Diferència entre revisions de la pàgina «9. Accessibilitat externa als serveis. Proxy invers (Nginx, Traefik). WAF. DNS extern. - Grupo 6»

De Wiket
Salta a la navegació Salta a la cerca
(Es crea la pàgina amb «<h1> Proxy inverso </h1> -Fichero 000-default.conf proxy ProxyPass "/" "http://www.example.com/" ProxyPassReverse "/" "http://www.example.com/" <IfModule mod_ssl....».)
 
 
(Hi ha 16 revisions intermèdies del mateix usuari que no es mostren)
Línia 1: Línia 1:
 
<h1> Proxy inverso </h1>
 
<h1> Proxy inverso </h1>
  
-Fichero 000-default.conf proxy
+
Creamos archivo de configuración dentro de /etc/apache2/sites-available y añadimos el siguiente contenido:
  
ProxyPass "/" "http://www.example.com/"
+
-Fichero wordpress.conf
ProxyPassReverse "/" "http://www.example.com/"
+
------
 +
<VirtualHost *:80>
 +
        ServerName grupo6ietiproyecto.tk
 +
        ServerAlias www.grupo6ietiproyecto.tk
 +
        ProxyRequests Off
 +
        ProxyPass "/" "http://localhost:5050/"
 +
        ProxyPassReverse "/" "http://localhost:5050/"
 +
RewriteEngine on
 +
RewriteCond %{SERVER_NAME} =grupo6ietiproyecto.tk [OR]
 +
RewriteCond %{SERVER_NAME} =www.grupo6ietiproyecto.tk
 +
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
 +
</VirtualHost>
  
<IfModule mod_ssl.c>
+
<h1> WAF </h1>
<VirtualHost *:443>
+
 
        # The ServerName directive sets the request scheme, hostname and port that
+
<b>Instala Apache2 y libapache2-mod-security2</b>
        # the server uses to identify itself. This is used when creating
+
 
        # redirection URLs. In the context of virtual hosts, the ServerName
+
*Sudo apt install libapache2-mod-security2
        # specifies what hostname must appear in the request's Host: header to
+
 
        # match this virtual host. For the default virtual host (this file) this
+
<b>Activa mod_security amb</b>
        # value is not decisive as it is used as a last resort host regardless.
 
        # However, you must set it for any further virtual host explicitly.
 
        ServerName grupo6ietiproyecto.tk
 
  
        ServerAdmin webmaster@localhost
+
*sudo a2enmod security2d-security2
        DocumentRoot /var/www/html
 
  
        ProxyPass "/"  "http://localhost:5050/"
+
<b>Activa la configuracion estandardar de OWASP haciendo</b>
        ProxyPassReverse "/"  "http://localhost:5050/"
 
  
        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
+
*cp modsecurity.conf-recommended modsecurity.conf
        # error, crit, alert, emerg.
 
        # It is also possible to configure the loglevel for particular
 
        # modules, e.g.
 
        #LogLevel info ssl:warn
 
  
        ErrorLog ${APACHE_LOG_DIR}/error.log
+
<b>Reinicia Apache</b>
        CustomLog ${APACHE_LOG_DIR}/access.log combined
 
  
        # For most configuration files from conf-available/, which are
+
*systemctl restart apache2.service
        # enabled or disabled at a global level, it is possible to
+
*systemctl status apache2.service
        # include a line for only one particular virtual host. For example the
 
        # following line enables the CGI configuration for this host only
 
        # after it has been globally disabled with "a2disconf".
 
        #Include conf-available/serve-cgi-bin.conf
 
  
 +
----
 +
<b>Politica de bloqueo</b>
 +
<br>
 +
*Activamos la política de bloqueo en lugar de solo monitoritzacion. Vamos a /etc/modsecurity/modsecurity.conf y cambiamos:
 +
<br>
 +
<b>SecRuleEngine DetectionOnly per SecRuleEngine On</b>
  
SSLCertificateFile /etc/letsencrypt/live/grupo6ietiproyecto.tk/fullchain.pem
+
[[Imatge:Waf1.png|600px]]
SSLCertificateKeyFile /etc/letsencrypt/live/grupo6ietiproyecto.tk/privkey.pem
 
Include /etc/letsencrypt/options-ssl-apache.conf
 
</VirtualHost>
 
</IfModule>
 

Revisió de 17:17, 25 març 2022

Proxy inverso

Creamos archivo de configuración dentro de /etc/apache2/sites-available y añadimos el siguiente contenido:

-Fichero wordpress.conf 

<VirtualHost *:80>
       ServerName grupo6ietiproyecto.tk
       ServerAlias www.grupo6ietiproyecto.tk
       ProxyRequests Off
       ProxyPass "/" "http://localhost:5050/"
       ProxyPassReverse "/" "http://localhost:5050/"
RewriteEngine on
RewriteCond %{SERVER_NAME} =grupo6ietiproyecto.tk [OR]
RewriteCond %{SERVER_NAME} =www.grupo6ietiproyecto.tk
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

WAF

Instala Apache2 y libapache2-mod-security2

  • Sudo apt install libapache2-mod-security2

Activa mod_security amb

  • sudo a2enmod security2d-security2

Activa la configuracion estandardar de OWASP haciendo

  • cp modsecurity.conf-recommended modsecurity.conf

Reinicia Apache

  • systemctl restart apache2.service
  • systemctl status apache2.service

Politica de bloqueo

  • Activamos la política de bloqueo en lugar de solo monitoritzacion. Vamos a /etc/modsecurity/modsecurity.conf y cambiamos:


SecRuleEngine DetectionOnly per SecRuleEngine On

Waf1.png

Obtingut de «https://wiket.esteveterradas.cat/index.php?title=9._Accessibilitat_externa_als_serveis._Proxy_invers_(Nginx,_Traefik)._WAF._DNS_extern._-_Grupo_6&oldid=8728»