Todos los fines de semana que hay fútbol, si tienes un servidor doméstico con domótica, Plex, un lector de noticias, una nube privada con Nextcloud, una VPN, o cualquier otro servicio, y lo tienes dentro del CND de Cloudflare para protegerte de ataques informáticos, te quedas sin poder usarlo. El motivo: ya lo sabes, la lucha de LaLiga contra las emisiones ilegales en España. Cansados de ello, los usuarios han empezado a montar sus propias infraestructuras a prueba de estos bloqueos. Y nos ha llamado especialmente la atención una de ellas: Own Trust.
Bajo el lema «tu infraestructura, tus reglas», Own Trust busca ser una especie de alternativa a la Zero Trust de Cloudflare. Pero, en vez de depender de este CDN, todo se procesa y ejecuta dentro de tu propio servidor. De esta forma, solo dependes de Cloudflare como DNS, siendo imposible que bloqueen tus servidores los fines de semana (a no ser que vayan directamente contra tu IP, algo que, si no tienen motivos, no pueden hacer).
Qué ofrece Own Trust
Own Trust no deja de ser una configuración avanzada de un proxy inverso, pero llevado al extremo de la sencillez para que cualquiera, por pocos conocimientos que tenga, pueda hacerlo. Lo primero que hace este proyecto es ayudarte a configurar certificados wildcard. Estos, además de dotar a los servicios de HTTPS, ocultan los subdominios para que nadie pueda averiguarlos.
Después, en segundo lugar, configura un proxy inverso con Traefik. Se podría realizar también con Nginx, pero Traefik es más completo, sobre todo, a la hora de configurar los middleware, que es lo que más nos interesa. Gracias a ellos, podemos implementar en nuestro NAS o servidor casero funciones de seguridad avanzadas como las de Cloudflare, como:
- Rate Limiting
- Modify Request/Response Header
- Geo-blocking
- Redirect Rules
- URL Rewrites
- IP Access Rules
Gracias a estas capas de seguridad, podemos bloquear directamente todo el tráfico que venga de fuera de los países que no nos interesen (Rusia, China, etc), o permitir solo el tráfico de España, bloqueando por defecto todas las demás conexiones. También tenemos una protección básica contra ataques DDoS, de fuerza bruta, y hasta frente a ataques XSS.
Y, a mayores, nos permite montar otro middleware llamado «Authelia». Este lo que hace es actuar como un login a toda nuestra intranet. Antes de llegar (y exponer) cualquier servicio, tenemos que iniciar sesión en Authelia, y guardar la cookie en nuestro ordenador, o, de lo contrario, no podremos entrar a nada. Esta capa protege, en caso de que adivinen alguno de nuestros servicios, de posibles ataques contra vulnerabilidades. Además, soporta doble autenticación para una seguridad aún más robusta.
Limitaciones
Eso sí, debemos tener en cuenta algunas limitaciones. Además de las protecciones más avanzadas que ofrece el CDN (sobre todo de cara a mitigar ataques DDoS masivos, mejorar el rendimiento con la caché HTTP o el Web Application Firewall), Own Trust requiere de una IP pública real, por lo que si tu operador de Internet te tiene bajo un CGNAT, olvídate de usarlo.
El desarrollador ha asegurado que está trabajando en nuevas medidas de seguridad, como un sistema de CAPTCHA para bloquear mejor los ataques de fuerza bruta en Authelia, o un sistema fail2ban para bloquear todas las IPs que intenten, por ejemplo, llevar a cabo un ataque.
Sea como fuere, no es un Zero Trust como el que ofrece Cloudflare. Pero si tienes un servidor o NAS en tu casa, o un pequeño negocio, y los bloqueos de LaLiga te están afectando, puede ser una solución. Al fin y al cabo, estos bloqueos van para largo.
Deja una respuesta