[Resuelto] Pregunta sobre la publicación de WAPT usando un proxy inverso en Internet

Jean Charles · 10 de enero de 2020 - 14:59

Hola a todos y ¡Feliz Año Nuevo, lleno de novedades!

Estoy considerando configurar una publicación de proxy inverso (Kemp Free Load Master) para el servicio WAPT, para permitir el contacto directo y la implementación en máquinas conectadas a internet a través de WAPT.
Mis preguntas son:

¿se puede publicar el puerto 443 en el servidor "simplemente" o es necesario usar una solución alternativa para permitir WebSockets? ¿

Cuáles son los riesgos de seguridad? ¿Podría un atacante realizar fácilmente un ataque de fuerza bruta a las cuentas? ¿Se puede bloquear esto agregando Fail2ban o una solución similar?

Gracias por sus comentarios,

Jean-Charles

Jean Charles · 13 de enero de 2020 - 11:19

Y, en términos más generales, ¿cree que esto es una buena idea o una anomalía?

Mi servidor WAPT actualmente ejecuta Windows 2012 R2 y administro 60 clientes que utilizan la versión comunitaria 1.7.4 6232.

13 de enero de 2020 - 16:43

Una solución muy sencilla es instalar un repositorio WAPT en la DMZ.

Luego, sincronice los paquetes que desee desde el repositorio principal de WAPT a este repositorio en la DMZ mediante rsync. ¡

Y listo! Solo se le ofrecerán los paquetes WAPT que necesite.

13 de enero de 2020 - 21:17

Editar: No entendí la necesidad

Sí, puedes configurar un proxy en la DMZ que actúe como proxy inverso hacia tu servidor WAPT interno; aquí te mostramos cómo proteger el acceso

Ejemplo con un proxy inverso APACHE:

Código: Seleccionar todo

<VirtualHost 0.0.0.0:443>
   ServerName wapt.domain.fr

   SSLEngine On
   SSLProxyEngine On
   SSLCertificateKeyFile  /etc/ssl/private/srvwapt.key
   SSLCertificateFile /etc/ssl/private/srvwapt.crt
   Include /etc/apache2/conf-available/ssl.conf

   SSLProxyVerify on
   SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt

   ErrorLog     /var/log/apache2/wapt-error.log
   CustomLog    /var/log/apache2/wapt-access.log combined

   SSLCACertificateFile /etc/apache2/cawapt.crt

<Location />
   SSLVerifyClient require
   ProxyAddHeaders On
   ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>

Puede recuperar el SSLCACertificateFile desde /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt en su servidor wapt.

Alguna documentación relacionada:
https://www.wapt.fr/fr/doc/wapt-securit...ation.html

Ejemplo de configuración de proxy inverso NGINX:

Código: Seleccionar todo


server {
  listen       443 ssl http2;
  server_name wapt.domain.fr;
    ssl_certificate /etc/ssl/private/srvwapt.pem; 
    ssl_certificate_key /etc/ssl/private/srvwapt.pem;
    client_max_body_size 50M;
  
    ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
    ssl_verify_client  optional;

  location / {
    proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
    proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
    if ($ssl_client_verify != SUCCESS) {
        return 401;
    }
    proxy_pass https://srvwapt.ad.domain.fr/;
    proxy_set_header        Host            $host;
    proxy_set_header        X-Real-IP       $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto  https;

  }


}

Probablemente aún queden algunas modificaciones por realizar en los registros de certificados DNS y HTTPS

Jean Charles · 14 de enero de 2020 - 9:50 AM

Gracias, parece perfecto. Tengo DNS dividido, así que puedo usar el mismo nombre DNS y certificado tanto interna como externamente.

Mi principal preocupación era que los WebSockets no pasaran por el proxy inverso y que publicar recursos WAPT en internet podría ser desaconsejable desde el punto de vista de la seguridad.

Lo investigaré; me resultará más fácil de usar, ya que utilizo Kemp Free Load Master (gratuito), que permite el proxy inverso mediante una interfaz de usuario.
https://support.kemptechnologies.com/hc ... LoadMaster