La de veces que habrรฉ escuchado ese refrรกn popular que dice ยซEn casa del herrero, cuchillo de paloยซ. No sรฉ quiรฉn acuรฑรณ por primera vez esta frase o quiรฉn fue el autor de tal maravilla, pero describe perfectamente el estado de la red interna de mi casa. Lo mรกs grave aun, es que me dedico a ello (ยกsoy el herrero!) siendo en el รกmbito profesional muy crรญtico en cuanto a la seguridad/privacidad respecto a la protecciรณn de los usuarios en los sistemas operativos. Siendo a nivel de redes tambiรฉn un poco ยซtoca naricesยป aunque esa parcela suelo dejarla a compaรฑeros mucho mรกs conocedores de ello.
El pasado fin de semana, teniendo un rato libre, ordenรฉ un poquillo la ยซred internaยป de mi casa, si bien no hice un gran cambio por diversos servicios que utilizamos a diario y que no puedo cortar de golpe sin saber cuรกnto tiempo me llevarรก, toquรฉ lo que pude dejando para mรกs adelante cambios mรกs directos y amplios en cuanto a criticidad. Eso requiere de una planificaciรณn mรกs ardua que realizarรฉ mรกs adelante.
Mรกs abajo tenรฉis una imagen donde podรฉis ver la situaciรณn actual de mi red interna junto a todos los dispositivos que la conforman. Con este dibujo en ExcaliburDraw (servicio selfhosting) queda bien claro como estรก todo montado (o al menos para mi :D) y donde detrรกs del router es donde hay que meter mucha mano.
SSL para todos
Siguen existiendo hoy en dรญa protocolos que en mi opiniรณn, tuvieron que dejar de usarse al menos a nivel profesional. No es raro todavรญa encontrarse accesos desde internet a servicios sin protocolo seguro. Hablo de protocolos como FTP (File Transfer Protocol), Telnet, HTTP o incluso versiones antiguas del protocolo TLS (Transport Layer Security). Esto es un gran problema en tรฉcnicas como el ยซman in the middleยซ.
Lo primero por lo tanto que hice y que ya era necesario, fue asegurar todos los accesos desde el exterior mediante SSL (Secure Sockets Layer) para evitar cualquier agujero que pudiera tener. Antes de la imagen arriba mostrada, tenรญa los siguientes riesgos:
Servidor multimedia Emby
Lo estaba sirviendo bajo el puerto destinado al HTTP (8096) para accesos de amigos desde el exterior. Con esto estaba poniendo en peligro tanto el propio servidor como a ellos mismos, ya que sus usuarios/passwords estaban ยซviajandoยป en texto plano. Un riesgo que era fรกcil de solucionar aรฑadiendo bien un certificado directamente (Emby tiene la opciรณn) o bien creando uno y aรฑadiรฉndolo al Proxy inverso. Finalmente optรฉ por aรฑadirlo directamente en Emby sin pasar por el proxy. Cree un certificado para mi dominio, lo convertรญ en .pfx (asรญ lo requiere) y lo aรฑadรญ en las opciones para todas las conexiones por el puerto 8920, que tuve que abrir en mi router. Aquรญ tenรฉis la configuraciรณn:
Finalmente la conexiรณn quedรณ asegurada tanto para el servidor como para los accesos externos que llevaran la capa de cifrado para los credenciales.
Blog en WordPress
Activรฉ tambiรฉn mi blog en WordPress que no utilizaba desde el aรฑo 2020, el de la pandemia, que a mi como muchos otros, me dio por escribir en esa situaciรณn tan delicada y desagradable. Estuve bastante reacio a recuperarlo ya que fue un momento malo como digo y me traรญa recuerdos que querรญa olvidar, pero al ser parte de mi, dejรฉ la idea de crear un blog desde algรบn SSG y retomarlo. Y aquรญ estรก.
