Pagina 1 di 1
[Risolto] Domanda sulla pubblicazione di WAPT tramite un proxy inverso su Internet
Pubblicato: 10 gennaio 2020 - 14:59
di jeancharles
Ciao a tutti e buon anno, pieno di nuovi pacchetti!
Sto valutando la possibilità di configurare una pubblicazione reverse proxy (Kemp Free Load Master) per il servizio WAPT, per consentire il contatto diretto e la distribuzione su macchine connesse a Internet tramite WAPT.
Le mie domande sono:
la porta 443 può essere pubblicata sul server "semplicemente", oppure è necessario utilizzare una soluzione alternativa per abilitare i WebSocket?
Quali sono i rischi per la sicurezza? Un utente malintenzionato potrebbe facilmente forzare gli account con un attacco brute-force e questo può essere bloccato aggiungendo Fail2ban o una soluzione simile?
Grazie per i vostri consigli,
Jean-Charles
Re: Domanda sulla pubblicazione di WAPT tramite proxy inverso su Internet
Pubblicato: 13 gennaio 2020 - 11:19
di jeancharles
Più in generale, pensi che sia una buona idea o un'anomalia?
Il mio server WAPT attualmente utilizza Windows 2012 R2 e gestisco 60 client con la versione community 1.7.4 6232.
Re: Domanda sulla pubblicazione di WAPT tramite proxy inverso su Internet
Pubblicato: 13 gennaio 2020 - 16:43
di sfontenau
Un metodo molto semplice consiste nell'installare un repository WAPT nella DMZ.
Dopodiché, basta eseguire un rsync per scaricare i pacchetti desiderati dal repository WAPT principale a questo repository nella DMZ.
In questo modo, vi verranno offerti solo i pacchetti WAPT che vi interessano.
Re: Domanda sulla pubblicazione di WAPT tramite proxy inverso su Internet
Pubblicato: 13 gennaio 2020 - 21:17
di sfontenau
Modifica: non ho capito la necessità
Sì, puoi impostare un proxy nella DMZ che agisca come proxy inverso verso il tuo server WAPT interno; ecco come proteggere l'accesso
Esempio con un proxy reverse
APACHE:
Codice: Seleziona tutto
<VirtualHost 0.0.0.0:443>
ServerName wapt.domain.fr
SSLEngine On
SSLProxyEngine On
SSLCertificateKeyFile /etc/ssl/private/srvwapt.key
SSLCertificateFile /etc/ssl/private/srvwapt.crt
Include /etc/apache2/conf-available/ssl.conf
SSLProxyVerify on
SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt
ErrorLog /var/log/apache2/wapt-error.log
CustomLog /var/log/apache2/wapt-access.log combined
SSLCACertificateFile /etc/apache2/cawapt.crt
<Location />
SSLVerifyClient require
ProxyAddHeaders On
ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>
Puoi recuperare SSLCACertificateFile da /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt sul tuo server wapt.
Alcuni documenti correlati:
https://www.wapt.fr/fr/doc/wapt-securit...ation.html
Esempio di configurazione del proxy inverso
NGINX:
Codice: Seleziona tutto
server {
listen 443 ssl http2;
server_name wapt.domain.fr;
ssl_certificate /etc/ssl/private/srvwapt.pem;
ssl_certificate_key /etc/ssl/private/srvwapt.pem;
client_max_body_size 50M;
ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
ssl_verify_client optional;
location / {
proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
if ($ssl_client_verify != SUCCESS) {
return 401;
}
proxy_pass https://srvwapt.ad.domain.fr/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
Probabilmente ci sono ancora alcune modifiche da apportare ai record dei certificati DNS e HTTPS
Re: Domanda sulla pubblicazione di WAPT tramite proxy inverso su Internet
Pubblicato: 14 gennaio 2020 - 09:50
di jeancharles
Grazie, sembra perfetto. Ho un DNS split, quindi posso usare lo stesso nome DNS e certificato sia internamente che esternamente.
La mia principale preoccupazione era che i WebSocket non passassero attraverso il reverse proxy e che pubblicare risorse WAPT su Internet potesse essere sconsigliabile dal punto di vista della sicurezza.
Approfondirò la questione; sarà più semplice per me dato che utilizzo Kemp Free Load Master (gratuito), che permette di configurare il reverse proxy tramite un'interfaccia utente.
https://support.kemptechnologies.com/hc ... LoadMaster