Segurança no REST com IP externo

marcosfelipe.rxavier · Março 20, 2025, 7:07pm

Estamos criando um appserver REST no Protheus para utilizar o Portal do cliente.
Já subimos o serviço REST e está acessível localmente.
Próximo passo é configurar o mingle, porém para isso preciso que o serviço REST esteja disponível externamente.
Foi criada uma regra em nosso firewall para liberação de uma porta em nosso IP externo, que redireciona para o IP e porta do REST. Logo ao acessar externamente, já caímos na fachada de login de webservices do protheus.
A dúvida aqui do tópico é relacionada à segurança desse IP e porta externos.
Podemos deixá-lo aberto para receber requisições de qualquer ip? quais os impactos de deixar esse ip e porta externos abertos?
Qual a segurança que o protheus oferece em relação à isso?

dilsoncastro · Março 20, 2025, 7:14pm

No caso de autenticação apenas com usuário e senha, atacantes podem tentar inúmeras combinações para acessar o sistema.

felipe.caiado · Março 20, 2025, 7:15pm

@marcosfelipe.rxavier na minha opinião você pode deixar aberto sim, mas duas coisas podem garantir a segurança das suas API’s, utilizar HTTPS e utilizar a segurança com autenticação do proprio REST, onde você pode utilizar usuário e senha ou por token.

marcosfelipe.rxavier · Março 20, 2025, 7:19pm

Felipe, pelo pouco que entendo da arquitetura do Protheus eu também entendo que não existem grandes riscos em deixar esse IP acessível. Porém precisava entender em mais detalhes para explicar para a equipe de infra rsrs

felipe.caiado · Março 20, 2025, 7:22pm

Marcos,

Caso você queira limitar o ip também, se for uma API que foi desenvolvida por vocês da pra usar assim também.

E se vocês utilizam o Cloud da TOTVS ainda tem opção de configurar uma restrição também.

marcosfelipe.rxavier · Março 20, 2025, 7:34pm

o COMO fazer eu tenho o conhecimento, a maior dúvida aqui é se existe algum risco REAL de deixar aberto para IPs desconhecidos?
Muito se fala de boas práticas… mas existe algum risco REAL de problema ou não?

felipe.caiado · Março 20, 2025, 7:41pm

@marcosfelipe.rxavier na minha opinião, o risco sempre existe, mas com HTTPS e o TOKEN você diminui consideravelmente esse risco.

Alguns itens que acho importante:

Sempre usar HTTPS
Implementar um modelo de autenticação e autorização sólido e escalável
Não incluir informações confidenciais em URLs

bruno.sales1 · Março 21, 2025, 10:55pm

Acredito que o máximo de risco que vocês correm é algum engraçadinho tentar brute force na senha do rest

marcosfelipe.rxavier · Março 26, 2025, 2:27pm

Sim sim, penso da mesma forma. Mas isso tratamos facilmente com política de bloqueio de usuário

zvs · Março 26, 2025, 2:48pm

como disse o @felipe.caiado, o risco sempre existe

o risco é real, os caras tentam invadir tudo

além das sugestões que foram dadas, se o acesso vai ser só pelo Mingle (que eu não conheço), talvez possa ser usada alguma solução de whitelist, seja pelo firewall (endereços IP), seja pelo DNS (e aí não sei qual ferramenta usar)