miércoles, 26 de junio de 2019

Crear listas blancas y negras para controlar accesos a Nginx

Implantar una medida determinada de seguridad tiene que obedecer a ideas concretas y lógicas y no por el interés de vender después a clientes "tenemos políticas de listas blancas y negras para controlar accesos indeseados a nuestros sistemas, siendo estas medidas bastantes restrictivas potenciando nuestra seguridad". Esto está muy bonito para vender, pero que quede claro que lo que se está vendiendo es humo y el humo, con un poco de viento, se esfuma y deja visibles carencias de quien vendió.


Como entiendo el tema de las listas negras y blancas es para que si, con Fail2Ban, detectamos que se ha baneado a una IP que nos está intentando atacarnos, por ejemplo, haciéndonos un DoS al servidor web y que casi siempre es la misma IP o está dentro del mismo rango de IP, entonces ahí se entiende que utilices una lista negra y bloquees esa IP. 

Otro entorno en el que se entiende es el que tenemos una aplicación web a la que sólo podemos acceder de forma local (por ejemplo desde la oficina y como mucho desde casa). Ahí también se entiende que se utilicen listas blancas y negras.

Por lo demás, aplicar bloqueos por listas negras o permitir accesos por listas blancas es bastante simple, y más en Nginx.

Primero creamos nuestra lista de IPs de la siguiente manera

allow IP1;
allow IP2;
deny IP3;

Esto sería un ejemplo sencillo de, por ejemplo, nuestro archivo ip_list.conf. Una vez creado, tendremos que añadirlo a nuestro archivo de configuración de Apache añadiendo lo siguiente (bajo http por supuesto):

include /dir/to/find/ip_list.conf

Después, si lo hemos hecho bien y no nos hemos comido ningún punto y coma o similar, hacemos un restart del servicio y ya deberíamos tener aplicadas estas políticas. Muy simple.

Este artículo es la entradilla a algunos  otros en los que abordaremos esto mismo y la diferencia que hay en Nginx y en Apache. Poco a poco iremos aprendiendo y cuál es, bajo mi punto de vista, la mejor configuración a nivel de seguridad básica de un servidor web, tanto en Nginx como en Apache.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...