expuesta a Internet (error)

Este caso es altamente contraindicado, expone a todos los servicios del servidor y no sólo a O3 a ataques externos.
Si a pesar de esta indicación, se utiliza este mecanismo, se deben seguir todas las recomendaciones de la siguiente página de JBoss: http://community.jboss.org/wiki/SecureJboss, tener en cuenta que con este mecanismo sólo se asegura el servidor JBoss de O3 pero no los demás servicios disponibles en la máquina

Sobre estos cambios al Servidor

La aplicación de los ajustes recomendados en está página al Servidor de O3 no afectan los Servicios de Asistencia y Respaldo que una instalación concreta pudiera contar (según corresponda al modo de licenciamiento, plazo, servicios de asistencia, etc.), ya que se consideran cambios de configuración soportados.

Hacemos esta aclaración en respuesta a consultas de nuestros clientes.

  • No labels