Diferència entre revisions de la pàgina «Wiket:ProxyInversIETI»

Projectes Ciberseguretat 2022-2023 - IETI Cloud

Reverse Proxy Web Interface

Dins el IETI Cloud tenim un frontend de proxy invers implementat amb HAProxy i Apache2. Volem una interfície web per gestionar-ho amb més facilitat i poder afegir nous dominis sense necessitat de tocar arxius de configuració directament.

El projecte pot contemplar parts molt diferenciades:

1. Fer una recerca i prova de diverses interfícies web per HAProxy (tipus Roxy-Wi) per veure si hi ha alguna que ens faciliti molt la feina, adaptant-se a les nostres necessitats, i que sigui segura.

2. Implementar una senzilla aplicació web de management de proxy invers (en qualsevol llenguatge de programació com PHP o Python) que carregui la configuració de HAProxy, ens la mostri, i ens permeti afegir dominis i subdominis a la nostra infraestructura.

3. Afegir funcionalitat de WAF (Web Application Firewall) com mod_security. Seria ideal implementar WAF Enteprise en el HAProxy. Cal analitzar casos d’ús (calen certificats HTTPS?)

4. Investigar la gestió de proxy invers amb softwares més avançats amb interfície web, i veure si ens serveix per als nostres propòsits: pfSense Traefik v2 Apache (no té mode TCP pel què no pot redirigir ) Nginx

Para realizar todos estos pasos anteriores, primero deberemos preparar el entorno. Para ello se utilizará un fichero Vagrantfile en el cual a partir de una serie de parametros determinados nos permitira virtualizar varias maquinas a la vez.

El fichero contendrá los parametros necesarios para generar 5 MV's de manera que habrán 3 servidores con apache instalado, 1 proxy inverso con Traefik, y 1 equipo cliente para realizar las comprobaciones.

• Los ficheros de configuración del servicio Traefik solo se crearán, pero hará falta rellenarlos segun la configuración que se quiera realizar

Contenido del fichero Vagrantfile:

<

Vagrant.configure("2") do |config|

 (1..3).each do |i|
   config.vm.define "node-#{i}" do |node|
     node.vm.box = "ubuntu/focal64"
     node.vm.hostname = "srv#{i}.ieti.local"
     node.vm.box_url = "ubuntu/focal64"
     node.vm.network :private_network, ip: "192.168.2.1{i}"
     node.vm.synced_folder ".", "/home/vagrant", type: "virtualbox"
       node.vm.provider :virtualbox do |v|
         v.customize ["modifyvm", :id, "--memory", "1024"]
         v.customize ["modifyvm", :id, "--cableconnected1", "on"]
         v.customize ["modifyvm", :id, "--uart1", "0x3F8", "4"]
         v.customize ["modifyvm", :id, "--uartmode1", "file", File::NULL]
         v.gui = true      
       end
       config.vm.provision "shell", inline: <<-SHELL
        apt-get update
        apt-get install -y apache2
        sudo ufw allow 'Apache'
        sudo systemctl start apache2
        sudo echo "<html><hI>SRV#{i}</hI></html>" > /var/www/html/index.html 
        sudo systemctl restart apache2
       SHELL 
   end
 end
 #Maquina Proxy Inverso Traefik
 config.vm.define "prxy1" do |prxy1|
   prxy1.vm.box = "ubuntu/focal64"
   prxy1.vm.hostname = 'prxy1'
   prxy1.vm.box_url = "ubuntu/focal64"
   prxy1.vm.network :private_network, ip: "192.168.2.11"
   prxy1.vm.network :private_network, ip: "192.168.1.11"
   prxy1.vm.synced_folder ".", "/home/vagrant", type: "virtualbox"
   prxy1.vm.provider :virtualbox do |v|
     v.customize ["modifyvm", :id, "--memory", "1024"]
     v.customize ["modifyvm", :id, "--cableconnected1", "on"]
     v.customize ["modifyvm", :id, "--uart1", "0x3F8", "4"]
     v.customize ["modifyvm", :id, "--uartmode1", "file", File::NULL]
     v.gui = true
   end
   config.vm.provision "shell", inline: <<-SHELL
    apt-get update
    #Descargamos el source code de traefik, descomprimimos el archivo y damos permisos 
    #de ejecución
    sudo wget 
    https://github.com/traefik/traefik/releases/download/v2.8.7/traefik_v2.8.7_linux_amd64.tar.gz
    sudo tar -xzvf traefik_v2.8.7_linux_amd64.tar.gz
    sudo chmod +x traefik
    #Movemos el binario de traefik a la carpeta bin y le permitimos el "bind" de puertos
    sudo mv traefik /usr/local/bin/traefik
    sudo setcap 'cap_net_bind_service=+ep' /usr/local/bin/traefik
    #Creamos el grupo y usuario traefik (especificado en traefik.service)
    sudo groupadd -g 321 traefik
    sudo useradd  -g traefik --no-user-group  --home-dir /var/www --no-create-home --shell 
    /usr/sbin/nologin --system --uid 321 traefik  
    #Creamos la carpeta donde estara la configuración de traefik 
    #(adjuntare un archivo de muestra)
    #y otorgamos dueños y permisos de los archivos
    sudo mkdir /etc/traefik
    sudo mkdir /etc/traefik/acme
    sudo chown -R root:root /etc/traefik
    sudo chown -R traefik:traefik /etc/traefik/acme
    #En este paso, deberemos crear un archivo de configuración en caso de que no lo tengamos
    sudo touch /etc/traefik/trafik.toml
    sudo chown root:root /etc/traefik/traefik.toml
    sudo chmod 644 /etc/traefik/traefik.toml
    #Aqui moveremos el archivo de configuración DEL SERVICIO, en caso de no tenerlo deberemos 
    #crearlo y copiar el texto que haya en el archivo de ejemplo que he adjuntado
    sudo touch /etc/systemd/system/traefik.service
    sudo chown root:root /etc/systemd/system/traefik.service
    sudo chmod 644 /etc/systemd/system/traefik.service
    #Recargamos el servicio y lo iniciamos
    sudo systemctl daemon-reload
    sudo systemctl start traefik.service
    sudo systemctl enable traefik.service
    #Añadimos los nombres de los servidores a /etc/hosts
    sudo echo "192.168.2.10 srv1.ieti.local" >> /etc/hosts
    sudo echo "192.168.2.11" srv2.ieti.local >> /etc/hosts
    sudo echo "192.168.2.12" srv3.ieti.local >> /etc/hosts
   SHELL
 end
 #Maquina cliente
 config.vm.define "cli1" do |cli1|
   cli1.vm.box = "ubuntu/focal64"
   cli1.vm.hostname = 'cli1'
   cli1.vm.box_url = "ubuntu/focal64"
   cli1.vm.network :private_network, ip: "192.168.2.12"
   cli1.vm.synced_folder ".", "/home/vagrant", type: "virtualbox"
   cli1.vm.provider :virtualbox do |v|
     v.customize ["modifyvm", :id, "--memory", "3072"]
     v.customize ["modifyvm", :id, "--cableconnected1", "on"]
     v.customize ["modifyvm", :id, "--uart1", "0x3F8", "4"]
     v.customize ["modifyvm", :id, "--uartmode1", "file", File::NULL]
     v.gui = true
   end
   config.vm.provision "shell", inline: <<-SHELL
    sudo apt-get update
    sudo apt install ubuntu-gnome-desktop
   SHELL
 end

