Comment créer un tunnel sécurisé pour (X)RDP avec cloudflare

Pourquoi devrais-je créer un tunnel sécurisé ?

Avec Tunnel, vous n'envoyez pas de trafic vers une IP externe, à la place, un démon léger dans votre infrastructure (cloudflared) crée des connexions à l'extérieur uniquement vers le réseau global de Cloudflare. Pour créer votre tunnel, votre infrastructure (serveur domain+name) doit être nuageux réseau.

De quoi ai-je besoin pour créer un tunnel sécurisé ?

Un compte dans nuageux avec votre nom de domaine lié à votre serveur avec les configurations du serveur de noms; l'application Cloudflared que peut télécharger pour chaque système d'exploitation ici: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/downloads/

Qu'est-ce que l'application Zero Trust?

Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs, à l'intérieur ou à l'extérieur du réseau de l'organisation, soient authentifiés, autorisés et validés en permanence pour la configuration et la posture de sécurité avant d'être autorisés ou d'avoir accès aux applications et aux données. Lorsque vous créez votre tunnel pour (x)RDP avec nuageux vous devrez l'associer à une application Zero Trust.

Démarrez votre tunnel sécurisé

Une fois le cloudflared téléchargé, vous pouvez créer le premier tunnel simplement via terminal ou par webui.

TERMINAL

Tapez cette commande pour authentifier :

$ cloudflared tunnel login

Créer un tunnel et lui donner un nom:

$ cloudflared tunnel create 

A partir de la sortie de la commande, prenez note du tunnel UUID et du chemin vers votre tunnel.

Confirmer que le tunnel a été créé avec succès en exécutant:

$ cloudflared tunnel list

Lire les documents officiels pour créer un tunnel via terminal: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/local/

WEBUI

1. Connectez-vous àZéro confianceet aller àAccès>Tunnels.
2. SélectionnerCréer un tunnel.
3. Entrez un nom pour votre tunnel. Nous vous suggérons de choisir un nom qui reflète le type de ressources que vous souhaitez connecter à travers ce tunnel (par exemple,enterprise-VPC-01).
4. SélectionnerEnregistrer le tunnel.
5. Ensuite, vous devrez installercloudflaredet dirige-le. Pour ce faire, vérifiez que l'environnement sousChoisir un environnementreflète le système d'exploitation sur votre machine, puis copie la commande dans la boîte ci-dessous et le coller dans une fenêtre de terminal. Exécutez le commandement.
6. Une fois la commande terminée, votre connecteur apparaîtra dans Zero Trust.
7. SélectionnerSuivant.

Lisez les documents officiels pour créer un tunnel via webui: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/remote/

Connexion avec (X)RDP via le tunnel Cloudflare

Le protocole de bureau à distance (RDP) permet aux utilisateurs d'accéder à distance aux appareils lorsqu'ils sont assis devant la machine. Avec Cloudflare Zero Trust, vous pouvez rendre votre serveur (X)RDP disponible sur Internet sans risque d'ouvrir des ports entrants sur le serveur.

Cloudflare Zero Trust offre deux solutions pour fournir un accès sécurisé aux serveurs RDP:

• Routage sous-net privé avec WARP Cloudflare vers Tunnel
• Routage du nom d'hôte public aveccloudflared access

L'accès nuageux est celui que nous avons utilisé ici. Vous pouvez utiliser n'importe quel sous-domaine public comme xrdp.exemple.com

Rappelez-vous que cloudflared est un logiciel mis à jour en permanence et il est donc nécessaire de lire les documents officiels pour être sûr que vous utilisez les meilleures procédures possibles pour la version utilisée.

Utiliser (X)RDP avec le tunnel RDP Cloudflare

(X)RDP est un acronyme pour X Protocole de bureau à distance.C'est un serveur de protocole de bureau à distance (RDP), permettant aux utilisateurs d'établir des connexions à n'importe quelle machine serveur à partir d'une machine Windows distante ou d'un autre système Linux en utilisant le protocole RDP. Pour utiliser (X)RDP dans vos clients une étape supplémentaire est nécessaire pour connecter le client au tunnel; il suffit d'ouvrir votre terminal (à partir du client que vous voulez connecter) et de saisir cette commande:

$ cloudflared access tcp --hostname xrdp.example.com --url localhost:3389

La prochaine fois que vous voulez vous connecter via (X)RDP (avec n'importe quel logiciel activé) insérez comme hostname localhost:3389 et les identifiants de votre (X)RDP nom d'utilisateur du serveur; lorsque vous fermez votre terminal, la connexion se termine et ne sera pas possible de se connecter à nouveau avant d'ouvrir le terminal et de saisir à nouveau cette commande. Veuillez noter: dans le système Windows, le port 3389 pourrait déjà être utilisé par le service RDP et ne fonctionne pas; s'il vous plaît utiliser un autre port, à votre choix, et se connecter avec ce port au tunnel.

Régler les paramètres de sécurité

Lorsque toutes les procédures fonctionnent parfaitement, vous pouvez maintenant fermer les ports utilisés par RDP (généralement le port 3389) à travers le pare-feu; de cette façon, seuls ceux en possession de l'application nuageuse et/ou les certificats nécessaires pourront se connecter.

Lisez toujours les documents officiels

Comme j'ai écrit il y a un moment, je vous conseille de toujours lire et apprendre de l'officiel nuageux les documents parce que ces logiciels pourraient aussi avoir des changements au fil du temps. Ce document est rédigé sans avoir reçu l'appui officiel de nuageux et est conçu comme un exemple pour ceux qui travaillent dans notre organisation.