Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Manual de base de datos
/
Implementaciones autogestionadas
/
Seguridad
Docs Home
/
Manual de base de datos
/
Implementaciones autogestionadas
/
Seguridad

Fortalecimiento de la red y la configuración para implementaciones autogestionadas

Para reducir la exposición al riesgo de todo el sistema MongoDB, asegúrese de que sólo los hosts de confianza tengan acceso a MongoDB.

Endurecimiento de la configuración de MongoDB

Asociación de IP

Binarios de MongoDB, mongod y mongos, se vinculan a localhost por defecto.

Advertencia

Antes de vincular una dirección IP que no sea local (por ejemplo, de acceso público), asegúrese de proteger su clúster contra accesos no autorizados. Para obtener una lista completa de recomendaciones de seguridad, consulte la Lista de verificación de seguridad para implementaciones autogestionadas. Como mínimo, considere habilitar la autenticación y reforzar la infraestructura de red.

Advertencia

Asegúrate de que tus instancias de mongod y mongos sean accesibles únicamente en redes de confianza. Si tu sistema tiene más de una interfaz de red, vincula los programas de MongoDB a la interfaz de red privada o interna.

Para más información, consulta Enlace IP en implementaciones autogestionadas.

Refuerzo de red

Firewalls

Los firewalls permiten a los administradores filtrar y controlar el acceso a un sistema al proporcionar un control granular sobre las comunicaciones de red. Para los administradores de MongoDB, las siguientes funciones son importantes: limitar el tráfico entrante en un puerto específico a sistemas específicos y limitar el tráfico entrante de hosts no confiables.

En sistemas Linux, la interfaz iptables proporciona acceso al firewall subyacente netfilter. En sistemas Windows, la interfaz de línea de comandos netsh proporciona acceso al firewall subyacente de Windows. Para información adicional sobre la configuración del firewall, consulta:

Para obtener los mejores resultados y minimizar la exposición general, asegúrese de que solo el tráfico de fuentes confiables pueda llegar a las instancias mongod y mongos y de que mongod y mongos solo puedan conectarse a salidas confiables.

Redes privadas virtuales

Las redes privadas virtuales, o VPN, hacen posible vincular dos redes a través de una red confiable cifrada y de acceso limitado. Normalmente, los usuarios de MongoDB que utilizan VPN emplean TLS/SSL en lugar de VPN IPSEC debido a problemas de rendimiento.

Dependiendo de la configuración y de la implementación, las VPN ofrecen validación de certificados y una selección de protocolos de cifrado, lo que requiere un nivel riguroso de autenticación e identificación de todos los clientes. Además, debido a que las VPN proporcionan un túnel seguro, al utilizar una conexión VPN para controlar el acceso a tu instancia de MongoDB, puedes evitar la manipulación y los ataques de "hombre en el medio".

Desactivar el reenvío de IP

El reenvío de IP permite que los servidores reenvíen paquetes a otros sistemas. Desactive esta función en los servidores que mongod alojan.

Para desactivar el reenvío de IP en Linux, utiliza el comando sysctl:

sudo sysctl -w net.ipv4.ip_forward=0

Para que el cambio sea persistente, edita el archivo /etc/sysctl.conf para añadir esta línea:

net.ipv4.ip_forward = 0

El reenvío de IP está desactivado por defecto en Windows.

Volver

Autorización LDAP

Next

Asociación de IP

En esta página