Cloudflare Serviço de “acesso” segurança real

1
O

Cloudflare Access é um novo recurso atraente da Cloudflare, baseado mais ou menos no Google BeyondCorp (um proxy reverso com login que deve substituir a VPN ao acessar aplicativos da rede interna).

Estou preocupado com a segurança de sua implementação.

A idéia por trás da BeyondCorp é que o servidor deve estar na "borda" da rede, quando o servidor de aplicativos protegido não tem nenhum IP público e não pode ser acessado diretamente da Internet.

No caso de implementação do Cloudflare, o servidor de aplicativos deve ter um IP público (assim como o resto de seus serviços CDN) e é "oculto" por seus próprios IPs.

O IP oculto pode ser exposto por engano (mesmo por alguns JavaScript) ou detectado por algumas outras técnicas. E mesmo que seus aplicativos tenham Firewall, que limita o tráfego apenas dos IPs do Cloudflare, esses IPs podem ser falsificados.

Estou sentindo falta de algo?

Espero que alguém da Cloudflare resolva essas preocupações.

Obrigado

    
por Miro 27.04.2018 / 20:27

1 resposta

1

A melhor maneira de resolver esse problema é usar o Túnel Argo do Cloudflare para conectar seu servidor ao Cloudflare. Com o Argo Tunnel, seu servidor se conecta ao Cloudflare, em vez de o Cloudflare se conectar ao seu servidor. Portanto, o seu servidor não precisa ter um endereço IP público ou estar exposto à Internet - ele só precisa ser capaz de fazer conexões de saída.

Se o Argo Tunnel não funcionar para você, outra opção é configurar seu servidor para que ele aceite conexões apenas do Cloudflare. Você pode fazer isso configurando seu firewall para aceitar conexões apenas dos endereços IP da Cloudflare ou ativando Autenticated Origin Pulls e, em seguida, configurar seu servidor para exigir que as conexões HTTPS sejam autenticadas com o certificado de cliente da Cloudflare. AVISO: Em qualquer uma dessas soluções que não sejam Argo-Tunnel, é importante que o servidor aceite apenas solicitações HTTP em que o cabeçalho Host inclua seu domínio. Caso contrário, um invasor pode se inscrever em sua própria conta do Cloudflare e inserir seu endereço IP em suas configurações de DNS, fazendo com que as solicitações acessem seu servidor "do Cloudflare", mas elas terão o domínio do invasor no cabeçalho Host . Para verificar o Host header, você poderia, por exemplo, configurar nginx como um proxy reverso na frente do seu servidor e configurá-lo com um default_server que sempre retorna 404. Se você usar o Argo Tunnel, então, você não precisa se preocupar com o Host header.

    
por 28.04.2018 / 22:12