Zero Trust

Pasarela de aplicaciones Zero Trust

Publica servicios internos de forma segura, sin exponerlos directamente a internet.

¿Qué significa Zero Trust aquí?

La seguridad de red tradicional asume que todo lo que está dentro de tu red es confiable. Zero Trust invierte ese modelo: ninguna solicitud se considera confiable por defecto, incluso si viene desde dentro de la VPN.

En wireguard_webadmin, la pasarela de aplicaciones Zero Trust se coloca delante de tus servicios internos. Cada solicitud debe autenticarse antes de llegar a la aplicación, y el servicio en sí nunca necesita exponerse directamente.

Cómo fluye una solicitud

1 El cliente llega a la pasarela

El endpoint público recibe la solicitud en lugar del servicio interno.

2 Validación del navegador

La prueba de trabajo de Altcha puede desafiar el abuso automatizado antes incluso de que empiece el inicio de sesión.

3 Comprobaciones de identidad

Se evalúan las credenciales, el TOTP y la política de IP de origen.

4 Reenvío al upstream

Solo las solicitudes aprobadas se envían a Grafana, Proxmox u otra aplicación interna.

Métodos de autenticación

TOTP / 2FA
Contraseñas de un solo uso basadas en tiempo. Funciona con cualquier app TOTP: Google Authenticator, Aegis, Authy.
Credenciales locales
Nombre de usuario y contraseña gestionados dentro de wireguard_webadmin. No hace falta un IdP externo.
ACL por IP
Permite incluir IPs o subredes específicas en una lista blanca. Los peers VPN pueden considerarse confiables automáticamente por su dirección del túnel.
OIDC próximamente
Delega la autenticación en Keycloak, Authentik, Google Workspace o cualquier proveedor compatible con OIDC.

Anti fuerza bruta: prueba de trabajo de Altcha

Antes de que aparezca cualquier formulario de inicio de sesión, el navegador debe resolver un desafío computacional ligero (Altcha).

Esto no genera fricción para usuarios reales, porque el hardware moderno lo resuelve en milisegundos, pero vuelve computacionalmente costosos los ataques automatizados de credential stuffing a gran escala.

Protección por capas: Ya existe limitación de tasa. La prueba de trabajo la complementa: mientras el rate limiting limita el volumen de solicitudes por IP, Altcha añade un coste computacional por solicitud que encarece los ataques distribuidos, sin importar cuántas IPs de origen participen.

Casos de uso

  • Expón Grafana a tu equipo sin abrir el puerto 3000 a internet
  • Publica una consola web de Proxmox detrás de TOTP, accesible solo desde tu VPN
  • Comparte una app autoalojada con un cliente usando credenciales con tiempo limitado
  • Protege cualquier servicio HTTP interno sin tocar su configuración

No hacen falta cambios en la app. El gatekeeper reenvía la solicitud de forma transparente. Tu servicio interno no necesita implementar autenticación: la pasarela se encarga de ello.

La gestión de la VPN y la pasarela de aplicaciones se ejecutan como un único stack autoalojado. No necesitas cuenta en un servicio de terceros, ni dependes de túneles salientes, ni el tráfico sale de tu infraestructura.