Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

01 marzo 2014

¿Por qué en la URL sale la IP y no el nombre de dominio?


Ésta es la pregunta que me dirigió un honorable miembro de mi TL que prefiere permanecer anónimo (bueno, solo hay que ir a mi TL y buscarlo).Efectivamente: al buscar en Google por el nombre de su blog (un WordPress en un Apache de Amazon), no solo aparecía el dominio, sino también la IP de éste (y además, mejor posicionada).

La configuración de servidores web es un tema en el que estoy muy pez; pero, con este deseo de querer ayudar que nos caracteriza a todos los miembros de la Comunidad del Anillo, me puse a indagar.

He de decir que, aunque su profesión está en las antípodas de la informática, es un chico muy listo y al final lo resolvió él solo. Pero yo, mientras, tirando, tirando del hilo saqué bastante información interesante. Y me he decidido a escribir un post y compartirla con vosotros (por si os sirve):

La página www.cuwhois.com contiene una serie de herramientas SEO (Search Engine Optimization). Entre otras cosas, podemos introducir el nombre de nuestra página web y nos dará información interesante sobre cómo está configurada. Ahí pude averiguar que la IP de la página en cuestión no era canonizable; esto es: no se "traducía" en un nombre de dominio al teclearla en el navegador y también aparecía tal cual en los resultados de los buscadores. ¿Por qué? porque no se había redirigido la IP al nombre de dominio.

¿Es esto un problema para la seguridad?
Obtener la IP asociada a un dominio es trivial. Pero, frente a un ataque de DoS, uno siempre podría cambiar el dominio para que apunte a otra IP, mientras que el usuario que acceda directamente por IP lo seguirá encontrando caído. Además, la IP podría utilizarse para un ataque de DNS rebinding, haciendo que la consulta DNS del dominio del atacante responda con tu IP.

Otro inconveniente en el que se podría pensar es en la imposibilidad de obtener un certificado válido, en caso de que fuera necesario, al no poder asociarlo a un dominio. Pero en realidad, sí es posible asociar un certificado a una IP con GlobalSign.

¿Cómo se soluciona?
Haciendo un Redirect de la IP al nombre del dominio. 
 
Esto se puedo poner, por ejemplo, añadiendo las siguiente lineas al fichero .htaccess:

- Primera posibilidad:
Redirect 301 http://12.34.56.789 http://www.domainname.com 

- O también:
RewriteCond %{REMOTE_ADDR} ^12\.34\.56\.789$
RewriteRule ^(.*)$ http://www.domainname.com/$1 [L,R=301] 
 


(donde 12.34.56.789 es la IP y www.domainname.com el nombre de dominio)

En algunas instalaciones quitan el .htaccess por cuestiones de rendimiento. Pero se puede hacer de manera semejante en el httpd.conf

Ya véis: quise resolver una duda a un compañero y al final la resolvió él solo, pero a mí me sirvió para aprender una cosa nueva. Espero que a vosotros también os pueda servir de algo. Y, como siempre, si tenéis algo que añadir o corregir, bienvenido sea. :)

Referencias:
http://www.cuwhois.com/info/blog.lengua-e.com

https://security.stackexchange.com/questions/35635/is-showing-your-ip-address-in-the-url-a-bad-practice


http://faq.1and1.es/archivos/101.html

http://support.microsoft.com/kb/308163/es

http://wordpress.org/plugins/simple-301-redirects/

http://www.javierferraz.com/redirecciones-301-para-no-perder-el-trafico-organico-de-una-web/

http://stackoverflow.com/questions/19989580/301-redirect-for-ip-address-with-standard-wordpress-htaccess-file

http://www.webmasterworld.com/apache/3655980.htm

http://www.yolinux.com/TUTORIALS/ApacheRedirect.html

http://httpd.apache.org/docs/2.0/configuring.html

No hay comentarios:

Publicar un comentario

A penny for your thoughts