/ /

Fortalecimiento de la red y la configuración para implementaciones autogestionadas

Esta versión de la documentación está archivada y ya no recibe soporte. Para actualizar su implementación 6.0, consulte Procedimientos de actualización de MongoDB.7.0

Para reducir la exposición al riesgo de todo el sistema MongoDB, asegúrese de que sólo los hosts de confianza tengan acceso a MongoDB.

Fortalecimiento de la configuración de MongoDB

Asociación de IP

binarios de MongoDB, mongody se enlazan mongos a localhost de forma predeterminada.

Advertencia

Antes de vincular una dirección IP que no sea local (por ejemplo, de acceso público), asegúrese de proteger su clúster contra accesos no autorizados. Para obtener una lista completa de recomendaciones de seguridad, consulte la Lista de verificación de seguridad para implementaciones autogestionadas. Como mínimo, considere habilitar la autenticación y reforzar la infraestructura de red.

Advertencia

Asegúrese de que sus mongod instancias y solo sean accesibles en redes de confianza. Si su sistema tiene más de una interfaz de red, vincule los programas MongoDB a la interfaz de red privada o interna.mongos

Para obtener más información, consulte Vinculación de IP en implementaciones autoadministradas.

Fortalecimiento de la red

Firewalls

Los firewalls permiten a los administradores filtrar y controlar el acceso a un sistema al proporcionar un control granular sobre las comunicaciones de red. Para los administradores de MongoDB, las siguientes funciones son importantes: limitar el tráfico entrante en un puerto específico a sistemas específicos y limitar el tráfico entrante de hosts no confiables.

En sistemas Linux, la interfaz iptables proporciona acceso al firewall subyacente netfilter. En sistemas Windows, la interfaz de línea de comandos netsh proporciona acceso al firewall de Windows subyacente. Para obtener más información sobre la configuración del firewall, consulte:

Para obtener los mejores resultados y minimizar la exposición general, asegúrese de que solo el tráfico de fuentes confiables pueda llegar a las instancias mongod y mongos y de que mongod y mongos solo puedan conectarse a salidas confiables.

Redes privadas virtuales

Las redes privadas virtuales, o VPN, permiten conectar dos redes a través de una red confiable, cifrada y con acceso limitado. Normalmente, los usuarios de MongoDB que usan VPN prefieren TLS/SSL en lugar de VPN IPSEC por problemas de rendimiento.

Dependiendo de la configuración e implementación, las VPN permiten la validación de certificados y una variedad de protocolos de cifrado, lo que requiere un riguroso nivel de autenticación e identificación de todos los clientes. Además, dado que las VPN proporcionan un túnel seguro, al usar una conexión VPN para controlar el acceso a su instancia de MongoDB, puede evitar la manipulación y los ataques de intermediario.

Deshabilitar el reenvío de IP

El reenvío de IP permite que los servidores reenvíen paquetes a otros sistemas. Desactive esta función en los servidores que mongod alojan.

Para deshabilitar el reenvío de IP en Linux, use el comando sysctl:

sudo sysctl -w net.ipv4.ip_forward=0

Para que el cambio sea persistente, edita el archivo /etc/sysctl.conf para añadir esta línea:

net.ipv4.ip_forward = 0

El reenvío de IP está deshabilitado de forma predeterminada en Windows.

Volver

Autorización LDAP

Asociación de IP