Diferència entre revisions de la pàgina «Wiket:ProxyInversIETI»

De Wiket
Salta a la navegació Salta a la cerca
Línia 38: Línia 38:
  
 
2. Editar i/o añadir el fichero de configuración de Traefik (traefik.toml/traefik.yaml). Se adjunta un ejemplo:
 
2. Editar i/o añadir el fichero de configuración de Traefik (traefik.toml/traefik.yaml). Se adjunta un ejemplo:
 +
 +
''
 +
//Definimos el entryPoint (puerto por donde escuchará el proxy)
 +
 +
[entryPoints]
 +
  [entryPoints.web]
 +
    address = ":80"
 +
[http]
 +
      //Indicamos el host que debe redirigir
 +
    [http.routers]
 +
        [http.routers.my-router]
 +
          rule = "Host('srv1.ieti.local')"
 +
          service = "traefik"
 +
          entryPoints = ["web"]
 +
    [http.services]
 +
      [http.services.traefik.loadBalancer]
 +
        [[http.services.traefik.loadBalancer.servers]]
 +
          url = "dom1.ieti.cat"
 +
[serversTransport]
 +
  insecureSkipVerify = true
 +
 +
//Indicamos el fichero de logs
 +
[log]
 +
  filePath = "/var/log/traefik.log"
 +
//Habilitamos el acceso al dashboard
 +
[api]
 +
  dashboard = true
 +
  insecure = true
 +
''
 +
 +
 +
 +
  
 
3. Editar i/o añadir el fichero de configuración del servicio de Traefik (traefik.service). Se adjunta ejemplo:
 
3. Editar i/o añadir el fichero de configuración del servicio de Traefik (traefik.service). Se adjunta ejemplo:
 +
 +
''
 +
[Unit]
 +
 +
Description=traefik proxy
 +
After=network-online.target
 +
Wants=network-online.target systemd-networkd-wait-online.service
 +
 +
[Service]
 +
 +
Restart=on-abnormal
 +
 +
//User and group the process will run as.
 +
User=traefik
 +
Group=traefik
 +
 +
//Always set "-root" to something safe in case it gets forgotten in the traefikfile.
 +
ExecStart=/usr/local/bin/traefik --configfile=/etc/traefik/traefik.toml
 +
 +
//Limit the number of file descriptors; see `man systemd.exec` for more limit settings.
 +
LimitNOFILE=1048576
 +
 +
//Use private /tmp and /var/tmp, which are discarded after traefik stops.
 +
 +
PrivateTmp=true
 +
 +
//Use a minimal /dev (May bring additional security if switched to 'true', but it may not work on //Raspberry Pi's or other devices, so it has been disabled in this dist.)
 +
 +
PrivateDevices=false
 +
 +
//Hide /home, /root, and /run/user. Nobody will steal your SSH-keys.
 +
 +
ProtectHome=true
 +
 +
//Make /usr, /boot, /etc and possibly some more folders read-only.
 +
 +
ProtectSystem=full
 +
 +
//… except /etc/ssl/traefik, because we want Letsencrypt-certificates there.
 +
//  This merely retains r/w access rights, it does not add any new. Must still be writable on the //host!
 +
 +
ReadWriteDirectories=/etc/traefik/acme
 +
 +
// The following additional security directives only work with systemd v229 or later.
 +
// They further restrict privileges that can be gained by traefik. Uncomment if you like.
 +
// Note that you may have to add capabilities required by any plugins in use.
 +
 +
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
 +
AmbientCapabilities=CAP_NET_BIND_SERVICE
 +
NoNewPrivileges=true
 +
 +
[Install]
 +
 +
WantedBy=multi-user.target
 +
 +
''
 +
 +
 +
 +
 +
 +
'''Paginas de referencia:'''
 +
 +
'''Instalación de Traefik''':
 +
 +
https://gist.github.com/ubergesundheit/7c9d875befc2d7bfd0bf43d8b3862d85#file-traefik-service-L3
 +
https://blog.emka.web.id/2022/09/how-to-install-traefik-in-debian.html
 +
 +
 +
 +
'''Documentación Oficial:'''
 +
 +
https://doc.traefik.io/traefik/getting-started/configuration-overview/#the-static-configuration
 +
https://doc.traefik.io/traefik/routing/overview/
 +
https://doc.traefik.io/traefik/routing/entrypoints/

Revisió del 15:05, 8 juny 2023

Projectes Ciberseguretat 2022-2023 - IETI Cloud

Reverse Proxy Web Interface


Dins el IETI Cloud tenim un frontend de proxy invers implementat amb HAProxy i Apache2. Volem una interfície web per gestionar-ho amb més facilitat i poder afegir nous dominis sense necessitat de tocar arxius de configuració directament.

El projecte pot contemplar parts molt diferenciades:

1. Fer una recerca i prova de diverses interfícies web per HAProxy (tipus Roxy-Wi) per veure si hi ha alguna que ens faciliti molt la feina, adaptant-se a les nostres necessitats, i que sigui segura.

