WebSphere DMZ Secure Proxy Server for IBM WebSphere Application Server

Puede utilizar DMZ Secure Proxy Server for IBM® WebSphere Application Server para proporcionar una plataforma segura para el servidor proxy.

Deprecated feature Deprecated feature: DMZ Secure Proxy Server está en desuso para WebSphere Application Server tradicional Versión 9.0.depfeat
[z/OS]Importante: DMZ Secure Proxy Server no está disponible para utilizarse en el sistema operativo z/OS para WebSphere Application Server tradicional Versión 9.0.

Con DMZ Secure Proxy Server for IBM WebSphere Application Server, puede instalar el servidor proxy en la zona desmilitarizada (DMZ), mientras se reduce el riesgo de seguridad que puede producirse si instala un servidor de aplicaciones en la DMZ para albergar un servidor proxy. El riesgo se reduce mediante la eliminación de las funciones del servidor de aplicaciones que no son necesarias para alojar los servidores proxy, pero ello puede suponer un riesgo de seguridad. La instalación del servidor proxy seguro en la DMZ en lugar de la zona segura presenta nuevos retos de seguridad, sin embargo, el servidor proxy seguro está equipado con funciones para proteger de estos desafíos.

Las funciones siguientes están disponibles para fortalecer la seguridad del DMZ Secure Proxy Server y determinar el nivel de seguridad a asignar:
Permisos de usuario de inicio
El proceso del servidor proxy seguro puede modificarse para que se ejecute como un usuario sin privilegios después del arranque. Aunque el servidor proxy seguro debe iniciarse como usuario privilegiado, cambiar el proceso de servidor para ejecutarlo como usuario no privilegiado proporciona protección adicional para recursos operativos locales.
Consideraciones sobre direccionamiento
El servidor proxy seguropuede configurarse para direccionar peticiones a servidores de destino según información de direccionamiento estática o dinámica. El direccionamiento estático significa que el servidor obtiene la información de direccionamiento desde archivos locales planos. El direccionamiento dinámico quiere decir que el servidor obtiene la información de direccionamiento de una conexión de túnel HTTP (Hypertext Transfer Protocol) desde el servidor proxy a un servidor de la zona segura. Es más seguro utilizar el direccionamiento estático, ya que el uso del direccionamiento dinámico requiere una conexión adicional a través del cortafuegos interno. El direccionamiento estático sólo es aplicable a las peticiones HTTP.
Opciones de administración
El servidor proxy seguro no contiene un contenedor web y, por lo tanto, no puede albergar la consola administrativa. Es mejor no tener un contenedor web en un DMZ Secure Proxy Server, ya que se considera que los artefactos de aplicación host son un riesgo para la seguridad y se añade una huella innecesaria al servidor proxy. El servidor proxy seguro se instala por separado y tiene varias opciones administrativas distintas que tienen diversas implicaciones de seguridad.
Manejo de errores
El servidor proxy seguro puede utilizar páginas de error personalizadas para códigos de error específicos o para grupos de códigos de error. Una aplicación personalizada de páginas de error puede utilizarse para generar mensajes de error o los archivos de página de error personalizados sin formato pueden almacenarse localmente en el sistema de archivos y utilizarse durante la ejecución. Al seleccionar el uso de páginas de error personalizadas sin formato en lugar de una aplicación de errores personalizada, se proporciona un nivel de seguridad mayor. Al elegir esta opción se limita la vía de acceso de código y se elimina la necesidad de ejecutar una aplicación potencialmente no autorizada cuando se necesita una página de error.
Denegación de protección de servicio
La denegación de protección de servicio se proporciona con la inclusión de dos propiedades: Tamaño máximo de chunk de almacenamiento intermedio de cuerpo de petición y Tamaño máximo de chunk de almacenamiento intermedio de cuerpo de respuesta. Estas propiedades deben estar ajustadas para equilibrar el nivel de protección con la sobrecarga de rendimiento que puede experimentarse si estas propiedades se establecen de manera incorrecta.
Al crear DMZ Secure Proxy Server, puede elegir cualquiera de los niveles de seguridad predeterminados: Alto, Medio o Bajo.
  • Nivel de seguridad de DMZ bajo
    Tabla 1. Valores predeterminados del nivel de seguridad de DMZ bajo. En esta tabla se describen los valores y los valores predeterminados del nivel de seguridad de DMZ bajo.
    Valor Valor por omisión
    Permisos de inicio Ejecutar como usuario privilegiado
    Direccionamiento Direccionamiento dinámico
    Administración Administración remota
    Manejo de errores Manejo de páginas de error locales
  • Nivel de seguridad de DMZ medio
    Tabla 2. Valores predeterminados de nivel de seguridad de DMZ medio. En esta tabla se describen los valores y los valores predeterminados del nivel de seguridad de DMZ medio.
    Valor Valor por omisión
    Permisos de inicio Ejecutar como un usuario no privilegiado
    Direccionamiento Direccionamiento dinámico
    Administración Administración local
    Manejo de errores Manejo de páginas de error locales
  • Nivel de seguridad de DMZ alto
    Tabla 3. Valores predeterminados del nivel de seguridad de DMZ alto. En esta tabla se describen los valores y los valores predeterminados del nivel de seguridad de DMZ alto.
    Valor Valor por omisión
    Permisos de inicio Ejecutar como un usuario no privilegiado
    Direccionamiento Direccionamiento estático
    Administración Administración local
    Manejo de errores Manejo de páginas de error locales
Importante: El nivel de seguridad de DMZ alto no puede utilizarse para los servidores proxy SIP porque no se puede utilizar el direccionamiento estático para el servidor proxy SIP.

Además de estos valores predeterminados, puede personalizar los valores para que sirvan mejor a sus requisitos. Si decide personalizar los valores, a DMZ Secure Proxy Server se le asignará una categorización cualitativa del nivel de seguridad que se denomina nivel de seguridad actual. A cada valor personalizado se le asigna un valor de Alto, Medio o Bajo. El nivel de seguridad actual es igual al valor menos seguro que se utiliza. Para lograr un nivel de seguridad actual de Alto, sólo se pueden configurar los valores a los que se ha asignado el valor alto. Para lograr un nivel de seguridad actual de Medio, sólo se pueden utilizar los valores Alto o Medio. Se utiliza un nivel de seguridad actual de Bajo si se establecen valores a los que se ha asignado el valor de Bajo.

Un cambio adicional para mejorar la protección del DMZ Secure Proxy Server consiste en conmutar de un Java™ Development Kit (JDK) a un Java Runtime Environment (JRE). La conmutación de un JDK a un JRE elimina la inclusión de un compilador en la instalación. Este cambio es beneficioso porque el compilador se puede utilizar posiblemente con fines maliciosos si hay una violación de seguridad.

[IBM i]Actualmente, no hay ningún JRE disponible para sistemas i5/OS, por lo tanto se utiliza un JDK. Para protegerse contra este tipo de amenazas, puede eliminar manualmente el archivo tools.jar de la raíz de instalación de JDK.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjpx_secpxdmz
File name: cjpx_secpxdmz.html