Plugin de Filtro de Acceso

El plugin AccessFilter te permite controlar qué direcciones IP pueden acceder a tu GpsGate Server.

Esta guía explica cómo puedes instalar y usar el plugin AccessFilter en GpsGate Server. Después de instalar este plugin, podrás restringir el acceso a tu GpsGate Server definiendo filtros de acceso. Esto puede ser muy útil si deseas que los administradores o dispositivos puedan acceder a GpsGate Server solo desde direcciones IP de confianza.

Los filtros que creas son específicos de la aplicación y del rol; por lo tanto, puedes crear diferentes filtros de acceso para diferentes roles en cada aplicación. Esta guía te llevará a través de los pasos para realizar estas operaciones.

Instalación

  1. Instala el plugin AccessFilter.
  2. Navega a la pestaña Seguridad en Administración del sitio, puedes acceder a la página del plugin haciendo clic en el enlace Filtros de Acceso del menú lateral.

Si ya habías instalado el plugin AccessFilter, asegúrate de tener todos tus plugins actualizados.

Creación de Elementos de Filtro de Acceso

Una vez que llegues a la página del plugin AccessFilter por primera vez, la página te indicará que no hay elementos de filtro de acceso definidos. Puedes hacer clic en el botón Crear Nuevo en la parte superior derecha de la pantalla para acceder al formulario, donde puedes crear elementos de filtro de acceso en dos pasos.

Paso 1: Creación de Cadena de Filtro de Acceso

Una cadena representa un elemento de filtro de acceso que puede ser asignado a un rol en una aplicación. Una cadena se compone de reglas y requiere un nombre único para ser identificada.

Access_Filter_Create_Chain_Fields.png

Aquí, debes completar:

  • Nombre: Un nombre único para identificar la cadena de filtro de acceso.
  • Descripción (Opcional): Descripción para esta cadena.
  • Habilitado: Si esta cadena está activa o no. Las cadenas de filtro de acceso deshabilitadas serán ignoradas.

Después de completar los campos y hacer clic en Guardar, puedes proceder a definir las reglas de filtro de acceso.

Paso 2: Creación de Reglas de Filtro de Acceso

Una regla es parte de una cadena de filtro de acceso, especifica qué dirección o grupo de direcciones debe ser permitido/denegado. Puedes definir múltiples reglas en una cadena, y se ejecutarán en el orden en que están listadas.

Cuando haces clic en el botón “Agregar Nueva Regla”, se mostrará el formulario a continuación.

Access_Filter_Create_Rule_Fields.png

Aquí, debes completar:

  • Acción: Especifica si esta regla debe Permitir o Denegar la dirección o grupo de direcciones especificado.
  • Alcance: Tipo de dirección o grupo de direcciones.
  • Valores de dirección: La entrada requerida en esta sección cambia dependiendo de tu elección de Alcance en el paso anterior.
    • Para Dirección IP, debes especificar una sola dirección IP. (Ejemplo: 192.168.0.112)
    • Para Subred, debes especificar una dirección IP base y una máscara de subred. (Ejemplo: 192.168.0.0/24)
    • Para el Rango de Direcciones IP, debes especificar el inicio y el fin del rango de IP. (Ejemplo: Desde [192.168.0.0] - Hasta [192.168.0.255])
  • Habilitado: Si esta regla está activa o no. Las reglas deshabilitadas serán ignoradas.
  • Nota (Opcional): Descripción de esta regla.

Cuando haces clic en “Guardar”, la regla se registrará como la última regla en la cadena. Sin embargo, puedes modificar y reordenar las reglas como desees en la lista de reglas, como se ve a continuación:

Access_Filter_View_Rules.png

Al navegar a la página principal del filtro de acceso, también puedes modificar y reordenar los elementos de la cadena de filtros de acceso.

