Página 1 de 1
[Resuelto] Pregunta sobre la publicación de WAPT usando un proxy inverso en Internet
Publicado: 10 de enero de 2020 - 14:59
por jeancharles
Hola a todos y ¡Feliz Año Nuevo, lleno de novedades!
Estoy considerando configurar una publicación de proxy inverso (Kemp Free Load Master) para el servicio WAPT, para permitir el contacto directo y la implementación en máquinas conectadas a internet a través de WAPT.
Mis preguntas son:
¿se puede publicar el puerto 443 en el servidor "simplemente" o es necesario usar una solución alternativa para permitir WebSockets? ¿
Cuáles son los riesgos de seguridad? ¿Podría un atacante realizar fácilmente un ataque de fuerza bruta a las cuentas? ¿Se puede bloquear esto agregando Fail2ban o una solución similar?
Gracias por sus comentarios,
Jean-Charles
Re: Pregunta sobre la publicación de WAPT a través de proxy inverso en Internet
Publicado: 13 de enero de 2020 - 11:19 a. m.
por jeancharles
Y, en términos más generales, ¿cree que esto es una buena idea o una anomalía?
Mi servidor WAPT actualmente ejecuta Windows 2012 R2 y administro 60 clientes que utilizan la versión comunitaria 1.7.4 6232.
Re: Pregunta sobre la publicación de WAPT a través de proxy inverso en Internet
Publicado: 13 de enero de 2020 - 16:43
por sfonteneau
Una solución muy sencilla es instalar un repositorio WAPT en la DMZ.
Luego, sincronice los paquetes que desee desde el repositorio principal de WAPT a este repositorio en la DMZ mediante rsync. ¡
Y listo! Solo se le ofrecerán los paquetes WAPT que necesite.
Re: Pregunta sobre la publicación de WAPT a través de proxy inverso en Internet
Publicado: 13 de enero de 2020 - 21:17
por sfonteneau
Editar: No entendí la necesidad
Sí, puedes configurar un proxy en la DMZ que actúe como proxy inverso hacia tu servidor WAPT interno; aquí te mostramos cómo proteger el acceso
Ejemplo con un proxy inverso
APACHE:
Código: Seleccionar todo
<VirtualHost 0.0.0.0:443>
ServerName wapt.domain.fr
SSLEngine On
SSLProxyEngine On
SSLCertificateKeyFile /etc/ssl/private/srvwapt.key
SSLCertificateFile /etc/ssl/private/srvwapt.crt
Include /etc/apache2/conf-available/ssl.conf
SSLProxyVerify on
SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt
ErrorLog /var/log/apache2/wapt-error.log
CustomLog /var/log/apache2/wapt-access.log combined
SSLCACertificateFile /etc/apache2/cawapt.crt
<Location />
SSLVerifyClient require
ProxyAddHeaders On
ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>
Puede recuperar el SSLCACertificateFile desde /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt en su servidor wapt.
Alguna documentación relacionada:
https://www.wapt.fr/fr/doc/wapt-securit...ation.html
Ejemplo de configuración de proxy inverso
NGINX:
Código: Seleccionar todo
server {
listen 443 ssl http2;
server_name wapt.domain.fr;
ssl_certificate /etc/ssl/private/srvwapt.pem;
ssl_certificate_key /etc/ssl/private/srvwapt.pem;
client_max_body_size 50M;
ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
ssl_verify_client optional;
location / {
proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
if ($ssl_client_verify != SUCCESS) {
return 401;
}
proxy_pass https://srvwapt.ad.domain.fr/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
Probablemente aún queden algunas modificaciones por realizar en los registros de certificados DNS y HTTPS
Re: Pregunta sobre la publicación de WAPT a través de proxy inverso en Internet
Publicado: 14 de enero de 2020 - 9:50 a. m.
por jeancharles
Gracias, parece perfecto. Tengo DNS dividido, así que puedo usar el mismo nombre DNS y certificado tanto interna como externamente.
Mi principal preocupación era que los WebSockets no pasaran por el proxy inverso y que publicar recursos WAPT en internet podría ser desaconsejable desde el punto de vista de la seguridad.
Lo investigaré; me resultará más fácil de usar, ya que utilizo Kemp Free Load Master (gratuito), que permite el proxy inverso mediante una interfaz de usuario.
https://support.kemptechnologies.com/hc ... LoadMaster