Come creare un tunnel sicuro per (X)RDP con cloudflare

Perché dovrei creare un tunnel sicuro?

Con Tunnel, non si invia il traffico a un IP esterno, invece, un daemon leggero nella vostra infrastruttura (cloudflared) crea connessioni in uscita alla rete globale di Cloudflare; in modo da poter chiudere porte non utilizzate con il firewall nella vostra infrastruttura. Per creare il tunnel l'infrastruttura (server domain+name) deve essere all'interno cloudflare rete.

Cosa devo creare un tunnel sicuro?

Un conto in cloudflare con il nome di dominio collegato al server con le configurazioni del server di nome; l'applicazione cloudflared che può essere scaricata per ogni sistema operativo qui: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/downloads/

Qual è l'applicazione Zero Trust?

Zero Trust è un framework di sicurezza che richiede a tutti gli utenti, sia all’interno che all’esterno della rete dell’organizzazione, di essere autenticati, autorizzati, e continuamente convalidati per la configurazione e la postura di sicurezza prima di essere concessi o mantenere l’accesso a applicazioni e dati. Quando si crea il tunnel per (x)RDP con cloudflare Dovrai associarlo a un'applicazione Zero Trust.

Inizia il tunnel sicuro

Una volta scaricato il cloudflared, è possibile creare il primo tunnel semplicemente via terminale o da webui.

TERMINALE

Digitare questo comando per autenticare:

$ cloudflared tunnel login

Creare un tunnel e dargli un nome:

$ cloudflared tunnel create 

Dall’output del comando, prendere nota dell’UUUID del tunnel e del percorso del file credenziali del tunnel.

Confermare che il tunnel è stato creato con successo correndo:

$ cloudflared tunnel list

Leggi i documenti ufficiali per creare un tunnel tramite terminale: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/local/

WEBUI

1. AccediZero Truste vaiAccesso>Tunnel.
2. SelezionaCreare un tunnel.
3. Inserisci un nome per il tunnel. Si consiglia di scegliere un nome che riflette il tipo di risorse che si desidera collegare attraverso questo tunnel (ad esempio,enterprise-VPC-01).
4. SelezionaSalvare il tunnel.
5. Il prossimo, è necessario installarecloudflarede gestiscilo. Per farlo, controlla che l'ambiente sottoScegli un ambienteriflette il sistema operativo sulla macchina, quindi copiare il comando nella casella sottostante e incollarlo in una finestra terminale. Esegui il comando.
6. Una volta terminato il funzionamento del comando, il connettore apparirà in Zero Trust.
7. SelezionaIl prossimo.

Leggi i documenti ufficiali per creare un tunnel via webui: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/remote/

Collegare con (X)RDP attraverso il tunnel Cloudflare

Il Remote Desktop Protocoll (RDP) consente agli utenti di accedere da remoto ai dispositivi mentre si trovano di fronte alla macchina. Con Cloudflare Zero Trust, è possibile rendere il server (X)RDP disponibile su Internet senza il rischio di aprire le porte in entrata sul server.

Cloudflare Zero Trust offre due soluzioni per garantire un accesso sicuro ai server RDP:

• Routing subnet privato con Cloudflare WARP to Tunnel
• Nome host pubblico in routing concloudflared access

L'accesso cloudflared è quello che abbiamo usato qui. È possibile utilizzare qualsiasi sottodominio pubblico come xrdp.example.com

Ricorda che il cloudflared è un software- [Program/Software: the instructions that control what a computer does; computer programs] - continuamente aggiornato ed è quindi necessario leggere i documenti ufficiali per essere sicuri che si sta utilizzando le migliori procedure possibili per la versione utilizzata.

Utilizzare (X)RDP con il tunnel RDP Cloudflare

(X)RDP è un acronimo per Protocollo desktop remoto X.Si tratta di un server desktop remoto open source (RDP), consentendo agli utenti di stabilire connessioni a qualsiasi macchina server da una macchina Windows remota o da un altro sistema Linux utilizzando il protocollo RDP. Per utilizzare (X)RDP nei vostri clienti è necessario un ulteriore passo per collegare il client al tunnel; è sufficiente aprire il terminale (dal client che si desidera collegare) e digitare questo comando:

$ cloudflared access tcp --hostname xrdp.example.com --url localhost:3389

La prossima volta che si desidera connettere via (X)RDP (con qualsiasi software abilitato) inserire come hostname localhost:3389 e le credenziali del nome utente (X)RDP del server; quando si chiude il terminale, la fine della connessione e non sarà possibile connettersi di nuovo fino ad aprire il terminale e digitare nuovamente questo comando. Si prega di notare: nel sistema Windows la porta 3389 potrebbe essere già utilizzata dal servizio RDP e non funzionerà; si prega di utilizzare un'altra porta, a vostra scelta, e collegare con quella porta al tunnel.

Regolare le impostazioni di sicurezza

Quando tutte le procedure funzionano perfettamente, è ora possibile chiudere le porte utilizzate da RDP (solitamente porta 3389) attraverso il firewall; in questo modo, solo quelli in possesso dell'applicazione cloudflared e/o i certificati necessari saranno in grado di connettersi.

Leggi sempre i documenti ufficiali

Come ho scritto poco fa, vi consiglio di leggere e imparare sempre dal funzionario cloudflare documenti perché questi software potrebbero anche avere modifiche nel tempo. Questo documento è scritto senza aver ricevuto alcun supporto ufficiale da cloudflare ed è inteso come esempio per coloro che lavorano nella nostra organizzazione.