2. Implementar una senzilla aplicació web de management de proxy invers (en qualsevol llenguatge de programació com PHP o Python) que carregui la configuració de HAProxy, ens la mostri, i ens permeti afegir dominis i subdominis a la nostra infraestructura.

3. Afegir funcionalitat de WAF (Web Application Firewall) com mod_security. Seria ideal implementar WAF Enteprise en el HAProxy. Cal analitzar casos d’ús (calen certificats HTTPS?)

4. Investigar la gestió de proxy invers amb softwares més avançats amb interfície web, i veure si ens serveix per als nostres propòsits: pfSense Traefik v2 Apache (noté mode TCP pel què no pot redirigir ) Nginx

Per a fer les proves requerim també un entorn de treball en Vagrant (o, si es vol investigar, en Terraform) que posi en marxa N VMs de servidor (per a N dominis diferents, amb un mínim de 3) + 1 VM de proxy invers (sigui HAProxy o Traefik). Aquest ens anirà bé per provar tant la part (1,3) dels softwares que trobarem, com la part (2) de desenvolupament de l’aplicació pròpia per a HAProxy.


Para realizar todos estos pasos anteriores, primero deberemos preparar el entorno. Para ello se utilizará un fichero Vagrantfile en el cual a partir de una serie de parametros determinados nos permitira virtualizar varias maquinas a la vez.

El fichero contendrá los parametros necesarios para generar 5 MV's de manera que habrán 3 servidores con apache instalado, 1 proxy inverso con Traefik, y 1 equipo cliente para realizar las comprobaciones.

A continuación se muestra un diagrama sobre el funcionamiento del sistema desde la petición del cliente, que a traves de uno de los dominios disponibles accede al proxy inverso configurado con TraefikV2, el cual segun la carga de procesamiento que tengan los servidores lo redirigirá al servidor con menor carga de datos.

Blank diagram.png


A partir de las maquinas obtenidas a traves del Vagrantfile, hay unos aspectos a tener en cuenta de modificar para que haya un funcionamiento correcto.

1. Editar el fichero /etc/hosts en el Proxy y añadir la IP del servidor seguido de su dominio. (Ej: 192.168.1.10 srv1.ieti.local)

2. Editar i/o añadir el fichero de configuración de Traefik (traefik.toml/traefik.yaml). Se adjunta un ejemplo:

//Definimos el entryPoint (puerto por donde escuchará el proxy)

[entryPoints]

 [entryPoints.web]
   address = ":80"

[http]

     //Indicamos el host que debe redirigir
    [http.routers]
       [http.routers.my-router]
          rule = "Host('srv1.ieti.local')"
          service = "traefik"
          entryPoints = ["web"]
    [http.services]
      [http.services.traefik.loadBalancer]
        http.services.traefik.loadBalancer.servers
          url = "dom1.ieti.cat"

[serversTransport]

 insecureSkipVerify = true

//Indicamos el fichero de logs [log]

 filePath = "/var/log/traefik.log"

//Habilitamos el acceso al dashboard [api]

 dashboard = true
 insecure = true



3. Editar i/o añadir el fichero de configuración del servicio de Traefik (traefik.service). Se adjunta ejemplo:

[Unit]

Description=traefik proxy After=network-online.target Wants=network-online.target systemd-networkd-wait-online.service

[Service]

Restart=on-abnormal

//User and group the process will run as. User=traefik Group=traefik

//Always set "-root" to something safe in case it gets forgotten in the traefikfile. ExecStart=/usr/local/bin/traefik --configfile=/etc/traefik/traefik.toml

//Limit the number of file descriptors; see `man systemd.exec` for more limit settings. LimitNOFILE=1048576

//Use private /tmp and /var/tmp, which are discarded after traefik stops.

PrivateTmp=true

//Use a minimal /dev (May bring additional security if switched to 'true', but it may not work on //Raspberry Pi's or other devices, so it has been disabled in this dist.)

PrivateDevices=false

//Hide /home, /root, and /run/user. Nobody will steal your SSH-keys.

ProtectHome=true

//Make /usr, /boot, /etc and possibly some more folders read-only.

ProtectSystem=full

//… except /etc/ssl/traefik, because we want Letsencrypt-certificates there. // This merely retains r/w access rights, it does not add any new. Must still be writable on the //host!

ReadWriteDirectories=/etc/traefik/acme

// The following additional security directives only work with systemd v229 or later. // They further restrict privileges that can be gained by traefik. Uncomment if you like. // Note that you may have to add capabilities required by any plugins in use.

CapabilityBoundingSet=CAP_NET_BIND_SERVICE AmbientCapabilities=CAP_NET_BIND_SERVICE NoNewPrivileges=true

[Install]

WantedBy=multi-user.target



Paginas de referencia:

Instalación de Traefik:

https://gist.github.com/ubergesundheit/7c9d875befc2d7bfd0bf43d8b3862d85#file-traefik-service-L3 https://blog.emka.web.id/2022/09/how-to-install-traefik-in-debian.html


Documentación Oficial:

https://doc.traefik.io/traefik/getting-started/configuration-overview/#the-static-configuration https://doc.traefik.io/traefik/routing/overview/ https://doc.traefik.io/traefik/routing/entrypoints/