{"id":81073,"date":"2022-10-05T14:09:45","date_gmt":"2022-10-05T14:09:45","guid":{"rendered":"https:\/\/www.redeszone.net\/?post_type=marcas&p=615393"},"modified":"2022-10-05T14:09:45","modified_gmt":"2022-10-05T14:09:45","slug":"accede-a-tu-nuclias-connect-de-forma-remota-y-segura-con-traefik","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2022\/10\/05\/accede-a-tu-nuclias-connect-de-forma-remota-y-segura-con-traefik\/","title":{"rendered":"Accede a tu Nuclias Connect de forma remota y segura con Traefik"},"content":{"rendered":"
\n

\u00bfQu\u00e9 formas tenemos de conectarnos remotamente?<\/h2>\n

La gesti\u00f3n de Nuclias Connect<\/strong> est\u00e1 basada en un servidor web, por lo tanto, debemos acceder a una URL con nuestro navegador web<\/strong> y accederemos a la web de administraci\u00f3n general de todos los puntos de acceso, sedes y redes que tengamos dadas de alta. De esta forma tan sencilla, podemos monitorizar, administrar y gestionar toda la red de puntos de acceso<\/strong> de manera centralizada. En el caso de que tengas Nuclias Connect para PC, tambi\u00e9n podr\u00e1s gestionar los switches de forma centralizada.<\/p>\n

Lo ideal es que Nuclias Connect fuera accesible a trav\u00e9s de Internet<\/strong>, tanto v\u00eda web con el navegador como tambi\u00e9n con la aplicaci\u00f3n para smartphones Android y iOS, con la cual podemos monitorizar de forma r\u00e1pida y f\u00e1cil todas las redes y puntos de acceso WiFi configurados. Otros fabricantes lo que hacen es utilizar conexiones inversas para no tener problemas de seguridad, en el caso de Nuclias Connect tenemos un panel de control centralizado en la nube desde donde podemos pinchar e ir a cada controlador, ya sea software o hardware (con el DNH-100), sin embargo, es obligatorio que el router tenga abierto un puerto a la web de administraci\u00f3n del Nuclias, lo que puede ser bastante peligroso.<\/p>\n

<\/p>\n<\/div>\n

\n

Abrir puerto y acceso directo<\/h3>\n

La forma m\u00e1s sencilla de acceder de forma remota<\/strong> al panel de control v\u00eda web, es abriendo un puerto en nuestro router en la secci\u00f3n de \u00abreenv\u00edo de puertos<\/strong>\u00bb o \u00abport forwarding\u00bb. Aunque es la soluci\u00f3n m\u00e1s simple y f\u00e1cil, tambi\u00e9n es la m\u00e1s peligrosa<\/strong>, porque estamos exponiendo a Internet el men\u00fa de administraci\u00f3n web del Nuclias Connect. Un posible atacante no solamente podr\u00eda intentar acceder probando credenciales de usuario, sino que podr\u00eda encontrar una vulnerabilidad en el servidor web y explotarla, para hacerse con el control total del dispositivo.<\/p>\n

No os recomendamos abrir un puerto y acceder directamente a la web de administraci\u00f3n, porque cualquier ciberdelincuente podr\u00eda hacer un escaneo de puertos, ver que el puerto est\u00e1 abierto y accesible, y comenzar a probar diferentes ataques para intentar entrar en la gesti\u00f3n del Nuclias.<\/p>\n

Usar una VPN<\/h3>\n

Esta es la forma m\u00e1s segura sin lugar a dudas, pero tambi\u00e9n la m\u00e1s complicada de configurar y la m\u00e1s molesta de utilizar una vez que est\u00e1 todo montado. Con esta opci\u00f3n, tendr\u00e1s que montar un servidor VPN<\/strong> con protocolos como IPsec, OpenVPN o Wireguard<\/strong>. Este servidor debe estar en el router o bien en un servidor NAS o PC que tengas en la organizaci\u00f3n, si ya tienes un servidor VPN montado, entonces solamente debes asegurarte que desde la subred de la VPN puedes tener acceso al Nuclias Connect.<\/p>\n

<\/p>\n

La parte negativa de esta opci\u00f3n es que siempre tendr\u00e1s que estar conectado al servidor VPN si quieres acceder al Nuclias, no tienes acceso directo, ni con el PC v\u00eda web ni tampoco con la app m\u00f3vil. Siempre tendr\u00e1s que tener en funcionamiento el servicio de VPN antes de intentar acceder, por lo que podr\u00eda convertirse en algo bastante tedioso.<\/p>\n

Montar un Proxy inverso<\/h3>\n

Esta es una forma muy segura y muy f\u00e1cil de conectarnos, aunque la configuraci\u00f3n en un primer momento pueda resultar complicada<\/strong>, despu\u00e9s agradeces haber puesto un proxy inverso. El objetivo de esto es que podemos acceder a nuestro Nuclias a trav\u00e9s de un subdominio de nuestro dominio principal, solamente los usuarios que sepan ese dominio podr\u00e1n acceder a la web de administraci\u00f3n, adem\u00e1s, funciona con HTTPS utilizando Let\u2019s Encrypt como CA<\/strong>, y podemos utilizar TLS 1.3<\/strong> para proteger la conexi\u00f3n al m\u00e1ximo.<\/p>\n

<\/p>\n

Otras opciones de seguridad que podemos implementar son que solamente tengan acceso los clientes con IP de Espa\u00f1a<\/strong>, tambi\u00e9n podemos configurar a que la configuraci\u00f3n de seguridad sea la m\u00e1s segura, por \u00faltimo, tambi\u00e9n podr\u00edamos limitar el n\u00famero de paquetes para evitar ataques de fuerza bruta<\/strong>. Por \u00faltimo, tambi\u00e9n podr\u00edamos poner diferentes plugins para a\u00f1adir m\u00e1s seguridad de forma opcional, por ejemplo, podr\u00edamos a\u00f1adir un OAuth<\/strong> para autenticarnos con nuestra cuenta de Google para a\u00f1adir un segundo factor de autenticaci\u00f3n, no obstante, si pones esto no podr\u00e1s acceder con la app m\u00f3vil ya que no lo soportar\u00eda.<\/p>\n

C\u00f3mo configurar Traefik para Nuclias<\/h2>\n

El proxy inverso Traefik<\/strong> se puede instalar a trav\u00e9s de un contenedor Docker, ya sea en nuestro servidor con Windows, Linux e incluso un servidor NAS. A continuaci\u00f3n, os proporcionamos el docker-compose que se encarga de instalar Traefik, pod\u00e9is modificarlo en base a vuestra configuraci\u00f3n general. En este Docker-Compose tambi\u00e9n instalamos Portainer para la gesti\u00f3n de todos los contenedores, pero si ya lo tienes instalado, puedes obviarlo. Si quer\u00e9is acceder con un dominio comprado, tendr\u00e9is que configurarlo para que apunte a nuestra direcci\u00f3n IP p\u00fablica o al dominio DDNS, en nuestro caso<\/p>\n

version: '3.7'
#Directorio Docker ${DOCKER_CARPETA} en el archivo .ENV
networks:
redeszone:
name: redeszone
driver: bridge
ipam:
config:
- subnet: 172.30.1.0\/24
services:
## Portainer - Gestor Dockers
portainer:
container_name: portainer
image: portainer\/portainer-ce:latest
restart: always
networks:
redeszone:
ipv4_address: 172.30.1.2
ports:
- ${PORTAINER_PUERTO}:9000
security_opt:
- no-new-privileges:true
volumes:
- ${DOCKER_CARPETA}\/portainer:\/data
- \/var\/run\/docker.sock:\/var\/run\/docker.sock
- \/etc\/localtime:\/etc\/localtime:ro
environment:
- PUID=${PUID}
- PGID=${PGID}
- TZ=${TZ}
labels:
- \"traefik.enable=true\"
## HTTP Routers
- \"traefik.http.routers.portainer-rtr.entrypoints=web-secure\"
- \"traefik.http.routers.portainer-rtr.rule=Host(`portainer.${NOMBREDOMINIO}`)\"
## Middlewares
- \"traefik.http.routers.portainer-rtr.middlewares=simpleAuth@file\"
## HTTP Services
- \"traefik.http.routers.portainer-rtr.service=portainer-svc\"
- \"traefik.http.services.portainer-svc.loadbalancer.server.port=${PORTAINER_PUERTO}\"
## Traefik proxy inverso
traefik:
container_name: traefik
image: traefik:v2.5.4
restart: always
networks:
redeszone:
ipv4_address: 172.30.1.3
ports:
- 80:80
- 443:443
- 8082:8082
security_opt:
- no-new-privileges:true
volumes:
- \/var\/run\/docker.sock:\/var\/run\/docker.sock:ro
- ${DOCKER_CARPETA}\/traefik\/traefik.yml:\/etc\/traefik\/traefik.yml
- ${DOCKER_CARPETA}\/traefik:\/etc\/traefik
- ${DOCKER_CARPETA}\/traefik\/letsencrypt:\/letsencrypt
environment:
- PUID=${PUID}
- PGID=${PGID}
- TZ=${TZ}
labels:
- \"traefik.enable=true\"
# HTTP-to-HTTPS Redirect
- \"traefik.http.routers.http-catchall.entrypoints=web\"
- \"traefik.http.routers.http-catchall.rule=HostRegexp(`{host:.+}`)\"
- \"traefik.http.routers.http-catchall.middlewares=redirect-to-https\"
- \"traefik.http.middlewares.redirect-to-https.redirectscheme.scheme=web-secure\"
# HTTP Routers
- \"traefik.http.routers.traefik-rtr.entrypoints=web-secure\"
- \"traefik.http.routers.traefik-rtr.rule=Host(`traefik.${NOMBREDOMINIO}`)\"
## Services - API
- \"traefik.http.routers.traefik-rtr.service=api@internal\"
## Middlewares
- \"traefik.http.routers.traefik-rtr.middlewares=simpleAuth@file\"<\/code><\/p>\n

El c\u00f3digo fuente del archivo .env para todas las contrase\u00f1as ser\u00eda el siguiente:<\/p>\n

##### PUERTOS
PORTAINER_PUERTO=9000
##### SISTEMA
PUID=1000
PGID=1000
TZ=Europe\/Madrid
DOCKER_CARPETA=\/share\/Container\/Docker<\/code><\/p>\n

Una vez que est\u00e1 instalado Traefik en el contenedor Docker, ahora tenemos que poner la siguiente configuraci\u00f3n en el archivo traefik.yml (el archivo est\u00e1tico):<\/p>\n

global:
checkNewVersion: true
sendAnonymousUsage: true
entryPoints:
web:
address: ':80'
http:
redirections:
entryPoint:
to: web-secure
scheme: https
web-secure:
address: ':443'
http:
tls:
certResolver: lets-encrypt
traefik:
address: ':8082'
log:
level: DEBUG
filePath: \/etc\/traefik\/logs\/traefik.log
accessLog:
filePath: \/etc\/traefik\/logs\/access.log
api:
insecure: true
dashboard: true
debug: true
#pilot:
# token: \"TOKEN QUE CONSEGUIMOS DESDE LA WEB\"
experimental:
plugins:
GeoBlock:
moduleName: \"github.com\/PascalMinder\/GeoBlock\"
version: \"v0.1.6\"
ping: {}
providers:
docker:
endpoint: unix:\/\/\/var\/run\/docker.sock
exposedByDefault: false
watch: true
swarmMode: false
file:
filename: \/etc\/traefik\/dynamic-conf.yml
watch: true
certificatesResolvers:
lets-encrypt:
acme:
email: \"sergio.deluz@grupoadslzone.com\"
storage: \"\/letsencrypt\/acme.json\"
httpChallenge:
entryPoint: web<\/code><\/p>\n

En el caso del archivo de configuraci\u00f3n din\u00e1mico, la configuraci\u00f3n que os recomendamos es la siguiente:<\/p>\n

#Configuracion dinamica de Traefik
#Configuracion de TLS
tls:
options:
default:
minVersion: VersionTLS12
sniStrict: true
cipherSuites:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
curvePreferences:
- CurveP521
- CurveP384
#HTTP routers para el Traefik, listado:
# - D-Link Nuclias Connect
http:
routers:
router-https-nuclias-connect:
rule: Host(`nuclias-connect.redeszone.net`)
entrypoints:
- web-secure
middlewares: chain-sin-autenticacion
service: service-https-nuclias-connect
tls:
certResolver: lets-encrypt
services:
service-https-nuclias-connect-dnh-100:
loadBalancer:
servers:
- url: \"https:\/\/IP:443\"
#Middlewares HTTP para Traefik
middlewares:
chain-sin-autenticacion:
chain:
middlewares:
- GeoBloqueo
- limitePaquetes
- seguridadCabeceras
#Seguridad para las cabeceras de la comunicaci\u00f3n HTTPS.
seguridadCabeceras:
headers:
accessControlAllowMethods:
- GET
- OPTIONS
- PUT
accessControlMaxAge: 100
addVaryHeader: true
browserXssFilter: true
contentTypeNosniff: true
forceSTSHeader: true
frameDeny: true
sslRedirect: true
sslForceHost: true
stsPreload: true
customFrameOptionsValue: SAMEORIGIN
referrerPolicy: \"same-origin\"
featurePolicy: \"camera 'none'; microphone 'none'; payment 'none'; usb 'none'; vr 'none'; vibrate 'self';\"
stsSeconds: 315360000
hostsProxyHeaders:
- \"X-Forwarded-Host\"
#Middlewares para poner un limite de datos intercambiados
limitePaquetes:
rateLimit:
average: 350
burst: 500
period: 1m
sourceCriterion:
ipStrategy:
depth: 2
#Middlewares para comprobar direcci\u00f3n IP de origen. Solo se permite Espa\u00f1a.
GeoBloqueo:
plugin:
GeoBlock:
allowlocalrequests: true
loglocalrequests: true
api: https:\/\/get.geojs.io\/v1\/ip\/country\/{ip}
countries:
- ES<\/code><\/p>\n

Una vez que est\u00e9 todo montado, podemos acceder a nuestro Nuclias Connect v\u00eda HTTPS usando el mismo puerto 443 de siempre, ya que la solicitud la realizamos al Traefik, y \u00e9l nos va a dirigir hacia el servidor web de Nuclias, pasando antes por los diferentes filtros o \u00abmiddlewares\u00bb que tenemos. Si somos integradores de sistemas y redes, podemos montar un proxy inverso en cada instalaci\u00f3n con el objetivo de acceder a la gesti\u00f3n de Nuclias v\u00eda web sin necesidad de VPN ni abrir puertos (que no es seguro).<\/p>\n

A continuaci\u00f3n, pod\u00e9is ver c\u00f3mo se acceder\u00eda desde Internet a nuestro Nuclias, usando un dominio:<\/p>\n

<\/p>\n

Podemos ver que el certificado de Let\u2019s Encrypt est\u00e1 perfectamente instalado y funcionando, adem\u00e1s, la conexi\u00f3n es TLS 1.3:<\/p>\n

<\/p>\n

Con la misma direcci\u00f3n URL donde accedemos a la web de administraci\u00f3n del Nuclias, podemos ponerla en la aplicaci\u00f3n para smartphones y tambi\u00e9n podemos acceder. Recuerda que si decides poner una autenticaci\u00f3n adicional para acceder, con el t\u00edpico nombre de usuario y clave, o una autenticaci\u00f3n tipo OAuth2, no podr\u00e1s acceder con el smartphone, solamente v\u00eda web con el navegador.<\/p>\n<\/p><\/div>\n","protected":false},"excerpt":{"rendered":"

\u00bfQu\u00e9 formas tenemos de conectarnos remotamente? La gesti\u00f3n de Nuclias Connect est\u00e1 basada en un servidor web, por lo tanto, debemos acceder a una URL con nuestro navegador web y accederemos a la web de administraci\u00f3n general de todos los puntos de acceso, sedes y redes que tengamos dadas de alta. De esta forma tan […]<\/p>\n","protected":false},"author":1,"featured_media":81074,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/81073"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=81073"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/81073\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/81074"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=81073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=81073"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=81073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}