====== Configurar el Firewall de Windows para bloquear acceso desde fuera del PC al Weblogic local ====== **Es obligatorio configurar el cortafuegos de Windows para bloquear el acceso desde fuera del PC al Weblogic local**. Más abajo tienes las instrucciones para configurarlo mediante un script desarrollado por MNCS, y tb de cómo hacerlo manualmente. Si tienes cualquier duda o necesitas que un compañero acceda a una aplicación que estás desarrollando en local, comunícalo a Soporte FundeWEB (tlf 8753, mncs@um.es, canal de chat #desarrollo). **Es muy importante que protejas adecuadamente tu servidor Weblogic local** de cualquier malware que pueda intentar explotar posibles vulnerabilidades del SW de Oracle (Weblogic), ya que Oracle publica actualizaciones cada 3 meses (Enero, Abril, Julio y Octubre), y por tanto,un posible agujero puede estar abierto 3-4 meses. Por ello el cortafuegos de Windows es un elemento de seguridad muy importante. ===== Configuración automática ===== Script para configuración automática: [[ftp://ftp.um.es/pub/Fundeweb/instalaciones/scripts/config_firewall.zip |config_firewall.zip]] (dentro hay un fichero VBS). Hay que descargar el fichero, descomprimirlo y **ejecutar como administrador** el archivo **config_firewall.vbs** (botón derecho sobre el archivo -> Ejecutar como Administrador) {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic_script_as_admin.png?nolink&400 |}} Si no te aparece esa opción, tienes que abrir una ventana de comandos en modo administrador y ejecutar el siguiente comando: cscript config_firewall.vbs Para abrir una ventana de comandos en Windows 7, hay que ir al botón **Inicio**->**Todos los programas**->**Accesorios** y pinchar con el **botón derecho** del ratón en **Símbolo del sistema**: {{ :fdw2.0:fundeweb2.0:gt:weblogic:w7_run_as_admin.png?nolink&300 |}} En Windows 10, pinchar en el botón **Inicio**, escribir **cmd** y pinchar con el **botón derecho** del ratón en **Símbolo del sistema**: {{ :fdw2.0:fundeweb2.0:gt:weblogic:w10_run_as_admin.png?nolink&300 |}} ===== Configuración manual ===== Para bloquear los accesos externos a los Weblogic locales, tenemos que seguir los siguientes pasos: * Verificar la configuración del firewall de windows. Abrimos el firewall de windows con seguridad avanzada. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-i.png | Abrir el Firewall de Windows con seguridad avanzada }} * En el árbol de la izquierda vamos a //Supervisión// y verificamos que el perfil de dominio, el perfil privado y público estén habilitados. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-ii.png | Firewall - Perfil de Dominio }} {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-iii.png | Firewall - Perfil Privado }} {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-iv.png | Firewall - Perfil Público }} * En el árbol de la izquierda vamos a //Reglas de Entrada//, en las opciones de la derecha, seleccionamos //Nueva Regla...//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-v.png | Firewall - Nueva Regla de Entrada }} * En la ventana que aparece, seleccionamos la opción //Puerto// y pinchamos en el botón //Siguiente//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-vi.png | Firewall - Nueva Regla de Entrada - Tipo de Regla }} * Seleccionamos el protocolo //TCP// y el rango de puertos //7001-7002,8001-8002// y pinchamos en el botón //Siguiente//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-vii.png | Firewall - Nueva Regla de Entrada - Protocolo y Puertos }} * Seleccionamos //Permitir la conexión// y pinchamos en el botón //Siguiente//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-viii.png | Firewall - Nueva Regla de Entrada - Acción }} * Seleccionamos todos los perfiles y pinchamos en el botón //Siguiente//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-ix.png | Firewall - Nueva Regla de Entrada - Perfil }} * Ponemos el nombre //Weblogic 7000-7010 TCP// y la descripción //Permitir el acceso al servidor Weblogic local al rango de puertos 7000-7010 mediante TCP.//. Pinchamos en el botón //Finalizar//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-x.png | Firewall - Nueva Regla de Entrada - Nombre }} * Buscamos la regla en el listado de reglas de entrada. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-xi.png | Firewall - Buscar Regla }} * Hacemos doble click en la regla para poder editarla. En la ventana que aparece, vamos a la pestaña //Ambito// y en //Direccíon IP remota// seleccionamos la opción //Estas direcciones IP//. Pinchamos en el botón //Agregar//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-xii.png | Firewall - Regla - Ambito }} * En la nueva ventana que aparece, seleccionamos //Esta dirección IP o subred//, añadimos las subredes: * **155.54.211.144/28**: subred privada del CAS, para poder recibir los TokenPorxy * **155.54.212.0/24**: subred publica del CAS * **155.54.215.0/24**: subred para servidores Weblogic de desarrollo y test). * **155.54.221.0/24**: subred para servidores de BBDD). Después, pinchamos en el botón //Aceptar//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-xiii.png | Firewall - Regla - Ambito - Añadir subred de ATICA}} * Verificamos y pinchamos en el botón //Aplicar//. Para terminar pinchamos en el botón //Aceptar//. {{ :fdw2.0:fundeweb2.0:gt:weblogic:weblogic-firewall-xiv.png | Firewall - Regla - Ambito - Añadir subred de ATICA}} No hace falta crear reglas de bloqueo, ya que toda conexión de entrada que no cumpla una regla, es rechazada. Eso se indica en la configuración de cada perfil. Es importante que verifiquéis que las reglas funcionan y que no tengáis otras reglas que habiliten las conexiones a esos puertos desde el exterior de la subred de ATICA. Recomendación: Deshabilitar todas las reglas de entrada de JAVA, o por lo menos, las reglas del JAVA de la instalación de FundeWeb, que es el que ejecuta Weblogic. ---- --- //[[juanmiguel.bernal@ticarum.es|JUAN MIGUEL BERNAL GONZALEZ]] 14/03/2018 11:49//