Este tipo de seguridad tiene su punto central al complementar el concepto de reverse proxy, ya que vamos aislando poco a poco los componentes de forma tal que el cliente solo tiene acceso a la máquina que contiene nuestro reverse proxy.
Al lograr esto evitamos que quien contiene la aplicación tenga un contacto directo con el mundo exterior, añadiendo así una capa adicional que un posible atacante debería sortear para poder llegar hasta nuestros datos.
Componentes a Proteger
El punto de la seguridad es algo sumamente extenso, nunca se llega a ser lo suficientemente detallista para decir que tenemos un servidor 100% seguro y cuando lo hacemos seguramente hay algún hueco de seguridad que nos hará la vida imposible si lo encuentra algún atacante.
Pero esto no debe detenernos, existen muchos atacantes de todos los niveles, pero los que más abundan son los de bajo nivel, por lo que si hemos de caer que sea ante alguien de élite, por ello los puntos más resaltantes a tener en cuenta son los siguientes:
Nginx frecuentemente es utilizado para activar el componente SSL en las aplicaciones, generalmente es por dos razones, la primera es que el servidor al que le hace el reverse proxy no es capaz de aceptar SSL por sí mismo y la segunda es para descargar los requerimientos de procesamiento que requiere tener un tráfico con SSL.
En el siguiente ejemplo vemos cómo podemos hacer una configuración de un certificado SSL en nuestro servidor Nginx:
![nginx_seguridad_separacion.jpg]()
Primero le indicamos que debe escuchar por el puerto 443, de esta forma ya estamos forzando la conexión SSL, luego tenemos las diferentes opciones de SSL, donde destaca que hemos indicado el certificado y la clave del certificado, estos dos elementos son únicos para cada servidor y es lo que nos permite encriptar la data correctamente.
Vemos que este componente nos permite evitar que si capturan nuestros paquetes por cualquier medio puedan ser leídos, es importante no escatimar costos a la hora de obtener un buen certificado, ya que esta es la garantía de nuestros datos.
Al lograr esto evitamos que quien contiene la aplicación tenga un contacto directo con el mundo exterior, añadiendo así una capa adicional que un posible atacante debería sortear para poder llegar hasta nuestros datos.
Componentes a Proteger
El punto de la seguridad es algo sumamente extenso, nunca se llega a ser lo suficientemente detallista para decir que tenemos un servidor 100% seguro y cuando lo hacemos seguramente hay algún hueco de seguridad que nos hará la vida imposible si lo encuentra algún atacante.
Pero esto no debe detenernos, existen muchos atacantes de todos los niveles, pero los que más abundan son los de bajo nivel, por lo que si hemos de caer que sea ante alguien de élite, por ello los puntos más resaltantes a tener en cuenta son los siguientes:
- Establecer un firewall que solo permita conexiones públicas por el puerto 80 y el 443 que es el de HTTPS, con ello evitamos tener puertos ociosos que puedan servir de entrada para un atacante.
- Asegurarnos de correr Nginx con un usuario sin privilegios, esta es otra de las claves, ya que si llega a caer en manos de un agente malicioso no podrá hacer nada en nuestro entorno.
- Encriptar nuestro tráfico para evitar que nos puedan espiar los paquetes y obtener datos que nos comprometan.
Nginx frecuentemente es utilizado para activar el componente SSL en las aplicaciones, generalmente es por dos razones, la primera es que el servidor al que le hace el reverse proxy no es capaz de aceptar SSL por sí mismo y la segunda es para descargar los requerimientos de procesamiento que requiere tener un tráfico con SSL.
Activar SSL
Para activar la capacidad de SSL, debemos asegurarnos que hemos instalado nuestro Nginx con esa opción, además que debemos poseer un certificado válido ya sea autogenerado o que lo hayamos adquirido a través de un ente certificado. Esto último nos ayuda a establecer una conexión de confianza con nuestros usuarios.
En el siguiente ejemplo vemos cómo podemos hacer una configuración de un certificado SSL en nuestro servidor Nginx:
Primero le indicamos que debe escuchar por el puerto 443, de esta forma ya estamos forzando la conexión SSL, luego tenemos las diferentes opciones de SSL, donde destaca que hemos indicado el certificado y la clave del certificado, estos dos elementos son únicos para cada servidor y es lo que nos permite encriptar la data correctamente.
Vemos que este componente nos permite evitar que si capturan nuestros paquetes por cualquier medio puedan ser leídos, es importante no escatimar costos a la hora de obtener un buen certificado, ya que esta es la garantía de nuestros datos.
