Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Hola a todos: Tengo un servidor WWW en la DMZ de mi empresa que es accedido desde internet. Quisiera saber opiniones diversas referentes a implicancias de seguridad para hacer el siguiente cambio: La idea sería cambiar mi servidor web para la red interna y en la DMZ poner un proxy reverso que accedería a este servidor web cumpliendo con los pedidos desde internet (por lo cual ya no estaría tan expuesto el servidor WWW a sufrir un ataque directo como ahora lo está, según mi opinión), este acceso sería anónimo, ya que es la página web principal. No sé si los siguientes datos podrán aportar, pero aquí van: - El proxy sería Squid sobre Linux - El servidor WWW es Windows$:-( El hecho de poder poner este servidor en mi red interna me haría posible integrar la publicación tanto de la INTRANET como de WWW en un solo servidor, y así no tener que pagar doble licenciamiento de los productos que uso para publicar contenido. Gracias de antemano, Luis -- Usuario Linux Registrado # 342019 -> http://counter.li.org/ <-
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Luis, Desde ya te aconsejo que NO pongas el web server en la red interna (MZ) debido a que si alguien logra tener control sobre el, puede llegar a acceder a las demas maquinas de la LAN y producir un desastre. Lo que debesd hacer es esto: - Configurar un firewall con dis interafces de red, una hacia la red interna y otra hacia la DMZ. - En el firewall editar reglas para cerrar lo mas posible el trafico hacia y desde Internet hacia la DMZ y la LAN hacia la DMZ - Si usas SQUID deberias hacerlo para hacer web caching de los usuarios de tu red interna y para filtrar contenido como audio y video, por ejemplo. Ese proxy podria SI podria ir en la red interna. Saludos A.K. Luis Eduardo Cortes escribió: > Hola a todos: > > Tengo un servidor WWW en la DMZ de mi empresa que es accedido desde > internet. Quisiera saber opiniones diversas referentes a implicancias > de seguridad para hacer el siguiente cambio: > > La idea sería cambiar mi servidor web para la red interna y en la DMZ > poner un proxy reverso que accedería a este servidor web cumpliendo > con los pedidos desde internet (por lo cual ya no estaría tan expuesto > el servidor WWW a sufrir un ataque directo como ahora lo está, según > mi opinión), este acceso sería anónimo, ya que es la página web > principal. > > No sé si los siguientes datos podrán aportar, pero aquí van: > - El proxy sería Squid sobre Linux > - El servidor WWW es Windows$:-( > > El hecho de poder poner este servidor en mi red interna me haría > posible integrar la publicación tanto de la INTRANET como de WWW en un > solo servidor, y así no tener que pagar doble licenciamiento de los > productos que uso para publicar contenido. > > Gracias de antemano, > Luis > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Luis Eduardo Cortes escribió: Hola a todos: Tengo un servidor WWW en la DMZ de mi empresa que es accedido desde internet. Quisiera saber opiniones diversas referentes a implicancias de seguridad para hacer el siguiente cambio: La idea sería cambiar mi servidor web para la red interna y en la DMZ poner un proxy reverso que accedería a este servidor web cumpliendo con los pedidos desde internet (por lo cual ya no estaría tan expuesto el servidor WWW a sufrir un ataque directo como ahora lo está, según mi opinión), este acceso sería anónimo, ya que es la página web principal. No sé si los siguientes datos podrán aportar, pero aquí van: - El proxy sería Squid sobre Linux - El servidor WWW es Windows$:-( El hecho de poder poner este servidor en mi red interna me haría posible integrar la publicación tanto de la INTRANET como de WWW en un solo servidor, y así no tener que pagar doble licenciamiento de los productos que uso para publicar contenido. Gracias de antemano, Luis Luis, tal como lo planteas me parece lo siguiente: 1) Desde la LAN puedes accesar a todo el contenido publicado en el WWW server 2) Si necesitas accesar contenido que necesita el WWW server que se encuentra en otro servidor en la LAN, creas las reglas para que el WWW server solo conecte con ese server en la LAN. En resumen, solo necesitas hacer lo siguiente: 1) Dependiendo del Firewall que usas, crear las reglas para que la lan accese el WWW server 2) Otra regla para que el WWW server solo accese al server de la LAN donde esta el contenido 3) Si tienes IPS y/o IDS en el Firewall activalo, para que puedas prevenir y descartar ataques. Yo haria esto es mas sencillo a mi parecer MAuricio Rivas Caracas, Venezuela -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Desde ya te aconsejo que NO pongas el web server en la red interna (MZ) debido a que si alguien logra tener control sobre el, puede llegar a acceder a las demas maquinas de la LAN y producir un desastre. Lo que debesd hacer es esto: Por eso me interesa poner el proxy reverso, para que sea él mismo quien reciba las peticiones desde internet (solicitudes HTTP que pueden ser bien formadas o mal formadas) y luego le solicita al servidor WWW las páginas para devolvérselas al browser en internet. Este es un método para evitarse ataques directos al servidor web, de manera que si atacan, atacan primero al proxy y toman control sobre el proxy, luego intentan tomar control sobre el servidor web. Esta configuración la he visto cuando ambos equipos están en la DMZ, pero no cuando el proxy está en la DMZ y el WWW en la red interna, por eso mi consulta original. - Configurar un firewall con dis interafces de red, una hacia la red interna y otra hacia la DMZ. - En el firewall editar reglas para cerrar lo mas posible el trafico hacia y desde Internet hacia la DMZ y la LAN hacia la DMZ Ya tengo un firewall con tres interfaces, una hacia la red interna, otra hacia la DMZ y otra hacia internet, y el único puerto que tiene habierto para el servidor mencionado es el 80 (WWW). - Si usas SQUID deberias hacerlo para hacer web caching de los usuarios de tu red interna y para filtrar contenido como audio y video, por ejemplo. Ese proxy podria SI podria ir en la red interna. En mi red interna ya tengo un proxy squid para salir a Internet, este no es el problema. Saludos, Luis -- Usuario Linux Registrado # 342019 -> http://counter.li.org/ <-
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
1) Desde la LAN puedes accesar a todo el contenido publicado en el WWW server 2) Si necesitas accesar contenido que necesita el WWW server que se encuentra en otro servidor en la LAN, creas las reglas para que el WWW server solo conecte con ese server en la LAN. En resumen, solo necesitas hacer lo siguiente: 1) Dependiendo del Firewall que usas, crear las reglas para que la lan accese el WWW server 2) Otra regla para que el WWW server solo accese al server de la LAN donde esta el contenido Es así como lo estoy haciendo, como tú lo dices, pero mi objetivo original es utilizar el mismo servidor (el de la red interna) para publicar tanto el contenido de intranet como el de internet. La diferencia es que el contenido de intranet es accedido directamente por los usuarios de la red interna, y el contenido de internet es accedido solamente por el proxy reverso, a solicitud de cada cliente que se encuentra en internet, a la vez que protege al servidor web de ataques directos y filtra paquetes malformados de HTTP. Saludos, Luis -- Usuario Linux Registrado # 342019 -> http://counter.li.org/ <-
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
El Miércoles, 28 de Junio de 2006 21:36, Luis Eduardo Cortes escribió: > > 1) Desde la LAN puedes accesar a todo el contenido publicado en el WWW > > server > > 2) Si necesitas accesar contenido que necesita el WWW server que se > > encuentra en otro servidor en la LAN, creas las reglas para que el WWW > > server solo conecte con ese server en la LAN. > > > > En resumen, solo necesitas hacer lo siguiente: > > > > 1) Dependiendo del Firewall que usas, crear las reglas para que la lan > > accese el WWW server > > 2) Otra regla para que el WWW server solo accese al server de la LAN > > donde esta el contenido > > Es así como lo estoy haciendo, como tú lo dices, pero mi objetivo > original es utilizar el mismo servidor (el de la red interna) para > publicar tanto el contenido de intranet como el de internet. La > diferencia es que el contenido de intranet es accedido directamente > por los usuarios de la red interna, y el contenido de internet es > accedido solamente por el proxy reverso, a solicitud de cada cliente > que se encuentra en internet, a la vez que protege al servidor web de > ataques directos y filtra paquetes malformados de HTTP. Pregunta, pregunta: ¿y el servidor web de la red interna tiene que ser necesariamente un Windows? -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Pregunta, pregunta: ¿y el servidor web de la red interna tiene que ser necesariamente un Windows? Necesariamente SI, pues tiene productos instalados que solo van en Window$, por ejemplo para el desarrollo del portal tiene instalado GxPortal (http://www.gxportal.com). Saludos, Luis -- Usuario Linux Registrado # 342019 -> http://counter.li.org/ <-
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
¿Cumple la función de proxy reverso? No sabía. Yo usaría apache. http://devel.squid-cache.org/rproxy/ Otra cosa que podés hacer, si es un apache el que ponés a hacer el proxy reverso y las páginas son estáticas, es hacerte un periódicamente un espejo del servidor WWW de windows en el disco de apache y servir el espejo. Leí que alguien hacía esto con plone, por ejemplo. Pero ... si te dejan poner un squid en el Linux en la DMZ, entonces también podés poner un apache. Y servir desde ahí con virtual hosts. Y que el virtual host de la intranet sea visible solamente desde la intranet. Con lo que te decía arriba del espejo, podrías entonces exportar un subárbol del sitio como intranet y el otro como extranet. Las páginas son dinámicas. Saludos, Luis -- Usuario Linux Registrado # 342019 -> http://counter.li.org/ <-
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
