2026-03-25 20:36:46 -03:00
<!DOCTYPE html>
< html lang = "de" >
< head >
< meta charset = "UTF-8" >
< meta name = "viewport" content = "width=device-width, initial-scale=1.0" >
< title > Zero-Trust-Anwendungsgateway · wireguard_webadmin< / title >
< meta name = "description" content = "Erfahren Sie, wie wireguard_webadmin Zero-Trust-Zugriffskontrolle implementiert, um interne Apps wie Grafana, Proxmox und mehr sicher zu veröffentlichen." >
< link rel = "alternate" hreflang = "en-us" href = "https://wireguard-webadmin.com/zero-trust/" >
< link rel = "alternate" hreflang = "pt-BR" href = "https://wireguard-webadmin.com/pt-br/zero-trust/" >
< link rel = "alternate" hreflang = "es" href = "https://wireguard-webadmin.com/es/zero-trust/" >
< link rel = "alternate" hreflang = "fr" href = "https://wireguard-webadmin.com/fr/zero-trust/" >
< link rel = "alternate" hreflang = "de" href = "https://wireguard-webadmin.com/de/zero-trust/" >
< link rel = "alternate" hreflang = "x-default" href = "https://wireguard-webadmin.com/" >
< meta property = "og:type" content = "website" >
< meta property = "og:url" content = "https://wireguard-webadmin.com/de/zero-trust/" >
< meta property = "og:title" content = "Zero-Trust-Anwendungsgateway · wireguard_webadmin" >
< meta property = "og:description" content = "Erfahren Sie, wie wireguard_webadmin Zero-Trust-Zugriffskontrolle implementiert, um interne Apps wie Grafana, Proxmox und mehr sicher zu veröffentlichen." >
< meta property = "og:image" content = "https://wireguard-webadmin.com/og-image.png" >
< meta property = "og:image:width" content = "1280" >
< meta property = "og:image:height" content = "800" >
< meta name = "twitter:card" content = "summary_large_image" >
< meta name = "twitter:title" content = "Zero-Trust-Anwendungsgateway · wireguard_webadmin" >
< meta name = "twitter:description" content = "Erfahren Sie, wie wireguard_webadmin Zero-Trust-Zugriffskontrolle implementiert, um interne Apps wie Grafana, Proxmox und mehr sicher zu veröffentlichen." >
< meta name = "twitter:image" content = "https://wireguard-webadmin.com/og-image.png" >
< link rel = "icon" type = "image/svg+xml" href = "/favicon.svg" >
< link rel = "preconnect" href = "https://fonts.googleapis.com" >
< link rel = "preconnect" href = "https://fonts.gstatic.com" crossorigin >
< link href = "https://fonts.googleapis.com/css2?family=Inter:wght@400;500;600;700&family=JetBrains+Mono:wght@400;600&display=swap" rel = "stylesheet" >
< link rel = "stylesheet" href = "/css/main.min.css" >
< / head >
< body >
< header class = "site-header" >
< div class = "container" >
< nav class = "nav-inner" >
< a href = "/de/" class = "nav-logo" > wireguard_< span > webadmin< / span > < / a >
< button class = "hamburger" aria-label = "Toggle menu" aria-expanded = "false" >
< span > < / span > < span > < / span > < span > < / span >
< / button >
< ul class = "nav-links" >
< li >
< a href = "/de/"
>
Start
< / a >
< / li >
< li >
< a href = "/de/zero-trust/"
aria-current="page"
>
Zero Trust
< / a >
< / li >
< li >
< a href = "/de/deployment/"
>
Installation
< / a >
< / li >
< li >
< a href = "/de/get-involved/"
