<div dir="ltr"><div>&gt;well, it&#39;s up to you :) if you have different remote systems, that need 
to contact the server -&gt; you wanna expose the /sender part too. if 
not -&gt; block it<br><br>Yes, so I can block the following URL from external requests:<br>/ag-push/rest/sender/<br><br></div><div>Are there other similar URLS that I can block to secure the UnifiedPush Server?<br></div><div><br></div>Regards,<br>Andreas R.<br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">2014-11-24 14:39 GMT+01:00 Matthias Wessendorf <span dir="ltr">&lt;<a href="mailto:matzew@apache.org" target="_blank">matzew@apache.org</a>&gt;</span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Andreas,<br><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Mon, Nov 24, 2014 at 2:23 PM, Andreas Røsdal <span dir="ltr">&lt;<a href="mailto:andreas.rosdal@gmail.com" target="_blank">andreas.rosdal@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Good morning!<span><br><br>&gt; I think what you&#39;re looking for is something like this[1], right?<br><br></span></div>Maybe this could be secured using Netfilter on Linux, I would be interested in hearing more about this.<br>Initially, I thought I would be looking for a F5 firewall iRule kind of like this:<br></div>-Allow: /ag-push/(registration)<br></div>-Deny: /ag-push/(admin-gui)  and /ag-push/(java-api-access)<div><div><div><br>Is /ag-push/ is designed to be exposed to the public Internet? <br></div></div></div></div></blockquote><div><br></div></span><div>well, it&#39;s up to you :) if you have different remote systems, that need to contact the server -&gt; you wanna expose the /sender part too. if not -&gt; block it</div><div><br></div><div>As you said earlier, the only one that really needs to be exposed to public is the device registration.<br></div><span class=""><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><span><br>&gt;That&#39;s an interesting scenario. I think if we extracted the registration<br>
&gt;module to a separated WAR file, would help to protect /ag-push<br>
&gt;infrastructure. Not sure if the idea is interesting.<br></span></div></div></div></div></blockquote><div><br></div></span><div>That is an interesting point, and worth evaluating.</div><div>Internally of that &quot;registration.war&quot;, we could simply act as a proxy to the &#39;real&#39; registration (on the ag-push.war), which is blocked by the firewall.<br></div><div><br></div><div><br></div><div>-Matthias</div><div><div class="h5"><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><span><br></span></div><div>Yes, that would be interesting as a more long-term solution. I would like to start using <br>the UnifiedPush Server very soon, so then I would prefer some quick firewall rule rather than waiting <br>for a new release.<br><br></div><div>Thanks for the help so far!<span><font color="#888888"><br><br>Andreas<br><br></font></span></div><div><br></div></div></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">2014-11-24 13:57 GMT+01:00 Bruno Oliveira <span dir="ltr">&lt;<a href="mailto:bruno@abstractj.org" target="_blank">bruno@abstractj.org</a>&gt;</span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Good morning Andreas, I think what you&#39;re looking for is something like<br>
this[1], right?<br>
<br>
That&#39;s an interesting scenario. I think if we extracted the registration<br>
module to a separated WAR file, would help to protect /ag-push<br>
infrastructure. Not sure if the idea is interesting.<br>
<br>
Thoughts anyone?<br>
<br>
<br>
[1] -<br>
<a href="http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html#toc3.18" target="_blank">http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html#toc3.18</a><br>
<div><div><br>
On 2014-11-24, Andreas Røsdal wrote:<br>
&gt; Hello!<br>
&gt;<br>
&gt; I would like to security advice for running the Aerogear UnifiedPush Server<br>
&gt; for sending Push messages to an iPhone app. The app-server is Wildfly, and<br>
&gt; HTTPS is enabled. It is important to prevent unauthorized push messages<br>
&gt; from being sent. Do you have any documentation or general advice for<br>
&gt; securing Aerogear UnifiedPush Server?<br>
&gt;<br>
&gt; I would like to setup firewall rules to prevent users on the internet to<br>
&gt; log in to the UnifiedPush Admin gui /ag-push/ while still allowing<br>
&gt; registration of iPhone app/device tokens though the same UnifiedPush Admin<br>
&gt; server. What kind of URL pattern can I use to prevent admin logins<br>
&gt; externally?<br>
&gt;<br>
&gt;<br>
&gt; Regards,<br>
&gt; Andreas R.<br>
<br>
</div></div>&gt; _______________________________________________<br>
&gt; aerogear-dev mailing list<br>
&gt; <a href="mailto:aerogear-dev@lists.jboss.org" target="_blank">aerogear-dev@lists.jboss.org</a><br>
&gt; <a href="https://lists.jboss.org/mailman/listinfo/aerogear-dev" target="_blank">https://lists.jboss.org/mailman/listinfo/aerogear-dev</a><br>
<br>
<br>
--<br>
<br>
abstractj<br>
PGP: 0x84DC9914<br>
_______________________________________________<br>
aerogear-dev mailing list<br>
<a href="mailto:aerogear-dev@lists.jboss.org" target="_blank">aerogear-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/aerogear-dev" target="_blank">https://lists.jboss.org/mailman/listinfo/aerogear-dev</a></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
aerogear-dev mailing list<br>
<a href="mailto:aerogear-dev@lists.jboss.org" target="_blank">aerogear-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/aerogear-dev" target="_blank">https://lists.jboss.org/mailman/listinfo/aerogear-dev</a><br></blockquote></div></div></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div>Matthias Wessendorf <br><br>blog: <a href="http://matthiaswessendorf.wordpress.com/" target="_blank">http://matthiaswessendorf.wordpress.com/</a><br>sessions: <a href="http://www.slideshare.net/mwessendorf" target="_blank">http://www.slideshare.net/mwessendorf</a><br>twitter: <a href="http://twitter.com/mwessendorf" target="_blank">http://twitter.com/mwessendorf</a></div>
</font></span></div></div>
<br>_______________________________________________<br>
aerogear-dev mailing list<br>
<a href="mailto:aerogear-dev@lists.jboss.org">aerogear-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/aerogear-dev" target="_blank">https://lists.jboss.org/mailman/listinfo/aerogear-dev</a><br></blockquote></div><br></div>