Zugriff auf WAF beschränken

[pleibling]

Hallo,

ich habe schon mal im englischem Forum nachgefragt, aber keine Lösung bzw. keine weiteren Antworten mehr erhalten.

Deswegen würde ich es mal hier gerne nachfragen mit der Hoffnung, das ihr mir weiterhelfen könnt.

Ausgangslage ist, das ich einige Webanwendungen mit dem HAProxy veröffentliche - unter anderem einige die ich nicht direkt ohne "Schutz" über das Internet direkt erreichbar haben möchte.

Deshalb würde ich gerne diese Seiten schützen - dazu habe ich mehrere Ideen, jedoch weiß ich nicht, welche sich wie realisieren lassen.

a) Benutzerauthentifizierung mit OTP
b) WAF mit 2 FA versehen
c) VPN mit 2 FA und dann nur denn Zugriff aus dem VPN oder LAN

Was könnte wie funktionieren, oder habt ihr gar andere Ideen?

Danke vielmals für eure Unterstützung.

[Ronny1978]

Hallo @pleibling,

ich bin ebenfalls auf der Suche nach einer Lösung für GENAU DAS GLEICHE Problem und hatte Authelia ins "Auge gefasst". Aber komme noch nicht wirklich mit der Einrichtung im Zusammenhang mit HAProxy oder ggf. NGNIX auf einer OpnSense klar.

Ich hoffe auch etwas darauf, dass hier im Forum schon jemand sowas ordentlich zum Laufen gebracht hat. Ich wäre sehr interessiert. 

[pleibling]

Eine weitere Lösung wäre noch:

d) Denn Zugriff auf das Backend auf bestimmte Netze (interne- und VPN Netze) beschränken, dann wäre sichergestellt das man von extern nicht zugreifen kann.

Ein Smartphone oder Tablett können automatisch eine Verbindung aufbauen sofern kein OTP-Code an das Passwort hängen möchte (alternativ könnte man als 2. Faktor dann ein Zertifikat verwenden). VPN Clients für Rechner/Laptops müssten das auch können (man muss nur dran denken, das man dann keine Default Route verwendet).

Eine entsprechende Einstellung habe ich schon im Backend gefunden, aber weiß nicht genau wie das geht.

Die von dir genannte Lösung mit Authelia habe ich auch schon gesehen - da bei mir der HA Proxy verwendet wird, würde ich das so machen, das ich eine eine neue Site auf HA einrichte und dann diese auf den NGINX weiterleite, damit dieser angepasst werden kann. Frage wäre sogar ob man dann NGINX sogar in einem eigenen Container macht (Docker) - da mir das aussah, als wenn man doch sehr tief eingreift mit den Einstellungen, dann würde man in der OPNsense nichts verwurschteln.

In der Sophos war das immer sehr einfach, man konnte einfach eine AUTH Seite davorschalten und dort dann erst den Zugriff mit 2FA abwickeln und dann die Zugangsdaten durchreichen - z.B. zu einem Exchangeserver. Im Prinzip so, wie bei der Authelia.

Der Vorteil bei Authelia wäre dann, das man die Lösung mit weiteren Seiten nutzen könnte - ich habe z.B. Verwaltungsseiten, die ich auch nicht direkt über das Internet zugreifebar haben möchte.

[Ronny1978]

Hallo pleibling,

danke für deine Info. Es gibt ja auch einen NGIX Proxy auf der OpnSense. Aber die Beschreibungen bei Authelia leuchten mir noch nicht richtig ein.

Ich hatte es so verstanden, dass der Reverse Proxy schon auf die OpnSense gehört. Authelia ist ja eh ein Container. Ich befürchte aber, wenn das Konstrukt dann so aussieht

WWW -> OpnSense/Reverse Proxy -> Proxmox Container NGIX Proxy -> Proxmox Container Authelia -> Proxmox Server (Nextcloud, oder ähnliches)

dann alles durcheinander geht. Das gelbe vom Ei ist das für mich noch nicht richtig.

  So richtig glücklich bin ich noch nicht.

[pleibling]

Alternativ sieht das hier vielversprechend aus, habe ich mir aber noch nicht im Detail angeschaut: https://okxo.de/how-to-add-2fa-in-opnsense-nginx-reverse-proxy/

Dann würde ich auch schauen, ob ich statt dem HAProxy komplett auf NGINX umstelle - Vorteil wäre dann auch, das ich dann noch eine WAF hätte.