O3 Consideraciones de Seguridad
- MartĆn RostĆ”n (Unlicensed)
- Ernesto Forbes (Unlicensed)
- Laura Font
Consideraciones de Seguridad sobre el acceso a travƩs de Internet a O3
La exposiciĆ³n del servidor de O3 a Internet abre un conjunto de riesgos de seguridad, como ocurre con cualquier aplicaciĆ³n, este artĆculo analiza diferentes escenarios de seguridad y le asigna diferentes niveles de recomendaciĆ³n:
Escenario | DescripciĆ³n | RecomendaciĆ³n |
|---|---|---|
Web con Proxy | Consiste en utilizar herramientas adicionales para permitir el acceso desde Internet a un servidor de O3 (ubicado por ejemplo en una DMZ). Se lo utiliza para exponer el servicio a internet permitiendo el acceso por ejemplo a http://www.servidor_empresarial.com/o3portal, incluso cuando servidor_empresarial no es el que contiene a O3 |
|
Puerto 8080 expuesto a Internet | Consiste en exponer el puerto 8080 a internet a travƩs de una tercera mƔquina. |
|
MĆ”quina expuesta a internet | Consiste en tener la mĆ”quina sin ningĆŗn tipo de protecciĆ³n conectada a internet |
|
Para cada uno de estos escenarios se realizan las siguientes recomendaciones, algunas de ellas estƔn basadas en sugerencias de seguridad de JBoss: http://community.jboss.org/wiki/SecureJboss
Web con Proxy 
Este mecanismo es el recomendado ya que brinda la mayor seguridad, dado que se accede desde internet sĆ³lo a la funcionalidad permitida.
En este caso se utiliza un servidor Web con capacidad de proxy (por ejemplo Apache o IIS ) se recomienda para este caso el uso de un mĆ³dulo que haga de puente entre el servidor web y el tomcat (el mĆ”s recomendado es JK Mount).
Se debe hacer proxy de las siguientes aplicaciones Web de O3:
- /o3portal
- /cas
- /eportal
- /o3report
Puerto 8080 expuesto a Internet 
En este caso se exponen todas las aplicaciones Web publicadas en el servidor JBoss de O3 a internet (por ejemplo realizando NAT en un firewall), por lo tanto deben tomarse las siguientes medidas:
- Cambiar la password de la consola JMX (jmx-console): Cambio de password en el caso que estemos en la versiĆ³n > 5.2.004 ir directo al punto 3 ya que solo se necesita cambiar la password.
- Eliminar "invokers" de JBoss: http://community.jboss.org/wiki/RemoveTheInvokers.Ā Ā La referencia a jms/jbossmq-httpil.sar no es valida para versiones 5.4 de O3, en que se cambio el soporte de JMS de Jboss, el cual no tiene activos conexiones http.Ā
- Deshabilitar la caracterĆstica de RMIClassLoading de JBoss: http://community.jboss.org/wiki/RMIClassLoadingService:Ā El primer archivo referido es en realidad <jboss>/server/default/conf/jboss-service.xml. Luego, se debe comentarĀ en <jboss>/server/default/deploy/ejb-deployer.xml la linea:Ā <depends optional-attribute-name="WebServiceName">jboss:service=WebService</depends>Ā
MƔquina expuesta a Internet 
Este caso es altamente contraindicado, expone a todos los servicios del servidor y no sĆ³lo a O3 a ataques externos.
Si a pesar de esta indicaciĆ³n, se utiliza este mecanismo, se deben seguir todas las recomendaciones de la siguiente pĆ”gina de JBoss: http://community.jboss.org/wiki/SecureJboss, tener en cuenta que con este mecanismo sĆ³lo se asegura el servidor JBoss de O3 pero no los demĆ”s servicios disponibles en la mĆ”quina
Sobre estos cambios al Servidor
La aplicaciĆ³n de los ajustes recomendados en estĆ” pĆ”gina al Servidor de O3 no afectan los Servicios de Asistencia y Respaldo que una instalaciĆ³n concreta pudiera contar (segĆŗn corresponda al modo de licenciamiento, plazo, servicios de asistencia, etc.), ya que se consideran cambios de configuraciĆ³n soportados.
Hacemos esta aclaraciĆ³n en respuesta a consultas de nuestros clientes.