end

>

A continuación se muestra un diagrama sobre el funcionamiento del sistema desde la petición del cliente, que a traves de uno de los dominios disponibles accede al proxy inverso configurado con TraefikV2, el cual segun la carga de procesamiento que tengan los servidores lo redirigirá al servidor con menor carga de datos.

A partir de las maquinas obtenidas a traves del Vagrantfile, hay unos aspectos a tener en cuenta de modificar para que haya un funcionamiento correcto.

1. Editar el fichero /etc/hosts en el Proxy y añadir la IP del servidor seguido de su dominio.

(Ej: 192.168.1.10 srv1.ieti.local)

2. Editar i/o añadir el fichero de configuración de Traefik (traefik.toml/traefik.yaml). Se adjunta un ejemplo:

Definimos el entryPoint (puerto por donde escuchará el proxy)

<

[entryPoints]

 [entryPoints.web]
   address = ":80"
[http]
     //Indicamos el host que debe redirigir
    [http.routers]
       [http.routers.my-router]
          rule = "Host('srv1.ieti.local')"
          service = "traefik"
          entryPoints = ["web"]
    [http.services]
      [http.services.traefik.loadBalancer]
        http.services.traefik.loadBalancer.servers
          url = "dom1.ieti.cat"
[serversTransport]
 insecureSkipVerify = true
//Indicamos el fichero de logs
[log]
 filePath = "/var/log/traefik.log"
 //Habilitamos el acceso al dashboard
 [api]
 dashboard = true
 insecure = true

>

3. Editar i/o añadir el fichero de configuración del servicio de Traefik (traefik.service). Se adjunta ejemplo:

< [Unit] Description=traefik proxy

After=network-online.target

Wants=network-online.target systemd-networkd-wait-online.service

[Service] Restart=on-abnormal

//User and group the process will run as. User=traefik Group=traefik

//Always set "-root" to something safe in case it gets forgotten in the traefikfile. ExecStart=/usr/local/bin/traefik --configfile=/etc/traefik/traefik.toml //Limit the number of file descriptors; see `man systemd.exec` for more limit settings. LimitNOFILE=1048576

//Use private /tmp and /var/tmp, which are discarded after traefik stops. PrivateTmp=true

//Use a minimal /dev (May bring additional security if switched to 'true', but it may not work on //Raspberry Pi's or other devices, so it has been disabled in this dist.) PrivateDevices=false

//Hide /home, /root, and /run/user. Nobody will steal your SSH-keys. ProtectHome=true

//Make /usr, /boot, /etc and possibly some more folders read-only. ProtectSystem=full

//… except /etc/ssl/traefik, because we want Letsencrypt-certificates there. // This merely retains r/w access rights, it does not add any new. Must still be writable on the //host! ReadWriteDirectories=/etc/traefik/acme

// The following additional security directives only work with systemd v229 or later. // They further restrict privileges that can be gained by traefik. Uncomment if you like. // Note that you may have to add capabilities required by any plugins in use. CapabilityBoundingSet=CAP_NET_BIND_SERVICE AmbientCapabilities=CAP_NET_BIND_SERVICE NoNewPrivileges=true

[Install] WantedBy=multi-user.target >

Paginas de referencia:

Instalación de Traefik:

https://gist.github.com/ubergesundheit/7c9d875befc2d7bfd0bf43d8b3862d85#file-traefik-service-L3 https://blog.emka.web.id/2022/09/how-to-install-traefik-in-debian.html

Documentación Oficial:

https://doc.traefik.io/traefik/getting-started/configuration-overview/#the-static-configuration https://doc.traefik.io/traefik/routing/overview/ https://doc.traefik.io/traefik/routing/entrypoints/