Zero Trust

Gateway de Aplicações Zero Trust

Publique serviços internos com segurança, sem expô-los diretamente à internet.

O que significa Zero Trust aqui?

A segurança de rede tradicional assume que tudo o que está dentro da sua rede pode ser confiável. Zero Trust inverte esse modelo: nenhuma requisição é confiável por padrão, mesmo que venha de dentro da VPN.

No wireguard_webadmin, o gateway de aplicações Zero Trust fica na frente dos seus serviços internos. Toda requisição precisa se autenticar antes de chegar à aplicação, e o serviço em si nunca precisa ser exposto diretamente.

Como uma requisição flui

1 O cliente chega ao gateway

O endpoint público recebe a requisição no lugar do serviço interno.

2 Validação do navegador

O proof-of-work do Altcha pode desafiar abusos automatizados antes mesmo do login começar.

3 Verificações de identidade

Credenciais, TOTP e a política de IP de origem são avaliados.

4 Encaminhamento para o upstream

Apenas requisições aprovadas são encaminhadas para Grafana, Proxmox ou outra aplicação interna.

Métodos de autenticação

TOTP / 2FA
Senhas temporárias baseadas em tempo. Funciona com qualquer app TOTP, como Google Authenticator, Aegis e Authy.
Credenciais locais
Nome de usuário e senha gerenciados dentro do wireguard_webadmin. Nenhum IdP externo é necessário.
ACL por IP
Permita IPs ou sub-redes específicas em uma lista de confiança. Peers da VPN podem ser automaticamente confiáveis pelo endereço do túnel.
OIDC em breve
Delegue a autenticação para Keycloak, Authentik, Google Workspace ou qualquer provedor compatível com OIDC.

Anti brute force: proof-of-work do Altcha

Antes mesmo de qualquer formulário de login ser exibido, o navegador precisa resolver um desafio computacional leve (Altcha).

Isso não gera atrito para usuários reais, já que o hardware moderno resolve o desafio em milissegundos, mas torna ataques automatizados de credential stuffing computacionalmente caros em larga escala.

Proteção em camadas: O rate limiting já está em vigor. O proof-of-work complementa essa camada: enquanto o rate limiting limita o volume de requisições por IP, o Altcha adiciona um custo computacional por requisição que encarece ataques distribuídos, independentemente de quantos IPs de origem estejam envolvidos.

Casos de uso

  • Exponha o Grafana para o seu time sem abrir a porta 3000 para a internet
  • Publique um console web do Proxmox atrás de TOTP, acessível apenas pela sua VPN
  • Compartilhe uma aplicação self-hosted com um cliente usando credenciais temporárias
  • Proteja qualquer serviço HTTP interno sem mexer na configuração dele

Nenhuma mudança na aplicação é necessária. O gatekeeper faz o proxy da requisição de forma transparente. Seu serviço interno não precisa implementar autenticação: o gateway cuida disso.

O gerenciamento da VPN e o gateway de aplicações rodam como uma única stack self-hosted. Sem conta em serviço de terceiros, sem dependência de túnel de saída e sem tráfego deixando a sua infraestrutura.