Configurar el Firewall de Windows para bloquear acceso desde fuera del PC al Weblogic local

Es obligatorio configurar el cortafuegos de Windows para bloquear el acceso desde fuera del PC al Weblogic local.

Más abajo tienes las instrucciones para configurarlo mediante un script desarrollado por MNCS, y tb de cómo hacerlo manualmente.

Si tienes cualquier duda o necesitas que un compañero acceda a una aplicación que estás desarrollando en local, comunícalo a Soporte FundeWEB (tlf 8753, mncs@um.es, canal de chat #desarrollo).

Es muy importante que protejas adecuadamente tu servidor Weblogic local de cualquier malware que pueda intentar explotar posibles vulnerabilidades del SW de Oracle (Weblogic), ya que Oracle publica actualizaciones cada 3 meses (Enero, Abril, Julio y Octubre), y por tanto,un posible agujero puede estar abierto 3-4 meses. Por ello el cortafuegos de Windows es un elemento de seguridad muy importante.

Script para configuración automática: config_firewall.zip (dentro hay un fichero VBS).

Hay que descargar el fichero, descomprimirlo y ejecutar como administrador el archivo config_firewall.vbs (botón derecho sobre el archivo → Ejecutar como Administrador)

Si no te aparece esa opción, tienes que abrir una ventana de comandos en modo administrador y ejecutar el siguiente comando:

cscript config_firewall.vbs

Para abrir una ventana de comandos en Windows 7, hay que ir al botón Inicio→Todos los programas→Accesorios y pinchar con el botón derecho del ratón en Símbolo del sistema:

En Windows 10, pinchar en el botón Inicio, escribir cmd y pinchar con el botón derecho del ratón en Símbolo del sistema:

Para bloquear los accesos externos a los Weblogic locales, tenemos que seguir los siguientes pasos:

• Verificar la configuración del firewall de windows. Abrimos el firewall de windows con seguridad avanzada.

• En el árbol de la izquierda vamos a Supervisión y verificamos que el perfil de dominio, el perfil privado y público estén habilitados.

• En el árbol de la izquierda vamos a Reglas de Entrada, en las opciones de la derecha, seleccionamos Nueva Regla….

• En la ventana que aparece, seleccionamos la opción Puerto y pinchamos en el botón Siguiente.

• Seleccionamos el protocolo TCP y el rango de puertos 7001-7002,8001-8002 y pinchamos en el botón Siguiente.

• Seleccionamos Permitir la conexión y pinchamos en el botón Siguiente.

• Seleccionamos todos los perfiles y pinchamos en el botón Siguiente.

• Ponemos el nombre Weblogic 7000-7010 TCP y la descripción Permitir el acceso al servidor Weblogic local al rango de puertos 7000-7010 mediante TCP.. Pinchamos en el botón Finalizar.

• Buscamos la regla en el listado de reglas de entrada.

• Hacemos doble click en la regla para poder editarla. En la ventana que aparece, vamos a la pestaña Ambito y en Direccíon IP remota seleccionamos la opción Estas direcciones IP. Pinchamos en el botón Agregar.

• En la nueva ventana que aparece, seleccionamos Esta dirección IP o subred, añadimos las subredes:
  • 155.54.211.144/28: subred privada del CAS, para poder recibir los TokenPorxy
  • 155.54.212.0/24: subred publica del CAS
  • 155.54.215.0/24: subred para servidores Weblogic de desarrollo y test).
  • 155.54.221.0/24: subred para servidores de BBDD).

Después, pinchamos en el botón Aceptar.

• Verificamos y pinchamos en el botón Aplicar. Para terminar pinchamos en el botón Aceptar.

— JUAN MIGUEL BERNAL GONZALEZ 14/03/2018 11:49