Tabla de Contenidos
Configurar el Firewall de Windows para bloquear acceso desde fuera del PC al Weblogic local
Es obligatorio configurar el cortafuegos de Windows para bloquear el acceso desde fuera del PC al Weblogic local.
Más abajo tienes las instrucciones para configurarlo mediante un script desarrollado por MNCS, y tb de cómo hacerlo manualmente.
Si tienes cualquier duda o necesitas que un compañero acceda a una aplicación que estás desarrollando en local, comunícalo a Soporte FundeWEB (tlf 8753, mncs@um.es, canal de chat #desarrollo).
Es muy importante que protejas adecuadamente tu servidor Weblogic local de cualquier malware que pueda intentar explotar posibles vulnerabilidades del SW de Oracle (Weblogic), ya que Oracle publica actualizaciones cada 3 meses (Enero, Abril, Julio y Octubre), y por tanto,un posible agujero puede estar abierto 3-4 meses. Por ello el cortafuegos de Windows es un elemento de seguridad muy importante.
Configuración automática
Script para configuración automática: config_firewall.zip (dentro hay un fichero VBS).
Hay que descargar el fichero, descomprimirlo y ejecutar como administrador el archivo config_firewall.vbs (botón derecho sobre el archivo → Ejecutar como Administrador)
Si no te aparece esa opción, tienes que abrir una ventana de comandos en modo administrador y ejecutar el siguiente comando:
cscript config_firewall.vbs
Para abrir una ventana de comandos en Windows 7, hay que ir al botón Inicio→Todos los programas→Accesorios y pinchar con el botón derecho del ratón en Símbolo del sistema:
En Windows 10, pinchar en el botón Inicio, escribir cmd y pinchar con el botón derecho del ratón en Símbolo del sistema:
Configuración manual
Para bloquear los accesos externos a los Weblogic locales, tenemos que seguir los siguientes pasos:
- Verificar la configuración del firewall de windows. Abrimos el firewall de windows con seguridad avanzada.
- En el árbol de la izquierda vamos a Supervisión y verificamos que el perfil de dominio, el perfil privado y público estén habilitados.
- En el árbol de la izquierda vamos a Reglas de Entrada, en las opciones de la derecha, seleccionamos Nueva Regla….
- En la ventana que aparece, seleccionamos la opción Puerto y pinchamos en el botón Siguiente.
- Seleccionamos el protocolo TCP y el rango de puertos 7001-7002,8001-8002 y pinchamos en el botón Siguiente.
- Seleccionamos Permitir la conexión y pinchamos en el botón Siguiente.
- Seleccionamos todos los perfiles y pinchamos en el botón Siguiente.
- Ponemos el nombre Weblogic 7000-7010 TCP y la descripción Permitir el acceso al servidor Weblogic local al rango de puertos 7000-7010 mediante TCP.. Pinchamos en el botón Finalizar.
- Buscamos la regla en el listado de reglas de entrada.
- Hacemos doble click en la regla para poder editarla. En la ventana que aparece, vamos a la pestaña Ambito y en Direccíon IP remota seleccionamos la opción Estas direcciones IP. Pinchamos en el botón Agregar.
- En la nueva ventana que aparece, seleccionamos Esta dirección IP o subred, añadimos las subredes:
- 155.54.211.144/28: subred privada del CAS, para poder recibir los TokenPorxy
- 155.54.212.0/24: subred publica del CAS
- 155.54.215.0/24: subred para servidores Weblogic de desarrollo y test).
- 155.54.221.0/24: subred para servidores de BBDD).
Después, pinchamos en el botón Aceptar.
- Verificamos y pinchamos en el botón Aplicar. Para terminar pinchamos en el botón Aceptar.
No hace falta crear reglas de bloqueo, ya que toda conexión de entrada que no cumpla una regla, es rechazada. Eso se indica en la configuración de cada perfil.
Es importante que verifiquéis que las reglas funcionan y que no tengáis otras reglas que habiliten las conexiones a esos puertos desde el exterior de la subred de ATICA.
Recomendación:
Deshabilitar todas las reglas de entrada de JAVA, o por lo menos, las reglas del JAVA de la instalación de FundeWeb, que es el que ejecuta Weblogic.
— JUAN MIGUEL BERNAL GONZALEZ 14/03/2018 11:49