Access_Filter_View_Chains.png

Asignación de Cadenas de Filtros de Acceso a Roles

Ahora que has creado cadenas de filtros de acceso y definido reglas de acceso bajo ellas, puedes especificar a qué roles debe aplicarse el filtro de acceso. Para hacerlo, debes seguir los pasos a continuación:

  1. En Administración del sitio, ve a la pestaña Aplicaciones. Haz clic en Buscar y Administrar.
  2. Haz clic en la aplicación para la cual deseas habilitar las cadenas de filtros de acceso.
  3. Desplázate hacia abajo hasta la sección Privilegios y Roles. Encuentra el nodo Plugins en el árbol de privilegios.
  4. Debajo de Plugins, expande los nodos de privilegio AccessFilter y luego _AccessFilter.
  5. Marca/Desmarca las cadenas de filtros de acceso que deseas habilitar/deshabilitar para esta aplicación.
  6. Haz clic en “Guardar”. Ahora la aplicación tiene los elementos de filtro de acceso seleccionados habilitados, y están asignados al rol _Administrator automáticamente.
  7. Inicia sesión en la Aplicación Rastreador de Activos. Desde el menú principal, ve a “Admin” ⇒ “Roles”.
  8. En la ventana Roles, haz clic en el rol al que deseas asignar elementos de filtro de acceso.
  9. Debajo de Privilegios, puedes asignar elementos de filtro de acceso a este rol de la misma manera que lo hiciste para la aplicación.

Access_Filter_Assign_Application.png

Cómo Funciona

Cuando un usuario intenta conectarse al Servidor GpsGate, el mecanismo de filtro de acceso primero verifica qué rol(es) tiene el usuario. El siguiente paso es iterar a través de todas las cadenas de filtros de acceso asignadas al rol(es) del usuario. Se aplica la primera regla que cubre la dirección IP del usuario. Por lo tanto, el acceso se permite/deniega dependiendo de lo que instruya la primera regla coincidente. Si no hay coincidencia, el acceso se deniega por defecto.

Ten en cuenta que los elementos de filtro de acceso se tendrán en cuenta justo después de asignarlos a un rol. Además, si no habilitas el privilegio _AccessFilter para un rol, el mecanismo de filtro de acceso ignorará este rol, lo que significa que el rol en particular siempre será permitido.

Escenarios de Ejemplo

La funcionalidad proporcionada por este plugin puede ser muy útil cuando deseas restringir el acceso a administradores y dispositivos que intentan conectarse al Servidor GpsGate.

Escenario 1: Restringir el acceso a SiteAdmin

Si deseas que el/los administrador(es) puedan iniciar sesión en SiteAdmin solo desde una dirección IP de confianza, utiliza el plugin AccessFilter para definir una cadena que incluya solo una regla:

Access_Filter_Scenario_1.png

Después de este paso, necesitas habilitar la cadena de filtros de acceso para la aplicación de Administración del Sitio en sí. Para hacerlo:

  1. Ve a la pestaña Aplicaciones y haz clic en “Buscar y Administrar” desde el menú a la izquierda.
  2. Haz clic en la “Aplicación de Administración del Sitio” para editar.
  3. Desplázate hacia abajo hasta la sección Privilegios y Roles. Encuentra el nodo Plugins en el árbol de privilegios.
  4. Habilita la cadena marcándola, luego haz clic en “Guardar.”

Access_Filter_Enable_Siteadmin.png

Una vez que esta cadena de filtros de acceso esté habilitada para la Aplicación de Administración del Sitio, solo los clientes con la dirección IP 66.249.64.167 podrán acceder a SiteAdmin.

Escenario 2: Restringir el acceso a dispositivos

Piensa en un caso donde deseas que los dispositivos de rastreo puedan enviar datos desde un rango específico de direcciones IP. Además, deseas bloquear una dirección IP específica en ese rango.

Lo que puedes hacer aquí es definir una cadena que tenga dos reglas (por favor, ten en cuenta el orden):

Access_Filter_Scenario_2.png

Para habilitar esta cadena de filtros de acceso, asegúrate de seguir los pasos en la sección Asignar Cadenas de Filtros de Acceso a Roles. Una vez que esta cadena esté habilitada para el rol _Unit, se denegará el acceso a los dispositivos con la dirección IP: 66.249.64.167. Todos los demás dispositivos dentro del rango de IP: 66.249.64.0 – 66.249.64.255 serán permitidos.

Notas Importantes

  • El acceso desde la máquina host (es decir, localhost) siempre está permitido, independientemente de los filtros de acceso definidos.
  • Los filtros de acceso se aplican solo a las conexiones que utilizan HTTP, TCP o UDP.
  • Cuando habilitas una cadena de filtros de acceso para una aplicación, se asigna automáticamente al rol _Administrator.