Administración del Host Access Control de WHM
El "Host Access Control" o Control de acceso al anfitrión en el panel de control WHM es una característica que permite añadir reglas específicas que pueden proveer de acceso o denegarlo a una dirección IP al servidor y diversos servicios del mismo, de esta manera se pueden manejar estas herramientas desde locaciones específicas y es un agregado a la seguridad del servidor y su información.
Entre sus ventajas se encuentran:
- Seguridad mejorada: permite a los administradores restringir el acceso a los servicios del servidor, como SSH (Secure Shell), FTP (Protocolo de transferencia de archivos) y el propio cPanel/WHM, en función de las direcciones IP, lo que reduce la probabilidad de acceso no autorizado y posibles violaciones de datos.
- Protección contra ataques de fuerza bruta: al configurar para permitir el acceso solo desde direcciones IP específicas, los administradores pueden mitigar el riesgo de ataques de fuerza bruta dirigidos a servicios como SSH o cPanel. Restringir el acceso a direcciones IP conocidas puede dificultar que los atacantes obtengan acceso no autorizado mediante repetidos intentos de inicio de sesión.
- Control granular: los administradores tienen control granular sobre qué direcciones IP tienen permitido o denegado el acceso a los servicios del servidor. Esto les permite personalizar los permisos de acceso en función de requisitos y políticas de seguridad específicos, lo que proporciona flexibilidad en la gestión de las reglas de control de acceso.
- Registro y monitoreo: Host Access Control presenta capacidades de registro que permiten a los administradores monitorear los intentos de acceso y rastrear conexiones desde diferentes direcciones IP.
A continuación una lista de todos los servicios que se pueden manejar desde esta herramienta:
| Servicio | Daemon | Puerto |
|---|---|---|
| cPanel | cpaneld | 2083 |
| WHM | whostmgrd | 2087 |
| Webmail | webmaild | 2096 |
| Web Disk | cpdavd | 2078 |
| FTP | ftpd | 21 |
| SSH | sshd | 1157 1891 1291 |
| SMTP | smtp | 465, 587 |
| POP3 | pop3 | 995 |
| IMAP | imap | 993 |
Pasos a seguir:
Para poder acceder a esta herramienta, primero hay que entrar al panel de control WHM y en la barra de búsqueda escribir: "Host access control":
Dependiendo de la versión de cPanel es la interfaz que se muestra:
- cPanel >=116:
- cPanel <116:
La diferencia radica en la forma que se aplican las reglas, en las versiones de cPanel más recientes es con [Puerto, Dirección IP, Protocolo y Acción], en las anteriores es [Daemon, Lista de acceso/Dirección IP, Acción y Comentario].
Una cosa realmente importante a tener en cuenta es que las reglas tienen un orden de precedencia.
DEBE colocar todas las reglas PERMITIR antes de agregar las DENEGAR si desea permitir el acceso a ciertas direcciones IP y denegar el acceso a todas las demás direcciones IP.
Para las versiones más recientes:
- Las reglas aplicadas para dar o denegar el acceso son basadas en el puerto y no en el nombre del servicio/daemon.
- En el primer recuadro se aprecia la sección para añadir una regla y de color verde, el botón para añadirla.
- En el segundo recuadro se mostrarán las reglas ya existentes y el botón para recargar las reglas.
- Pueden ser direcciones IPv4 o IPV6.
- Se puede aplicar la misma regla para diversas direcciones IP separándolas por una coma (,).
Pasos para crear una regla:
- En el primer recuadro se agrega el puerto referente a la regla, en este caso 2087 que hace referencia a WHM.
- En el segundo recuadro se agrega la dirección IP o el rango.
- En la tercer opción se selecciona el protocolo de comunicación, TCP o UDP.
- En el último se selecciona la acción a realizar con esa regla, que puede ser Reject, Drop o Accept (rechazar, abandonar, aceptar).
- Cuando se selecciona Drop, se bloquea la conexión SIN mensaje de error, cuando se selecciona Reject si se muestra mensaje de error.
- Finalmente hacer clic en el botón verde para añadir la regla.
Para las versiones anteriores a 116:
- Las reglas aplicadas para dar o denegar acceso son basadas en el daemon del servicio.
- Pueden ser direcciones IPv4 o IPV6.
- Se puede aplicar la misma regla para diversas direcciones IP separándolas por una coma (,).
- Esta interfaz tiene la opción de mover de posición las reglas creadas incluso después de creadas, esto con ayuda de las flechas del lado izquierdo.
Pasos para crear una regla:
- En el primer recuadro se escribe el Daemon del servicio, Puede ser uno en específico o para dar acceso completo escribir "ALL".
- En el segundo recuadro se escribe la dirección IP o rango.
- En el tercer recuadro se escribe la acción a realizar con esa regla, que puede ser Deny o Allow (rechazar, permitir).
- Se puede añadir un comentario, opcional, para dar más contexto a la regla.
- Al final de la página se muestra un botón que lee "Save host access list", para poder guardar la/s reglas creadas
