Redis es una base de datos en memoria de alto rendimiento que se utiliza ampliamente, pero no está configurada con una seguridad robusta por defecto. Especialmente cuando se accede a través de la red, la configuración incorrecta puede dar lugar a problemas como filtración de datos, hacking o interrupciones del servicio.

En este artículo, explicaremos cómo fortalecer la seguridad de red de Redis y las configuraciones clave de manera que incluso los principiantes puedan comprenderlo fácilmente. Revisemos uno por uno qué configuraciones deben verificarse para operar Redis de forma segura.

1. Limitar el acceso externo a Redis

✅ 1-1. Permitir acceso solo desde ciertas IPs (bind configuración)

Redis está configurado por defecto para aceptar conexiones de todas las interfaces de red. Es decir, sin ninguna configuración, cualquier persona puede acceder al servidor Redis.

Para evitar esto, debe utilizar la configuración de bind para limitar el acceso solo a una dirección IP específica.

📌 Ejemplo: Permitir acceso solo desde local (127.0.0.1)

bind 127.0.0.1 -::1

Con esta configuración, solo los clientes ejecutados en el mismo servidor pueden acceder a Redis.

📌 ¿Y si se necesita acceso desde IP externa?

Si necesita acceso desde IP externa, puede configurar para que solo se permita ciertas IP.

bind 192.168.1.100 10.0.0.1

De esta manera, solo se permitirá el acceso a Redis desde las IPs 192.168.1.100 y 10.0.0.1.

✅ 1-2. Configuración del modo protegido (protected-mode)

Redis ofrece la función de modo protegido para aumentar la seguridad. Cuando el modo protegido está activado, no se puede acceder desde el exterior sin una contraseña.

📌 Activar el modo protegido

protected-mode yes

Con esta configuración, Redis solo será accesible desde 127.0.0.1 (local).

2. Limitar puertos de red y conexiones en Redis

✅ 2-1. Configuración del puerto en el que Redis escuchará (port)

Redis se ejecuta por defecto en el puerto 6379.

port 6379

Si desea utilizarlo solo con socket Unix y no con socket TCP, puede configurar el puerto a 0.

port 0

✅ 2-2. Configurar para comunicarse solo a través de un puerto específico (bind-source-addr)

Las conexiones salientes de Redis (como réplicas conectándose al maestro o comunicación entre clústeres) por defecto no están vinculadas a una interfaz de red concreta.

bind-source-addr 10.0.0.1

Con esta configuración, Redis se comunicará solo a través de la interfaz 10.0.0.1 con otros servidores Redis externos.

3. Configuración para la estabilidad de las conexiones de red

✅ 3-1. Tamaño de la cola de espera de conexiones TCP (tcp-backlog)

tcp-backlog 511

🔹 Para servidores que manejan alto tráfico, es recomendable configurar este valor a 1,024 o 4,096.

✅ 3-2. Tiempo de inactividad del cliente (timeout)

timeout 300

Si un cliente no realiza ninguna operación durante 5 minutos, la conexión se cerrará automáticamente.

4. Configuraciones adicionales para mejorar la seguridad

✅ 4-1. Bloquear comandos peligrosos (enable-debug-command)

Algunos comandos de Redis (DEBUG, MODULE LOAD, etc.) pueden ser un riesgo de seguridad.

enable-debug-command no
enable-module-command no

Con esto, se restringirá la ejecución de comandos potencialmente peligrosos.

5. Resumen: Lista de verificación de la configuración de seguridad de Redis

• ✔ Configurar para que solo se acceda a Redis desde IP específicas (bind)
• ✔ Activar modo protegido (protected-mode) para bloquear accesos externos
• ✔ Configuración del puerto TCP (port) para limitar accesos innecesarios
• ✔ Configurar temporizador de inactividad del cliente (timeout) para bloquear conexiones inactivas
• ✔ Configuración de Keepalive (tcp-keepalive) para mantener conexiones de red
• ✔ Bloquear comandos peligrosos (enable-debug-command no) para mejorar la seguridad

Redis es una base de datos donde la seguridad de la red es crucial. Si aplica cuidadosamente estas configuraciones, podrá prevenir hackeos y filtraciones de datos. Si está operando un servidor Redis, verifique ahora sus configuraciones de seguridad. 🔐🚀