29-08-2017, 09:23 AM
(Este mensaje fue modificado por última vez en: 30-08-2017, 08:35 PM por Ganekogorta.)
[attachment=295 escribió:juantel pid='8123' dateline='1503963806']Empecemos pues con estos puntos:
1. Asegurar el castillo abriendo solo https y configura lo del certificado letsencrypt
2. No usar al usuario admin para acciones habituales, crea usuarios limitados en privilegios (que no accedan a todo)
3. Configurar uno a uno tus servicios, comprobando antes de lanzarte a por otro servicio.
Como le hago con el punto 1?
Saludos.
Hola
Selección de puertos
Primero hemos de asegurarnos que puertos estamos usando para la web de QTS y los que estemos usando para los servicios web de otras aplicaciones.
Son dos para cada uno. Uno en formato http y otro en https.
La idea del https es usar un certificado para asegurarnos los que acceden a estas páginas vayan con el tráfico cifrado.
Por eso no deberíamos usar puertos sin asegurar en Internet ya que por el medio pueden interceptar e interpretar esos datos. Que generalmente incluyen usuarios y claves de acceso.
Por ejemplo el foro de qnapclub.es no usa certificado
Para ver los puertos vamos al panel de control QTS, sistema, configuraciones generales
Aquí vemos que uso el 8080 como http y el 443 como https.
Hay un cuadro para obligar a usar el https, es el de "solamente fuerza conexión segura (HTTPS)".
Es decir,si escribimos http://192.168.x.y:8080 para ir a QTS, seremos redireccionados a https://192.168.x.y:443
Para ver los puertos del servidor web vamos a panel de control QTS, servidores de aplicaciones , servidor web
Aquí vemos que uso el 80 como http y el 7071 como https.
Estos puertos serán usados por otras aplicaciones que instalemos, o bien por diversas paginas web que configuremos en nuestra Qnap.
En nuestro caso solo abriremos el 443 y el 7071. Los otros los dejamos para gestiones desde nuestra red local (o si accedemos vpn, pero eso es otra historia)
Ahora vamos con el certificado
Un certificado es generado para para un determinado nombre de página web o grupo de ellas.
Por ejemplo nombre.dominio.com. Así cuando vaya a https://nombre.dominio.com el navegador comprueba que la dirección a la que vamos coincide con el certificado que ella indica.
De esa forma, dependiendo de nuestro navegador, saldrá un candado verde u otro indicador que nos asegura que el certificado y la página coinciden.
Si no coinciden nos sale el aviso de "excepción de seguridad". Y somos nosotros los que bajo nuestro criterio seguimos adelante en esa web añadiéndolo y confiando o nos salimos.
Por ejemplo si en un banco no os coincide... huir de allí. Si es la web de amigo...pues a tu criterio.
También nos da el aviso en nuestra Qnap si en vez de acceder por https://nombre.dominio.com:7071/tu_web accedes por https://192.168.x.y:7071/tu_web y es que el certificado no es para el formato numérico.
Para obtener un certificado hay que tener un requisito previo y es tener una dirección web a donde referirmos para localizar en la nube a nuestra IP pública.
Generalmente nuestra IP pública es dinámica y tendremos que apoyarnos en servicios DDNS.
Servicios de estos son DynDNS, no-ip... y ahora Qnap tiene uno
El dominio siempre es "myqnapcloud.com" y delante irá el nombre de la máquina nuestra. Por ejemplo la llamamos "pluton"
Podemos tener apuntada nuestra máquina por diversos nombres:
- pluton.myqnapcloud.com
- caronte.no-ip.org
- ceres.ddns.com
Hay que tener instalada la versión 4.3.3 de QTS para que se puedan usar los de LetsEncrypt y la app QTS SSL desde el app center.
Abrimos el myQNAPCloud
El último apartado del menú lateral izquierdo es "Certificado SSL"
Tenemos dos opciones, el certificado de pago de QNAP y el de LetsEncrypt. En nuestro caso usamos este último
Pulsamos el botón de confirmar y tras unos momentos el certifficado queda instalado
Esto antiguamente había que hacerlo a mano...y no era una tarea sencilla.
Por ser un certificado gratuito de LetsEncrypt, éste tiene una caducidad de tres meses, lo habitual es que sean anuales pero es lo que tienen ser gratuito.
Afortunadamente nuestra QNAP lo autorenueva al caducar
En la imagen vemos el resultado una vez activo el certificado y marcada la autorenovación.
Con esto, si ya tenemos abiertos en el router los puertos 443 y 7071 veremos que el certificado es correcto si vamos a:
- https://pluton.myqnapcloud.com:443 ó https://pluton.myqnapcloud.com
- https://pluton.myqnapcloud.com:7071
Ojalá que para futuras revisiones, qnap permita elegir la dirección del certificado web. Para las pymes y micropymes no queda muy bien el usar certificados myqnapcloud.com cuando puedes ser propietario de otro dominio y quieres tener el certificado con letsencrypt.
PD como suelo escribir en mis viajes de metro y edito desde el teléfono suelo cometer errores de edición. En este caso he mezclado nombres en las ediciones de las pantallas (para no mostrar nombres reales) y en algunos aparece manolete, mi_nas y pluton. Pero espero que se entienda lo que quiero transmitir.
Un saludo
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
Agur eta ondo ibili
Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η