Seite 1 von 1
[Gelöst] Frage zur Veröffentlichung von WAPT über einen Reverse-Proxy im Internet
Veröffentlicht: 10. Januar 2020 – 14:59 Uhr
von Jeancharles
Hallo zusammen und ein frohes neues Jahr voller neuer Pakete!
Ich überlege, einen Reverse-Proxy (Kemp Free Load Master) für den WAPT-Dienst einzurichten, um die direkte Kommunikation und Bereitstellung auf Rechnern zu ermöglichen, die über WAPT mit dem Internet verbunden sind.
Meine Fragen:
Kann Port 443 einfach auf dem Server freigegeben werden, oder ist ein Workaround für WebSockets erforderlich?
Welche Sicherheitsrisiken bestehen? Könnte ein Angreifer Konten leicht per Brute-Force-Angriff knacken, und lässt sich dies durch Fail2ban oder eine ähnliche Lösung verhindern?
Vielen Dank für eure Einschätzungen,
Jean-Charles
Betreff: Frage zur Veröffentlichung von WAPT über einen Reverse-Proxy im Internet
Veröffentlicht: 13. Januar 2020 - 11:19 Uhr
von Jeancharles
Und ganz allgemein gefragt: Halten Sie das für eine gute Idee oder für eine Abweichung?
Mein WAPT-Server läuft derzeit unter Windows 2012 R2, und ich verwalte 60 Clients mit der Community-Version 1.7.4 6232.
Betreff: Frage zur Veröffentlichung von WAPT über einen Reverse-Proxy im Internet
Veröffentlicht: 13. Januar 2020 – 16:43 Uhr
von Sfonteneau
Eine sehr einfache Methode ist die Installation eines WAPT-Repositorys in der DMZ.
Anschließend kopieren Sie die gewünschten Pakete per rsync vom Haupt-WAPT-Repository in dieses DMZ-Repository.
Fertig – Ihnen werden nur noch die gewünschten WAPT-Pakete angeboten.
Betreff: Frage zur Veröffentlichung von WAPT über einen Reverse-Proxy im Internet
Veröffentlicht: 13. Januar 2020 – 21:17 Uhr
von Sfonteneau
Nachtrag: Ich habe den Sinn nicht verstanden
Ja, Sie können einen Proxy in der DMZ einrichten, der als Reverse-Proxy zu Ihrem internen WAPT-Server fungiert; hier erfahren Sie, wie Sie den Zugriff sichern
Beispiel mit einem Reverse-Proxy
APACHE:
Code: Alle auswählen
<VirtualHost 0.0.0.0:443>
ServerName wapt.domain.fr
SSLEngine On
SSLProxyEngine On
SSLCertificateKeyFile /etc/ssl/private/srvwapt.key
SSLCertificateFile /etc/ssl/private/srvwapt.crt
Include /etc/apache2/conf-available/ssl.conf
SSLProxyVerify on
SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt
ErrorLog /var/log/apache2/wapt-error.log
CustomLog /var/log/apache2/wapt-access.log combined
SSLCACertificateFile /etc/apache2/cawapt.crt
<Location />
SSLVerifyClient require
ProxyAddHeaders On
ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>
Sie können die SSLCACertificateFile von /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt auf Ihrem wapt-Server abrufen.
Einige zugehörige Dokumente:
https://www.wapt.fr/fr/doc/wapt-securit...ation.html
Beispiel für eine Reverse-Proxy-Konfiguration
NGINX:
Code: Alle auswählen
server {
listen 443 ssl http2;
server_name wapt.domain.fr;
ssl_certificate /etc/ssl/private/srvwapt.pem;
ssl_certificate_key /etc/ssl/private/srvwapt.pem;
client_max_body_size 50M;
ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
ssl_verify_client optional;
location / {
proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
if ($ssl_client_verify != SUCCESS) {
return 401;
}
proxy_pass https://srvwapt.ad.domain.fr/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
Es müssen wahrscheinlich noch einige Änderungen an den DNS- und HTTPS-Zertifikatseinträgen vorgenommen werden
Betreff: Frage zur Veröffentlichung von WAPT über einen Reverse-Proxy im Internet
Veröffentlicht: 14. Januar 2020 - 9:50 Uhr
von Jeancharles
Danke, das klingt perfekt. Ich nutze Split-DNS, sodass ich intern und extern denselben DNS-Namen und dasselbe Zertifikat verwenden kann.
Meine Hauptsorge war, dass WebSockets den Reverse-Proxy nicht passieren würden und dass es aus Sicherheitsgründen nicht ratsam sein könnte, WAPT-Ressourcen im Internet zu veröffentlichen.
Ich werde mir das ansehen; es ist benutzerfreundlicher für mich, da ich Kemp Free Load Master (kostenlos) verwende, das Reverse-Proxying über eine Benutzeroberfläche ermöglicht.
https://support.kemptechnologies.com/hc ... LoadMaster