15 de junio de 2020. Osvaldo Larancuent comparte articulo sobre los entrenamientos para la mejora de servidores web, aplicando estandares abiertos (OSE) que promueve Internet Society.
por Osvaldo Larancuent
En las capacitaciones de Internet Society se impartieron diferentes programas: cifrado, estándares abiertos, dando forma a internet, redes comunitarias, entre otros.
El plan estratégico 2020 de Internet Society está concentrado en crear una Internet más grande para todas las personas.
En el curso sobre estándares abiertos, los objetivos perseguidos fueron:
Alcance
- Construir y desplegar servidores de referencia
- Mostrar cómo luce un buen sitio en cumplimiento con estándares abiertos, para lo cuál fueron creados los siguientes sitios web de Internet Society:
- Para servidores Web corriendo Apache: https://ose-apache.internetsociety.org/
- Para servidores Web corriendo Apache en CDN: https://ose-apache-cdn.internetsociety.org/
- Para servidores Web corriendo Nginx: https://ose-nginx.internetsociety.org/
- Para servidores Web corriendo Nginx en CDN: https://ose-nginx-cdn.internetsociety.org/
- Mostrar cómo luce un buen sitio en cumplimiento con estándares abiertos, para lo cuál fueron creados los siguientes sitios web de Internet Society:
- Documentar nuestro trabajo
- Explorar cómo configuramos los servidores con herramientas de verificación:
- Verificador de cumplimiento con estándares abiertos: https://internet.nl/
- Disponibilidad:
- IPv6
- HTTP/2
- Seguridad
- DNSSEC
- TLS 1.2+ (SSL/HTTPS)
- Disponibilidad:
- Verificador de cumplimiento con estándares abiertos: https://internet.nl/
- Explorar cómo configuramos los servidores con herramientas de verificación:
- Promover la documentación colaborativa
- Compartir la documentación para que las personas puedan aprender como configurar sus servidores web, para lo cuál fue creado en GitHub, un sitio de Internet Society con estos fines:
- https://github.com/internetsociety/ose-documentation
- Compartir la documentación para que las personas puedan aprender como configurar sus servidores web, para lo cuál fue creado en GitHub, un sitio de Internet Society con estos fines:
- Liderar con el ejemplo
- Configurar tantos sitios de Internet Society como sea posible
- Lograr que los sitios de la organización, los capítulos y SIG todos cumplan con los requerimientos.
- Configurar tantos sitios de Internet Society como sea posible
Antes que nada visitamos el sitio https://internet.nl/, para verificar nuestros niveles de cumplimiento con los estándares abiertos, alojados en Godaddy.
Resultados de pruebas: 45%
Esto nos llevó a acceder a los servicios de Godaddy, para intentar acceder al servidor web Apache. Pero dado que es un hospedaje de alcance limitado, y no nos permite configurarlo. Desistimos. Lo mejor sería en el futuro contratar nuestro propio servidor web, de algún proveedor en la nube como Amazon, Microsoft, Google, entre otros. Pero tiene costo, así que buscamos otras opciones.
Decidimos evaluar varios servicios de Red de Distribución de Contenido (CDN).
- Akamai.
- Cloudflare.
- Amazon.
- Google.
Nos decidimos por CloudFlare, por que brinda servicios gratuitos, y prácticamente incluye los diferentes requerimientos de estándares abiertos, para garantizar disponibilidad, velocidad y seguridad. Dado que manteniendo nuestro sitio alojado en Godaddy, podríamos habilitar este intermediario. Otras opciones tienen costo, pero para nuestros objetivos, eran satisfactorios estas ventajas.
Para lo cuál seguimos los siguientes pasos:
- Creamos la cuenta
- Agregamos el sitio web
- Verificación de los registros DNS para controlar el sitio web:
- Requirió que agregáramos servidor de nombres de dominio recomendados por CloudFlare:
- Para ellos tuvimos que acceder al registro en NIC.DO, y acceder a las herramientas administrativas
- Acceder a la zona de dominios, y sustituir los servidores de nombres
- No detectó los registros MX de DNS, que controlan los correos electrónicos:
- Debimos obtener estos nombres de las zonas DNS de NIC.DO
- Editamos los registros DNS en CloudFlare para incluir los registros MX.
- Someter a CloudFlare para que activara el servicio.
- Esto demora entre una y 24 horas, y es notificado por email.
- Requirió que agregáramos servidor de nombres de dominio recomendados por CloudFlare:
Regresamos a la herramienta https://internet.nl/, y la ejecutamos:
- La mejoría fue importante, aumentamos a un 55% de cumplimiento.
Luego, procedimos a verificar la gestión de la seguridad y algoritmos criptográficos, en la opción TLS/SSL del tablero de control (dashboard) de CloudFlare, que tiene varias pestañas:
- Overview:
- Un lindo grafico nos muestra las modalidades activas.
- Seleccionamos la opción de Full Encryption.
- La otra opción Strict Full Scription, deseable, requiere tener control del servidor web
- Seleccionamos la opción de Full Encryption.
- Un lindo grafico nos muestra las modalidades activas.
- Edge Certificates:
- Activamos la opción de Siempre HTTPS
- Modificamos la configuración de HSTS
- Activamos todas las opciones
- Y en la sección de envejecimiento de encabezados, activamos la opción recomendada de 6 meses+
- En la versión Mínima de TLS
- Seleccionamos la opción 1.2
- Desactivamos la opción TLS 1.3
Finalmente, seleccionamos del dashboard, la opción de configuración de red:
- Activamos todas las opciones posibles relacionadas a IPv6
- También seudo IPv4, seleccionamos la opción "Add Header"
Fue cuanto.
Conclusiones
Con estos cambios, pudimos mejorar el cumplimiento con los Estándares Abiertos, hasta alcanzar un 70%. Una mejora sustancial:
Alcanzar el 100% requiere de de otros recursos:
- Que NIC.DO cumpla con el estándar DNSSEC. Al investigar, informaron que aunque lo tienen en planes de este 2020, no han podido iniciarlo por diferentes causas entendibles.
- Orden de algoritmos de cifrado. Para establecer el orden preferido debe contratarse el servicio empresarial de CloudFlare, o tener su propio servidor web.
- Control de encabezados DNS X-Frame. ara establecer el orden preferido debe contratarse el servicio empresarial de CloudFlare activando la funcionaldidad Workers.
Al hacer mediciones en velocidad para acceder a los recursos, el desempeño mejoró notablemente.
El ejercicio fue muy aleccionador. Luego visité otros lugares en la web, de referencia local en la República Dominicana, y veo que no cumplen. Quizás en el futuro el CApítulo Internet Society de la República Dominicana, desarrolle un observatorio, que ponga en aviso a estas entidades, para que adopten los estándares abiertos.
Asimismo, con el proyecto IXP que se viene desarrollando algunos de estos estándares, serán adoptados con mayor profundidad, para mejorar el internet en la República Dominicana.