7.7. Configuración de los cortafuegos de red para que funcionen con la plataforma de aplicaciones empresariales JBoss 6

Visión General

La mayoría de los entornos de producción usan cortafuegos como parte de una estrategia general de seguridad de red. Si necesita que múltiples instancias del servidor se comuniquen entre ellas o con servicios externos tal como servicdores de red o bases de datos entonces su cortafuegos tiene que tener esto en consideración. Un cortafuegos bien administrado solo abre los puertos que son necesarios para operar y limita el acceso a puertos con direcciones IP específicas, subredes y protocolos de red.

Está fuera del ámbito de esta documentación el abordar una discusión detallada sobre cortafuegos.

Prerequisitos

Suposiciones

Este procedimiento configura un cortafuegos en un entorno con las siguientes suposiciones:

  • El sistema operativo es Red Hat Enterprise Linux 6.
  • La plataforma de aplicaciones empresariales JBoss 6 ejecuta en el host 10.1.1.2. Opcionalmente, el servidor tiene su propio cortafuegos.
  • El servidor del cortafuegos de red ejecuta en el host 10.1.1.1 en la interfaz eth0 y tiene una interfaz externa eth1.
  • Quiere que el tráfico en el puerto 5445 (un puerto utilizado por JMS) seA reenviado a la plataforma de aplicaciones empresariales JBoss 6. No se debe permitir que otro tráfico pase por el cortafuegos de red.

Procedimiento 7.2. Tarea

  1. Inicie sesión en la consola de administración.

    Inicie sesión en la consola de administración. Por defecto ejecuta en http://localhost:9990/console/.
  2. Dominio administrado: determina el grupo de enlace de sockets que su grupo de servidores utiliza.

    Cada grupo de servidores usa un grupo de enlace de sockets, el cual es una colexión de enlaces de socket. Un enlace de sockets es un nombre y valor del nombre del puerto y número.
    Para determinar el grupo de enlace de sockets que su servidor agrupa, haga clic en la etiqueta Server Groups en la parte superior derecha de la pantalla. Luego haga clic en el nombre de su grupo de servidores en la tabla Available server group configurations. El área Server attributes al final de la pantalla se llena con el perfil y grupo de enlace de sockets que el grupo de servidores utiliza.
  3. Determinar los enlaces de socket que el grupo de enlaces de socket utiliza.

    Haga clic en la etiqueta Profiles en la parte superior derecha de la consola de administración. En la parte izquierda de la pantalla se presenta una serie de menús. El encabezado del menú inferior es General Configuration. Haga clic en Socket Binding Groups debajo de este título. Aparecerá la pantalla Socket Binding Declarations. Inicialmente se preesnta el grupo standard-sockets. Puede seleccionar un grupo diferente seleccionándolo del menú desplegable en el lado derecho.

    Nota

    Si utiliza un servidor autónomo entonces tiene solo un grupo de enlace de sockets.
    Se presenta la lista de los nombres de los sockets, seis valores por página. Puede pasar las páginas utilizando la flecha de navegación debajo de la tabla
  4. Determine los puertos que necesita abrir.

    Dependiendo de la función del puerto en particular y las necesidades de su entorno, es posible que sea necesario que algunos de los puertos sean accesibles a través de su cortafuegos. Si no está seguro del propósito de un enlace de socket consulte Sección 7.6, “Puertos de red que la plataforma de aplicaciones empresariales JBoss 6 utiliza” donde verá una lista de los enlaces de socket predeterminados y sus propósitos.
  5. Configure su cortafuegos para que reenvíe el tráfico a la plataforma de aplicaciones empresariales JBoss 6.

    Realice estos pasos para configurar su cortafuegos de red para permitir el tráfico en el puerto deseado.
    1. Inicie sesión en su máquina de cortafuegos y acceda una línea de comandos como usuario root.
    2. Emita el comando system-config-firewall para lanzar la funcionalidad de configuración del cortafuegos. Dependiendo de la manera en que inició la sesión en su sistema de cortafuegos se lanza el GUI o la funcionalidad de la línea de comandos. Esta tarea asume que inició sesión por medio de SSH y utilizando la interfaz de la línea de comandos.
    3. Use la tecla TAB en su teclado para navegar al botón Customize y presione la tecla ENTER. Aparecerá la ventana Trusted Services.
    4. No cambie ningún valor sino utilice la tecla TAB para navegar al botón Forwardy presione ENTER para avanzar a la siguiente pantalla. Aparece la pantalla Other Ports.
    5. Use la tecla TAB para navegar al botón <Add> y presione la tecla ENTER. Aparecerá la ventana Port and Protocol.
    6. Ingrese 5445 en el campo Port / Port Rangey luego use la tecla TAB para llegar al campo del Protocol e introduzca tcp. Use la tecla TAB para navegar al botón OK y presione ENTER.
    7. Use la tecla TAB para navegar al botón Forward hasta que llegue a la pantalla Port Forwarding.
    8. Use la tecla TAB para navegar al botón <Add> y presione la tecla ENTER.
    9. Llene los siguientes valores para establecer el reenvío de puerto para el puerto 5445.
      • Interfaz fuente: eth1
      • Protocolo: tcp
      • Puerto / Rango del puerto: 5445
      • Dirección IP de destino: 10.1.1.2
      • Puerto / Rango del puerto: 5445
      Use la tecla TAB para navegar al botón OK y presione ENTER.
    10. Use la tecla TAB para navegar al botón Close y presione ENTER.
    11. Use la tecla TAB para navegar al botón OK y presione ENTER. Para aplicar los cambios, lea la advertencia y haga clic en Yes.
  6. Configuración de un cortafuegos en su host de la plataforma de aplicaciones empresariales JBoss 6.

    Algunas organizaciones deciden configurar un cortafuegos en el servidor de la plataforma de aplicaciones empresariales JBoss 6 y cierran todos los puertos que no son necesarios para su operación. Consulte Sección 7.6, “Puertos de red que la plataforma de aplicaciones empresariales JBoss 6 utiliza” y determine los puertos a abrir y luego cierre el resto. La configuración predeterminada de Red Hat Enterprise Linux 6 cierra todos los puertos excepto el 22 (utilizado para Secure Shell (SSH) y 5353 (utilizado para multicast DNS). Mientras que está configurando los puertos asegúrese de tener acceso físico a su servidor de manera que no se quede por fuera de manera inadvertida.
Resultado

Su cortafuegos está configurado para reenviar el tráfico a su servidor de LA plataforma de aplicaciones empresariales JBoss interna de la manera en que especificó en su configuración de cortafuegos. Si decide habilitar un cortafuegos en su servidor entonces todos los puertos se cierran a excepción de los que se necesitan para ejecutar sus aplicaciones.