El Miércoles, 28 de Junio de 2006 21:25, Luis Eduardo Cortes escribió: > > Desde ya te aconsejo que NO pongas el web server en la red interna > > (MZ) debido a que si alguien logra tener control sobre el, puede > > llegar a acceder a las demas maquinas de la LAN y producir un > > desastre. Lo que debesd hacer es esto: > > Por eso me interesa poner el proxy reverso, para que sea él mismo > quien reciba las peticiones desde internet (solicitudes HTTP que > pueden ser bien formadas o mal formadas) y luego le solicita al > servidor WWW las páginas para devolvérselas al browser en internet. > Este es un método para evitarse ataques directos al servidor web, de > manera que si atacan, atacan primero al proxy y toman control sobre el > proxy, luego intentan tomar control sobre el servidor web. Esta > configuración la he visto cuando ambos equipos están en la DMZ, pero > no cuando el proxy está en la DMZ y el WWW en la red interna, por eso > mi consulta original. >
Exacto, como tu bien dices, lo unico que hace el proxy es ganar tiempo. Y tener un servidor web en la intranet que por A o por B es accesible desde el exterior me parece una burrada. ( y encima un servidor web sobre windows... eso tiene mucho peligro) Si (como parece) el servidor web deberia estar protegido por que es con lo que trabajan los clientes de la intranet, la solucion del servidor espejo me parece muy adecuada (un servidor web en la intranet y una replica que se actualice cada X tiempo en la DMZ). Yo lo siento por los proxys, dan una muy falsa sensacion de seguridad y en realidad son una fuente mas de problemas. Si tener dos servidores no es una opcion, entonces no prometas nada (a tus jefes). Lo mires por donde lo mires, un servidor web es vulnerable pongas un proxy, un firewall o la madre que nos pario a todos para protegerlo. (Esta pregunta me recuerda a unas charlas de seguridad a las que asisti donde se trataron los problemas de proteger un servidor web y la unica conclusion a la que se llegaba era algo asi como "no puedes evitar lo inevitable, minimiza los danyos"). Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] [http://www.ayanami.es] - No enviarás correos en HTML a La Lista. - No harás top-posting, responderás siempre debajo del mail original. - No harás Fwd, a La Lista, siempre reply.
pgpwuk5zQAEcI.pgp
Description: PGP signature