O3 Guía de Seguridad

Guía de seguridad

Se consideran tres escenarios

Para cada uno de estos escenarios se realizan las siguientes recomendaciones, algunas de ellas están basadas en sugerencias de seguridad de JBoss: http://community.jboss.org/wiki/SecureJboss

Web con Proxy

Este mecanismo es el recomendado ya que brinda la mayor seguridad, dado que se accede desde internet sólo a la funcionalidad permitida.
En este caso se utiliza un servidor Web con capacidad de proxy (por ejemplo Apache o IIS ) se recomiendo para este caso el uso de un módulo que haga de puente entre el servidor web y el tomcat (el más recomendado es JK Mount).
Se debe hacer proxy de las siguientes aplicaciones Web de O3:

• /o3portal
• /cas
• /eportal
• /o3report

Puerto 8080 expuesto a Internet

En este caso se exponen todas las aplicaciones Web publicadas en el servidor JBoss de O3 a internet (por ejemplo realizando NAT en un firewall), por lo tanto deben tomarse las siguientes medidas:

• Cambiar la password de la consola JMX (jmx-console): Cambio de password en el caso que estemos en la versión > 5.2.004 ir directo al punto 3 ya que solo se necesita cambiar la password.
• Eliminar "invokers" de JBoss: http://community.jboss.org/wiki/RemoveTheInvokers
• Deshabilitar la característica de RMIClassLoading de JBoss: http://community.jboss.org/wiki/RMIClassLoadingService

En futuras versiones estas últimas características serán deshabilitadas en el JBoss utilizado en O3.

Máquina expuesta a Internet

Este caso el altamente contraindicado, expone a todos los servicios del servidor y no sólo a O3 a ataques externos.
Si a pesar de esta indicación, se utiliza este mecanismo, se deben seguir todas las recomendaciones de la siguiente página de JBoss: http://community.jboss.org/wiki/SecureJboss, tener en cuenta que con este mecanismo sólo se asegura el servidor JBoss de O3 pero no los demás servicios disponibles en la máquina