La de veces que habré escuchado ese refrán popular que dice «En casa del herrero, cuchillo de palo«. No sé quién acuñó por primera vez esta frase o quién fue el autor de tal maravilla, pero describe perfectamente el estado de la red interna de mi casa. Lo más grave aun, es que me dedico a ello (¡soy el herrero!) siendo en el ámbito profesional muy crítico en cuanto a la seguridad/privacidad respecto a la protección de los usuarios en los sistemas operativos. Siendo a nivel de redes también un poco «toca narices» aunque esa parcela suelo dejarla a compañeros mucho más conocedores de ello.

El pasado fin de semana, teniendo un rato libre, ordené un poquillo la «red interna» de mi casa, si bien no hice un gran cambio por diversos servicios que utilizamos a diario y que no puedo cortar de golpe sin saber cuánto tiempo me llevará, toqué lo que pude dejando para más adelante cambios más directos y amplios en cuanto a criticidad. Eso requiere de una planificación más ardua que realizaré más adelante.

Más abajo tenéis una imagen donde podéis ver la situación actual de mi red interna junto a todos los dispositivos que la conforman. Con este dibujo en ExcaliburDraw (servicio selfhosting) queda bien claro como está todo montado (o al menos para mi :D) y donde detrás del router es donde hay que meter mucha mano.

SSL para todos

Siguen existiendo hoy en día protocolos que en mi opinión, tuvieron que dejar de usarse al menos a nivel profesional. No es raro todavía encontrarse accesos desde internet a servicios sin protocolo seguro. Hablo de protocolos como FTP (File Transfer Protocol), Telnet, HTTP o incluso versiones antiguas del protocolo TLS (Transport Layer Security). Esto es un gran problema en técnicas como el «man in the middle«.

Lo primero por lo tanto que hice y que ya era necesario, fue asegurar todos los accesos desde el exterior mediante SSL (Secure Sockets Layer) para evitar cualquier agujero que pudiera tener. Antes de la imagen arriba mostrada, tenía los siguientes riesgos:

Servidor multimedia Emby

Lo estaba sirviendo bajo el puerto destinado al HTTP (8096) para accesos de amigos desde el exterior. Con esto estaba poniendo en peligro tanto el propio servidor como a ellos mismos, ya que sus usuarios/passwords estaban «viajando» en texto plano. Un riesgo que era fácil de solucionar añadiendo bien un certificado directamente (Emby tiene la opción) o bien creando uno y añadiéndolo al Proxy inverso. Finalmente opté por añadirlo directamente en Emby sin pasar por el proxy. Cree un certificado para mi dominio, lo convertí en .pfx (así lo requiere) y lo añadí en las opciones para todas las conexiones por el puerto 8920, que tuve que abrir en mi router. Aquí tenéis la configuración:

Finalmente la conexión quedó asegurada tanto para el servidor como para los accesos externos que llevaran la capa de cifrado para los credenciales.

Blog en WordPress

Activé también mi blog en WordPress que no utilizaba desde el año 2020, el de la pandemia, que a mi como muchos otros, me dio por escribir en esa situación tan delicada y desagradable. Estuve bastante reacio a recuperarlo ya que fue un momento malo como digo y me traía recuerdos que quería olvidar, pero al ser parte de mi, dejé la idea de crear un blog desde algún SSG y retomarlo. Y aquí está.

Lo tenía en la RaspberryPI 3B+ junto a Pi-hole también configurado en HTTP puesto que el certificado que tenía había caducado hace ya un tiempo. Lo único que tenía que hacer era configurar un nuevo certificado con Let’s Encrypt y levantarlo, pero opté por añadirle una capa más de seguridad.

Así pues levanté un servicio nuevo de WordPress en mi otra RapsberryPI 3B, donde tengo instalado YunoHost junto a la aplicación de ExcaliburDraw (ya os hablaré de ella) y configuré todo de nuevo, restauré una copia de mis posts antiguos, ya que estaba también cambié el tema del blog, lo hice más minimalista y configuré nuevas cositas del Fediverso, IA y demás. Hecho eso, comprobé que estaba todo bien y lo activé.

Desde Yunohost configuré el acceso por defecto a mi dominio https://mindeka.nohost.me para el acceso directo a mi blog y le añadí un certificado SSL desde Let’s Encrypt, que viene integrado con toda esta suite:

De esta manera ya quedó asegurado con la capa de seguridad que debe de tener.

Buscador SearXNG

Por último, una vez todo securizado revisando el servidor de YunoHost, pude ver las nuevas aplicaciones que han llegado a esta suite. Si antes tenía bastantes aplicaciones cuando lo instalé ahora mismo el catálogo es realmente grande e interesante.

Por lo que probando encontré la instalación de buscador llamado SearXNG para realizar búsquedas sin tracking alguno. Además vi que existían muchas e interesantes opciones de configuración como múltiples navegadores, etc., por lo que opté instalarlo. Y aunque debo decir que al principio no me impactó mucho, ya que tengo un pequeño «delay» que revisaré, entre que solicito la búsqueda y responde (puede ser la RaspberryPI 3B que no da para más) después de usarlo habiendo configurado mi navegador Vivaldi comprobé que las respuestas que da son bastante fiable de lo que estás buscando y que es una alternativa realmente interesante y que asegura tu privacidad en todos los aspectos.

Por lo que configuré un nuevo dominio, instalé la aplicación, generé otro certificado desde Let’s Encrypt y encendí.
Desde entonces, estoy utilizando mi navegador local a pleno rendimiento.

Conclusión

Quedan muchas cosas por mejorar, quiero hacer más cambios, sobre todo «aislar» mi blog para tenerlo aparte de cualquier otra aplicación/servicio y eso requiere que sea en otro dispositivo o bien en la propia RaspberryPI actual pero sacando de ahí el resto de servicios como son ExcaliburDraw y el buscador SearXNG.

También pasaré para otra capa de seguridad el blog por el proxy inverso junto al Emby, ya que aunque está asegurado, siempre es mejor añadir un proxy y solo dejar abiertos hacía internet los puertos 80 y 443.

En definitiva, no sé si es mucho «cuchillo de palo» pero no me siento el herrero que tiene todo perfectamente acondicionado.
Por el momento funciona, no tengo muchos riesgos como tenía anteriormente a este fin de semana y además el rango de mejora es alto por todo lo que se puede hacer.

Y nada más, si tenéis preguntas, dudas o queráis saber algo del auto alojamiento o selfhosting, podéis comentar por aquí o directamente en mi cuenta de Mastodon: https://meetiko.org/@jmdelosreyes.

¡Nos vemos en las redes!