Seguridad del servidor proxy
La seguridad del servidor Caching Proxy es importante y proporciona detalles sobre cómo controlar quién tiene acceso a los archivos allí.
Cualquier servidor accesible desde Internet corre el riesgo de atraer la atención de modo indeseado sobre el sistema en el se ejecuta. Es posible que las personas no autorizadas intenten averiguar las contraseñas, los archivos de actualización y los archivos o leer los datos confidenciales. Parte de la atracción de Internet es su accesibilidad. Sin embargo, la web está abierta tanto a un uso positivo como a un abuso.
En las secciones siguientes se describe cómo controlar quién tiene acceso a los archivos en el servidor Caching Proxy .
Caching Proxy da soporte a conexiones SSL (Secure Sockets Layer), en las que se establecen transmisiones seguras que implican cifrado y descifrado entre el navegador del cliente y el servidor de destino (ya sea un servidor de contenido o un servidor suplente).
Cuando Caching Proxy está configurado como sustituto, puede establecer conexiones seguras con clientes, con servidores de contenido o ambos. Para habilitar las conexiones SSL, en los formularios Configuración y administración , seleccione Configuración de proxy Valores SSL. En este formulario, seleccione el recuadro de selección Habilitar SSL y especifique una base de datos de conjunto de claves y un archivo de contraseñas de la base de datos de conjunto de claves.
Cuando Caching Proxy se configura como un servidor proxy de reenvío, sigue un protocolo de paso a través denominado SSL Tunneling para pasar solicitudes cifradas entre el cliente y el servidor de contenido. La información cifrada no se coloca en memoria caché porque el servidor proxy no descifra las peticiones de túnel. En una instalación de proxy de reenvío, se habilitan los túneles SSL. Para inhabilitarlo, en los formularios Configuración y administración , seleccione Configuración de proxy Valores de proxyy desmarque el recuadro de selección Túnel SSL en este formulario.
- Coloque un servidor diseñado para el acceso público en una red independiente de la red local o interna.
- Inhabilite los programas de utilidad que permitan a los usuarios remotos acceder a los procesos internos del servidor. En concreto, se recomienda inhabilitar los clientes telnet, TN3270, rlogin y finger del sistema donde se está ejecutando el servidor.
- Utilice los cortafuegos y los filtros de paquetes.
Los filtros de paquetes le permiten definir desde donde pueden venir los datos y a dónde pueden ir. Puede configurar el sistema para rechazar ciertas combinaciones de origen y destino.
Un cortafuegos separa una red interna de una red accesible públicamente como, por ejemplo, Internet. El cortafuegos puede ser un grupo de sistemas o un único sistema que actúe como una pasarela en ambas direcciones, regulando y haciendo un seguimiento del tráfico que pase por él. IBM® Firewall es un ejemplo de software de cortafuegos.
- Controle los scripts CGI. La utilización de scripts CGI en un servidor web puede poner en riesgo la seguridad ya que es posible que estos scripts muestren varias variables de entorno que incluyan datos confidenciales como, por ejemplo, los ID de usuario y contraseñas. Asegúrese de que sabe exactamente lo que hace un programa CGI antes de ejecutarlo en el servidor, y controle quién tiene acceso a los scripts CGI en el servidor.
Proxy /* http://content server :443Proxy /* https://content server :443