[Gelöst] Frage zur Veröffentlichung von WAPT über einen Reverse-Proxy im Internet

Jeancharles · 10. Januar 2020 – 14:59 Uhr

Hallo zusammen und ein frohes neues Jahr voller neuer Pakete!

Ich überlege, einen Reverse-Proxy (Kemp Free Load Master) für den WAPT-Dienst einzurichten, um die direkte Kommunikation und Bereitstellung auf Rechnern zu ermöglichen, die über WAPT mit dem Internet verbunden sind.
Meine Fragen:

Kann Port 443 einfach auf dem Server freigegeben werden, oder ist ein Workaround für WebSockets erforderlich?

Welche Sicherheitsrisiken bestehen? Könnte ein Angreifer Konten leicht per Brute-Force-Angriff knacken, und lässt sich dies durch Fail2ban oder eine ähnliche Lösung verhindern?

Vielen Dank für eure Einschätzungen,

Jean-Charles

Jeancharles · 13. Januar 2020 - 11:19 Uhr

Und ganz allgemein gefragt: Halten Sie das für eine gute Idee oder für eine Abweichung?

Mein WAPT-Server läuft derzeit unter Windows 2012 R2, und ich verwalte 60 Clients mit der Community-Version 1.7.4 6232.

13. Januar 2020 – 16:43 Uhr

Eine sehr einfache Methode ist die Installation eines WAPT-Repositorys in der DMZ.

Anschließend kopieren Sie die gewünschten Pakete per rsync vom Haupt-WAPT-Repository in dieses DMZ-Repository.

Fertig – Ihnen werden nur noch die gewünschten WAPT-Pakete angeboten.

13. Januar 2020 – 21:17 Uhr

Nachtrag: Ich habe den Sinn nicht verstanden

Ja, Sie können einen Proxy in der DMZ einrichten, der als Reverse-Proxy zu Ihrem internen WAPT-Server fungiert; hier erfahren Sie, wie Sie den Zugriff sichern

Beispiel mit einem Reverse-Proxy APACHE:

Code: Alle auswählen

<VirtualHost 0.0.0.0:443>
   ServerName wapt.domain.fr

   SSLEngine On
   SSLProxyEngine On
   SSLCertificateKeyFile  /etc/ssl/private/srvwapt.key
   SSLCertificateFile /etc/ssl/private/srvwapt.crt
   Include /etc/apache2/conf-available/ssl.conf

   SSLProxyVerify on
   SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt

   ErrorLog     /var/log/apache2/wapt-error.log
   CustomLog    /var/log/apache2/wapt-access.log combined

   SSLCACertificateFile /etc/apache2/cawapt.crt

<Location />
   SSLVerifyClient require
   ProxyAddHeaders On
   ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>

Sie können die SSLCACertificateFile von /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt auf Ihrem wapt-Server abrufen.

Einige zugehörige Dokumente:
https://www.wapt.fr/fr/doc/wapt-securit...ation.html

Beispiel für eine Reverse-Proxy-Konfiguration NGINX:

Code: Alle auswählen


server {
  listen       443 ssl http2;
  server_name wapt.domain.fr;
    ssl_certificate /etc/ssl/private/srvwapt.pem; 
    ssl_certificate_key /etc/ssl/private/srvwapt.pem;
    client_max_body_size 50M;
  
    ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
    ssl_verify_client  optional;

  location / {
    proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
    proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
    if ($ssl_client_verify != SUCCESS) {
        return 401;
    }
    proxy_pass https://srvwapt.ad.domain.fr/;
    proxy_set_header        Host            $host;
    proxy_set_header        X-Real-IP       $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto  https;

  }


}

Es müssen wahrscheinlich noch einige Änderungen an den DNS- und HTTPS-Zertifikatseinträgen vorgenommen werden

Jeancharles · 14. Januar 2020 – 9:50 Uhr

Danke, das klingt perfekt. Ich nutze Split-DNS, sodass ich intern und extern denselben DNS-Namen und dasselbe Zertifikat verwenden kann.

Meine Hauptsorge war, dass WebSockets den Reverse-Proxy nicht passieren würden und dass es aus Sicherheitsgründen nicht ratsam sein könnte, WAPT-Ressourcen im Internet zu veröffentlichen.

Ich werde mir das ansehen; es ist benutzerfreundlicher für mich, da ich Kemp Free Load Master (kostenlos) verwende, das Reverse-Proxying über eine Benutzeroberfläche ermöglicht.
https://support.kemptechnologies.com/hc ... LoadMaster