[Risolto] Domanda sulla pubblicazione di WAPT tramite un proxy inverso su Internet

Jeancharles · 10 gennaio 2020 - 14:59

Ciao a tutti e buon anno, pieno di nuovi pacchetti!

Sto valutando la possibilità di configurare una pubblicazione reverse proxy (Kemp Free Load Master) per il servizio WAPT, per consentire il contatto diretto e la distribuzione su macchine connesse a Internet tramite WAPT.
Le mie domande sono:

la porta 443 può essere pubblicata sul server "semplicemente", oppure è necessario utilizzare una soluzione alternativa per abilitare i WebSocket?

Quali sono i rischi per la sicurezza? Un utente malintenzionato potrebbe facilmente forzare gli account con un attacco brute-force e questo può essere bloccato aggiungendo Fail2ban o una soluzione simile?

Grazie per i vostri consigli,

Jean-Charles

Jeancharles · 13 gennaio 2020 - 11:19

Più in generale, pensi che sia una buona idea o un'anomalia?

Il mio server WAPT attualmente utilizza Windows 2012 R2 e gestisco 60 client con la versione community 1.7.4 6232.

13 gennaio 2020 - 16:43

Un metodo molto semplice consiste nell'installare un repository WAPT nella DMZ.

Dopodiché, basta eseguire un rsync per scaricare i pacchetti desiderati dal repository WAPT principale a questo repository nella DMZ.

In questo modo, vi verranno offerti solo i pacchetti WAPT che vi interessano.

13 gennaio 2020 - 21:17

Modifica: non ho capito la necessità

Sì, puoi impostare un proxy nella DMZ che agisca come proxy inverso verso il tuo server WAPT interno; ecco come proteggere l'accesso

Esempio con un proxy reverse APACHE:

Codice: Seleziona tutto

<VirtualHost 0.0.0.0:443>
   ServerName wapt.domain.fr

   SSLEngine On
   SSLProxyEngine On
   SSLCertificateKeyFile  /etc/ssl/private/srvwapt.key
   SSLCertificateFile /etc/ssl/private/srvwapt.crt
   Include /etc/apache2/conf-available/ssl.conf

   SSLProxyVerify on
   SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt

   ErrorLog     /var/log/apache2/wapt-error.log
   CustomLog    /var/log/apache2/wapt-access.log combined

   SSLCACertificateFile /etc/apache2/cawapt.crt

<Location />
   SSLVerifyClient require
   ProxyAddHeaders On
   ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>

Puoi recuperare SSLCACertificateFile da /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt sul tuo server wapt.

Alcuni documenti correlati:
https://www.wapt.fr/fr/doc/wapt-securit...ation.html

Esempio di configurazione del proxy inverso NGINX:

Codice: Seleziona tutto


server {
  listen       443 ssl http2;
  server_name wapt.domain.fr;
    ssl_certificate /etc/ssl/private/srvwapt.pem; 
    ssl_certificate_key /etc/ssl/private/srvwapt.pem;
    client_max_body_size 50M;
  
    ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
    ssl_verify_client  optional;

  location / {
    proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
    proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
    if ($ssl_client_verify != SUCCESS) {
        return 401;
    }
    proxy_pass https://srvwapt.ad.domain.fr/;
    proxy_set_header        Host            $host;
    proxy_set_header        X-Real-IP       $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto  https;

  }


}

Probabilmente ci sono ancora alcune modifiche da apportare ai record dei certificati DNS e HTTPS

Jeancharles · 14 gennaio 2020 - 9:50

Grazie, sembra perfetto. Ho un DNS split, quindi posso usare lo stesso nome DNS e certificato sia internamente che esternamente.

La mia principale preoccupazione era che i WebSocket non passassero attraverso il reverse proxy e che pubblicare risorse WAPT su Internet potesse essere sconsigliabile dal punto di vista della sicurezza.

Approfondirò la questione; sarà più semplice per me dato che utilizzo Kemp Free Load Master (gratuito), che permette di configurare il reverse proxy tramite un'interfaccia utente.
https://support.kemptechnologies.com/hc ... LoadMaster