Lo tenรญa en la RaspberryPI 3B+ junto a Pi-hole tambiรฉn configurado en HTTP puesto que el certificado que tenรญa habรญa caducado hace ya un tiempo. Lo รบnico que tenรญa que hacer era configurar un nuevo certificado con Let’s Encrypt y levantarlo, pero optรฉ por aรฑadirle una capa mรกs de seguridad.
Asรญ pues levantรฉ un servicio nuevo de WordPress en mi otra RapsberryPI 3B, donde tengo instalado YunoHost junto a la aplicaciรณn de ExcaliburDraw (ya os hablarรฉ de ella) y configurรฉ todo de nuevo, restaurรฉ una copia de mis posts antiguos, ya que estaba tambiรฉn cambiรฉ el tema del blog, lo hice mรกs minimalista y configurรฉ nuevas cositas del Fediverso, IA y demรกs. Hecho eso, comprobรฉ que estaba todo bien y lo activรฉ.
Desde Yunohost configurรฉ el acceso por defecto a mi dominio https://mindeka.nohost.me para el acceso directo a mi blog y le aรฑadรญ un certificado SSL desde Let’s Encrypt, que viene integrado con toda esta suite:
Configuraciรณn del certificado desde Yunohost para el dominio principal
De esta manera ya quedรณ asegurado con la capa de seguridad que debe de tener.
Buscador SearXNG
Por รบltimo, una vez todo securizado revisando el servidor de YunoHost, pude ver las nuevas aplicaciones que han llegado a esta suite. Si antes tenรญa bastantes aplicaciones cuando lo instalรฉ ahora mismo el catรกlogo es realmente grande e interesante.
Por lo que probando encontrรฉ la instalaciรณn de buscador llamado SearXNG para realizar bรบsquedas sin tracking alguno. Ademรกs vi que existรญan muchas e interesantes opciones de configuraciรณn como mรบltiples navegadores, etc., por lo que optรฉ instalarlo. Y aunque debo decir que al principio no me impactรณ mucho, ya que tengo un pequeรฑo ยซdelayยป que revisarรฉ, entre que solicito la bรบsqueda y responde (puede ser la RaspberryPI 3B que no da para mรกs) despuรฉs de usarlo habiendo configurado mi navegador Vivaldi comprobรฉ que las respuestas que da son bastante fiable de lo que estรกs buscando y que es una alternativa realmente interesante y que asegura tu privacidad en todos los aspectos.
Por lo que configurรฉ un nuevo dominio, instalรฉ la aplicaciรณn, generรฉ otro certificado desde Let’s Encrypt y encendรญ. Desde entonces, estoy utilizando mi navegador local a pleno rendimiento.
Conclusiรณn
Quedan muchas cosas por mejorar, quiero hacer mรกs cambios, sobre todo ยซaislarยป mi blog para tenerlo aparte de cualquier otra aplicaciรณn/servicio y eso requiere que sea en otro dispositivo o bien en la propia RaspberryPI actual pero sacando de ahรญ el resto de servicios como son ExcaliburDraw y el buscador SearXNG.
Tambiรฉn pasarรฉ para otra capa de seguridad el blog por el proxy inverso junto al Emby, ya que aunque estรก asegurado, siempre es mejor aรฑadir un proxy y solo dejar abiertos hacรญa internet los puertos 80 y 443.
En definitiva, no sรฉ si es mucho ยซcuchillo de paloยป pero no me siento el herrero que tiene todo perfectamente acondicionado.
Por el momento funciona, no tengo muchos riesgos como tenรญa anteriormente a este fin de semana y ademรกs el rango de mejora es alto por todo lo que se puede hacer.
Y nada mรกs, si tenรฉis preguntas, dudas o querรกis saber algo del auto alojamiento o selfhosting, podรฉis comentar por aquรญ o directamente en mi cuenta de Mastodon: https://meetiko.org/@jmdelosreyes.
ยกNos vemos en las redes!
Deja una respuesta