Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ

To: debian-user-spanish@lists.debian.org
Subject: Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
From: "Aritz Beraza Garayalde [Rei]" <aritz.beraza@gmail.com>
Date: Thu, 29 Jun 2006 01:37:53 +0200
Message-id: <[🔎] 200606290137.53719.aritz.beraza@gmail.com>
In-reply-to: <[🔎] 8c782e9e0606281225t8b2eb3cm502f5b13a6573c6c@mail.gmail.com>
References: <[🔎] 8c782e9e0606281131p7dc13777ld4431afe8c0497b5@mail.gmail.com> <[🔎] 44A2D1D4.9050706@yahoo.com.ar> <[🔎] 8c782e9e0606281225t8b2eb3cm502f5b13a6573c6c@mail.gmail.com>

El Miércoles, 28 de Junio de 2006 21:25, Luis Eduardo Cortes escribió:
> > Desde ya te aconsejo que NO pongas el web server en la red interna
> > (MZ) debido a que si alguien logra tener control sobre el, puede
> > llegar a acceder a las demas maquinas de la LAN y producir un
> > desastre. Lo que debesd hacer es esto:
>
> Por eso me interesa poner el proxy reverso, para que sea él mismo
> quien reciba las peticiones desde internet (solicitudes HTTP que
> pueden ser bien formadas o mal formadas) y luego le solicita al
> servidor WWW las páginas para devolvérselas al browser en internet.
> Este es un método para evitarse ataques directos al servidor web, de
> manera que si atacan, atacan primero al proxy y toman control sobre el
> proxy, luego intentan tomar control sobre el servidor web. Esta
> configuración la he visto cuando ambos equipos están en la DMZ, pero
> no cuando el proxy está en la DMZ y el WWW en la red interna, por eso
> mi consulta original.
>

Exacto, como tu bien dices, lo unico que hace el proxy es ganar tiempo. Y 
tener un servidor web en la intranet que por A o por B es accesible desde 
el exterior me parece una burrada. ( y encima un servidor web sobre 
windows... eso tiene mucho peligro)

Si (como parece) el servidor web deberia estar protegido por que es con lo 
que trabajan los clientes de la intranet, la solucion del servidor espejo 
me parece muy adecuada (un servidor web en la intranet y una replica que 
se actualice cada X tiempo en la DMZ). Yo lo siento por los proxys, dan 
una muy falsa sensacion de seguridad y en realidad son una fuente mas de 
problemas.

Si tener dos servidores no es una opcion, entonces no prometas nada (a tus 
jefes). Lo mires por donde lo mires, un servidor web es vulnerable pongas 
un proxy, un firewall o la madre que nos pario a todos para protegerlo. 
(Esta pregunta me recuerda a unas charlas de seguridad a las que asisti 
donde se trataron los problemas de proteger un servidor web y la unica 
conclusion a la que se llegaba era algo asi como "no puedes evitar lo 
inevitable, minimiza los danyos").

Saludos
Aritz Beraza [Rei]
-- 
Aritz Beraza Garayalde [Rei]   [http://www.ayanami.es] 
- No enviarás correos en HTML a La Lista.
- No harás top-posting, responderás siempre debajo del mail original.
- No harás Fwd, a La Lista, siempre reply.

Attachment: pgpvKoCqb0Hmj.pgp
Description: PGP signature

Reply to:

References:
- Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
  - From: "Luis Eduardo Cortes" <arribalinux@gmail.com>
- Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
  - From: Alejandro Kurchis <alejandro_facultad@yahoo.com.ar>
- Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
  - From: "Luis Eduardo Cortes" <arribalinux@gmail.com>

Prev by Date: Re: prism2_usb linux-wlan-ng
Next by Date: controlar firefox desde la linea de comandos
Previous by thread: Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Next by thread: Re: Riesgos de seguridad para acceder a servidor web en red interna mediante proxy reverso desde DMZ
Index(es):
- Date
- Thread