Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Desde ya te aconsejo que NO pongas el web server en la red interna (MZ)
debido a que si alguien logra tener control sobre el, puede llegar a
acceder a las demas maquinas de la LAN y producir un desastre. Lo que
debesd hacer es esto:
Por eso me interesa poner el proxy reverso, para que sea él mismo
quien reciba las peticiones desde internet (solicitudes HTTP que
pueden ser bien formadas o mal formadas) y luego le solicita al
servidor WWW las páginas para devolvérselas al browser en internet.
Este es un método para evitarse ataques directos al servidor web, de
manera que si atacan, atacan primero al proxy y toman control sobre el
proxy, luego intentan tomar control sobre el servidor web. Esta
configuración la he visto cuando ambos equipos están en la DMZ, pero
no cuando el proxy está en la DMZ y el WWW en la red interna, por eso
mi consulta original.
- Configurar un firewall con dis interafces de red, una hacia la red
interna y otra hacia la DMZ.
- En el firewall editar reglas para cerrar lo mas posible el trafico
hacia y desde Internet hacia la DMZ y la LAN hacia la DMZ
Ya tengo un firewall con tres interfaces, una hacia la red interna,
otra hacia la DMZ y otra hacia internet, y el único puerto que tiene
habierto para el servidor mencionado es el 80 (WWW).
- Si usas SQUID deberias hacerlo para hacer web caching de los usuarios
de tu red interna y para filtrar contenido como audio y video, por
ejemplo. Ese proxy podria SI podria ir en la red interna.
En mi red interna ya tengo un proxy squid para salir a Internet, este
no es el problema.
Saludos,
Luis
--
Usuario Linux Registrado # 342019
-> http://counter.li.org/ <-
Reply to: