Cómo crear un túnel seguro para (X)RDP con cloudflare

¿Por qué debería crear un túnel seguro?

Con Tunnel, usted no envía tráfico a una IP externa, en cambio, un daemon ligero en su infraestructura (cloudflared) crea conexiones outbound-only a la red global de Cloudflare; por lo que puede cerrar puertos no utilizados con su firewall en su infraestructura. Para crear su túnel su infraestructura (servidor de dominio+nombre) debe estar dentro del cloudflare red.

¿Qué necesito para crear un túnel seguro?

Una cuenta en cloudflare con su nombre de dominio vinculado a su servidor con las configuraciones del servidor de nombres; la aplicación cloudflared que se puede descargar para cada sistema operativo aquí: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/downloads/

¿Qué es la aplicación Zero Trust?

Zero Trust es un marco de seguridad que requiere que todos los usuarios, ya sea dentro o fuera de la red de la organización, sean autenticados, autorizados y validados continuamente para la configuración y postura de seguridad antes de ser concedidos o mantener el acceso a aplicaciones y datos. Cuando crea su túnel para (x)RDP con cloudflare tendrá que asociarlo con una aplicación Zero Trust.

Inicie su túnel seguro

Una vez que se descarga cloudflared, puede crear el primer túnel simplemente vía terminal o por webui.

TERMINAL

Escriba este comando para autenticar:

$ cloudflared tunnel login

Crear un túnel y darle un nombre:

$ cloudflared tunnel create 

Desde la salida del comando, tome nota del UUID del túnel y la ruta hacia el archivo de credenciales de su túnel.

Confirme que el túnel ha sido creado con éxito corriendo:

$ cloudflared tunnel list

Lea los documentos oficiales para crear un túnel a través de la terminal: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/local/

WEBUI

1. Inicie sesiónZero Trusty ir aAcceso■Tunels.
2. SeleccioneCrear un túnel.
3. Escribe un nombre para tu túnel. Sugerimos elegir un nombre que refleje el tipo de recursos que desea conectar a través de este túnel (por ejemplo,enterprise-VPC-01).
4. SeleccioneGuardar túnel.
5. Siguiente, tendrá que instalarcloudflaredy corre. Para hacerlo, compruebe que el ambiente bajoElija un entornorefleja el sistema operativo en su máquina, luego copiar el comando en el cuadro de abajo y pegarlo en una ventana terminal. Corre el comando.
6. Una vez que el comando haya terminado de funcionar, su conector aparecerá en Zero Trust.
7. SeleccioneSiguiente.

Lea los documentos oficiales para crear un túnel a través de webui: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/remote/

Conéctese con (X)RDP a través del Tunel Cloudflare

El Remote Desktop Protocoll (RDP) permite a los usuarios acceder remotamente a los dispositivos mientras se sientan frente a la máquina. Con Cloudflare Zero Trust, usted puede hacer su (X)RDP servidor disponible a través de Internet sin el riesgo de abrir puertos de entrada en el servidor.

Cloudflare Zero Trust ofrece dos soluciones para proporcionar acceso seguro a los servidores RDP:

• Subnet privado enrutándose con Cloudflare WARP a túnel
• Nombre de host público routing concloudflared access

El acceso a nubes es el que hemos utilizado aquí. Usted puede utilizar cualquier subdominio público como xrdp.example.com

Recuerde que Cloudflared es un software- [Program/Software: the instructions that control what a computer does; computer programs] - continuamente actualizado y por lo tanto es necesario leer los documentos oficiales para estar seguro de que está utilizando los mejores procedimientos posibles para la versión utilizada.

Uso (X)RDP con el Tunel de Cloudflare RDP

(X)RDP is an acronym for X Protocolo de escritorio remoto.Es un servidor remoto de código abierto (RDP), permitiendo a los usuarios establecer conexiones a cualquier máquina servidor desde una máquina remota de Windows u otro sistema Linux utilizando el protocolo RDP. Para utilizar (X)RDP en sus clientes se requiere paso adicional para conectar al cliente al túnel; simplemente abra su terminal (del cliente que desea conectar) y escriba este comando:

$ cloudflared access tcp --hostname xrdp.example.com --url localhost:3389

La próxima vez que desee conectarse vía (X)RDP (con cualquier software habilitado) inserte como hostname localhost:3389 y las credenciales de su (X)RDP nombre de usuario del servidor; cuando cierre su terminal, el extremo de conexión y no será posible conectar de nuevo hasta que abra el terminal y escriba de nuevo este comando. Tenga en cuenta: en el sistema Windows el puerto 3389 podría ser utilizado ya por el servicio RDP y no funcionará; por favor utilice otro puerto, a su elección, y conectar con ese puerto al túnel.

Ajuste la configuración de seguridad

Cuando todos los procedimientos funcionan perfectamente, ahora puede cerrar los puertos utilizados por RDP (generalmente puerto 3389) a través del cortafuegos; de esta manera, sólo aquellos en posesión de la aplicación Cloudflared y/o los certificados necesarios podrán conectarse.

Lea siempre los documentos oficiales

Como escribí hace un tiempo, te aconsejo que siempre leas y aprendas del funcionario cloudflare documentos porque este software también podría tener cambios con el tiempo. Este documento está escrito sin haber recibido ningún apoyo oficial de cloudflare y es un ejemplo para aquellos que trabajan en nuestra organización.