El Miércoles, 28 de Junio de 2006 21:25, Luis Eduardo Cortes escribió: > > Desde ya te aconsejo que NO pongas el web server en la red interna > > (MZ) debido a que si alguien logra tener control sobre el, puede > > llegar a acceder a las demas maquinas de la LAN y producir un > > desastre. Lo que debesd hacer es esto: > > Por eso me interesa poner el proxy reverso, para que sea él mismo > quien reciba las peticiones desde internet (solicitudes HTTP que > pueden ser bien formadas o mal formadas) y luego le solicita al > servidor WWW las páginas para devolvérselas al browser en internet. > Este es un método para evitarse ataques directos al servidor web, de > manera que si atacan, atacan primero al proxy y toman control sobre el > proxy, luego intentan tomar control sobre el servidor web. Esta > configuración la he visto cuando ambos equipos están en la DMZ, pero > no cuando el proxy está en la DMZ y el WWW en la red interna, por eso > mi consulta original. > Exacto, como tu bien dices, lo unico que hace el proxy es ganar tiempo. Y tener un servidor web en la intranet que por A o por B es accesible desde el exterior me parece una burrada. ( y encima un servidor web sobre windows... eso tiene mucho peligro) Si (como parece) el servidor web deberia estar protegido por que es con lo que trabajan los clientes de la intranet, la solucion del servidor espejo me parece muy adecuada (un servidor web en la intranet y una replica que se actualice cada X tiempo en la DMZ). Yo lo siento por los proxys, dan una muy falsa sensacion de seguridad y en realidad son una fuente mas de problemas. Si tener dos servidores no es una opcion, entonces no prometas nada (a tus jefes). Lo mires por donde lo mires, un servidor web es vulnerable pongas un proxy, un firewall o la madre que nos pario a todos para protegerlo. (Esta pregunta me recuerda a unas charlas de seguridad a las que asisti donde se trataron los problemas de proteger un servidor web y la unica conclusion a la que se llegaba era algo asi como "no puedes evitar lo inevitable, minimiza los danyos"). Saludos Aritz Beraza [Rei] -- Aritz Beraza Garayalde [Rei] [http://www.ayanami.es] - No enviarás correos en HTML a La Lista. - No harás top-posting, responderás siempre debajo del mail original. - No harás Fwd, a La Lista, siempre reply. pgpwuk5zQAEcI.pgp Description: PGP signature
Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
El mié, 28-06-2006 a las 15:31 -0300, Luis Eduardo Cortes escribió: > Hola a todos: > > Tengo un servidor WWW en la DMZ de mi empresa que es accedido desde > internet. Quisiera saber opiniones diversas referentes a implicancias > de seguridad para hacer el siguiente cambio: > > La idea sería cambiar mi servidor web para la red interna y en la DMZ > poner un proxy reverso que accedería a este servidor web cumpliendo > con los pedidos desde internet (por lo cual ya no estaría tan expuesto > el servidor WWW a sufrir un ataque directo como ahora lo está, según > mi opinión), este acceso sería anónimo, ya que es la página web > principal. > > No sé si los siguientes datos podrán aportar, pero aquí van: > - El proxy sería Squid sobre Linux > - El servidor WWW es Windows$:-( > > El hecho de poder poner este servidor en mi red interna me haría > posible integrar la publicación tanto de la INTRANET como de WWW en un > solo servidor, y así no tener que pagar doble licenciamiento de los > productos que uso para publicar contenido. y por que no podes poner todo en un solo servidor??? me parece que poniendo todo en una dmz es mas facil de proteger que desparramando servidores en varias redes Un proxy no te garantiza seguridad, es mas es un posible agujero mas para proteger configura como corresponde el webserver y el Firewall y minimizas los problemas de seguridad > > Gracias de antemano, > Luis > -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: [uylug-linux] Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Hola, La idea sería cambiar mi servidor web para la red interna y en la DMZ poner un proxy reverso que accedería a este servidor web cumpliendo con los pedidos desde internet (por lo cual ya no estaría tan expuesto el servidor WWW a sufrir un ataque directo como ahora lo está, según mi opinión), este acceso sería anónimo, ya que es la página web principal. No sé si los siguientes datos podrán aportar, pero aquí van: - El proxy sería Squid sobre Linux ¿Cumple la función de proxy reverso? No sabía. Yo usaría apache. - El servidor WWW es Windows$:-( Otra cosa que podés hacer, si es un apache el que ponés a hacer el proxy reverso y las páginas son estáticas, es hacerte un periódicamente un espejo del servidor WWW de windows en el disco de apache y servir el espejo. Leí que alguien hacía esto con plone, por ejemplo. El hecho de poder poner este servidor en mi red interna me haría posible integrar la publicación tanto de la INTRANET como de WWW en un solo servidor, y así no tener que pagar doble licenciamiento de los productos que uso para publicar contenido. Pero ... si te dejan poner un squid en el Linux en la DMZ, entonces también podés poner un apache. Y servir desde ahí con virtual hosts. Y que el virtual host de la intranet sea visible solamente desde la intranet. Con lo que te decía arriba del espejo, podrías entonces exportar un subárbol del sitio como intranet y el otro como extranet. Eduardo. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]