Zero Trust

Zero-Trust-Anwendungsgateway

Veröffentlichen Sie interne Dienste sicher, ohne sie dem Internet direkt auszusetzen.

Was bedeutet Zero Trust hier?

Traditionelle Netzwerksicherheit geht davon aus, dass alles innerhalb Ihres Netzwerks vertrauenswürdig ist. Zero Trust dreht dieses Modell um: Keine Anfrage wird standardmäßig vertraut, selbst wenn sie aus dem VPN kommt.

In wireguard_webadmin sitzt das Zero-Trust-Application-Gateway vor Ihren internen Diensten. Jede Anfrage muss sich authentifizieren, bevor sie die Anwendung erreicht. Der Dienst selbst muss niemals direkt veröffentlicht werden.

So läuft eine Anfrage ab

1 Client erreicht das Gateway

Der öffentliche Endpunkt empfängt die Anfrage anstelle des internen Dienstes.

2 Browser-Validierung

Altcha-Proof-of-Work kann automatisierten Missbrauch noch vor Beginn des Logins herausfordern.

3 Identitätsprüfungen

Zugangsdaten, TOTP und Richtlinien für die Quell-IP werden geprüft.

4 An Upstream weiterleiten

Nur freigegebene Anfragen werden an Grafana, Proxmox oder eine andere interne App weitergeleitet.

Authentifizierungsmethoden

TOTP / 2FA
Zeitbasierte Einmalpasswörter. Funktioniert mit jeder TOTP-App, etwa Google Authenticator, Aegis oder Authy.
Lokale Zugangsdaten
Benutzername und Passwort werden direkt in wireguard_webadmin verwaltet. Kein externer IdP nötig.
IP-ACL
Whitelist für bestimmte IPs oder Subnetze. VPN-Peers können anhand ihrer Tunnel-Adresse automatisch als vertrauenswürdig gelten.
OIDC demnächst verfügbar
Delegieren Sie die Authentifizierung an Keycloak, Authentik, Google Workspace oder einen anderen OIDC-kompatiblen Anbieter.

Schutz vor Brute Force: Altcha Proof-of-Work

Bevor überhaupt ein Login-Formular angezeigt wird, muss der Browser eine leichte rechnerische Aufgabe lösen (Altcha).

Das erzeugt praktisch keine Reibung für echte Nutzerinnen und Nutzer, da moderne Hardware die Aufgabe in Millisekunden löst, macht automatisierte Credential-Stuffing-Angriffe im großen Maßstab aber rechnerisch teuer.

Mehrschichtiger Schutz: Ein Rate Limiting ist bereits aktiv. Proof-of-Work ergänzt es: Während Rate Limiting das Anfragevolumen pro IP begrenzt, fügt Altcha für jede Anfrage einen Rechenaufwand hinzu, der verteilte Angriffe teuer macht, unabhängig davon, wie viele Quell-IPs beteiligt sind.

Anwendungsfälle

  • Stellen Sie Grafana Ihrem Team bereit, ohne Port 3000 ins Internet zu öffnen
  • Veröffentlichen Sie eine Proxmox-Webkonsole hinter TOTP, die nur aus Ihrem VPN erreichbar ist
  • Teilen Sie eine selbst gehostete App mit einem Kunden oder einer Kundin über zeitlich begrenzte Zugangsdaten
  • Schützen Sie jeden internen HTTP-Dienst, ohne seine Konfiguration anzufassen

Keine Änderungen an der App erforderlich. Der Gatekeeper proxyt die Anfrage transparent weiter. Ihr interner Dienst muss keine Authentifizierung implementieren, das übernimmt das Gateway.

VPN-Verwaltung und Application Gateway laufen als ein einziger selbst gehosteter Stack. Kein Konto bei einem Drittanbieter, keine Abhängigkeit von ausgehenden Tunneln, kein Traffic, der Ihre Infrastruktur verlässt.