>
Mitmachen
< / a >
< / li >
< li >
< a href = "https://github.com/eduardogsilva/wireguard_webadmin"
target="_blank" rel="noopener"
class="nav-github">
< svg width = "16" height = "16" viewBox = "0 0 24 24" fill = "currentColor" > < path d = "M12 0C5.374 0 0 5.373 0 12c0 5.302 3.438 9.8 8.207 11.387.599.111.793-.261.793-.577v-2.234c-3.338.726-4.033-1.416-4.033-1.416-.546-1.387-1.333-1.756-1.333-1.756-1.089-.745.083-.729.083-.729 1.205.084 1.839 1.237 1.839 1.237 1.07 1.834 2.807 1.304 3.492.997.107-.775.418-1.305.762-1.604-2.665-.305-5.467-1.334-5.467-5.931 0-1.311.469-2.381 1.236-3.221-.124-.303-.535-1.524.117-3.176 0 0 1.008-.322 3.301 1.23A11.509 11.509 0 0 1 12 5.803c1.02.005 2.047.138 3.006.404 2.291-1.552 3.297-1.23 3.297-1.23.653 1.653.242 2.874.118 3.176.77.84 1.235 1.911 1.235 3.221 0 4.609-2.807 5.624-5.479 5.921.43.372.823 1.102.823 2.222v3.293c0 .319.192.694.801.576C20.566 21.797 24 17.3 24 12c0-6.627-5.373-12-12-12z" / > < / svg >
GitHub
< / a >
< / li >
< li class = "nav-lang-sep" > < / li >
< li class = "lang-dropdown" >
< button class = "lang-btn" aria-expanded = "false" >
🇩🇪 DE
< svg width = "10" height = "10" viewBox = "0 0 10 10" fill = "currentColor" > < path d = "M2 3.5L5 6.5L8 3.5" stroke = "currentColor" stroke-width = "1.5" stroke-linecap = "round" stroke-linejoin = "round" fill = "none" / > < / svg >
< / button >
< ul class = "lang-menu" >
< li >
< a href = "/zero-trust/"
hreflang="en"
class="">
< span class = "lang-flag" > 🇬🇧< / span >
< span > English< / span >
< / a >
< / li >
< li >
< a href = "/pt-br/zero-trust/"
hreflang="pt-br"
class="">
< span class = "lang-flag" > 🇧🇷< / span >
< span > Português< / span >
< / a >
< / li >
< li >
< a href = "/es/zero-trust/"
hreflang="es"
class="">
< span class = "lang-flag" > 🇪🇸< / span >
< span > Español< / span >
< / a >
< / li >
< li >
< a href = "/fr/zero-trust/"
hreflang="fr"
class="">
< span class = "lang-flag" > 🇫🇷< / span >
< span > Français< / span >
< / a >
< / li >
< li >
< a href = "/de/zero-trust/"
hreflang="de"
class="lang-active">
< span class = "lang-flag" > 🇩🇪< / span >
< span > Deutsch< / span >
< / a >
< / li >
< / ul >
< / li >
< / ul >
< / nav >
< / div >
< / header >
< main >
< section class = "page-hero" >
< div class = "container" >
< div class = "section-label" > Zero Trust< / div >
< h1 > Zero-Trust-Anwendungsgateway< / h1 >
< p class = "section-sub" style = "margin-top:1rem" > Veröffentlichen Sie interne Dienste sicher, ohne sie dem Internet direkt auszusetzen.< / p >
< / div >
< / section >
< div class = "page-content" >
< div class = "container" >
< h2 id = "was-bedeutet-zero-trust-hier" > Was bedeutet Zero Trust hier?< / h2 >
< p > Traditionelle Netzwerksicherheit geht davon aus, dass alles innerhalb Ihres Netzwerks vertrauenswürdig ist.
Zero Trust dreht dieses Modell um: < strong > Keine Anfrage wird standardmäßig vertraut< / strong > , selbst wenn sie aus dem VPN kommt.< / p >
< p > In wireguard_webadmin sitzt das Zero-Trust-Application-Gateway vor Ihren internen Diensten.
Jede Anfrage muss sich authentifizieren, bevor sie die Anwendung erreicht. Der Dienst selbst muss niemals direkt veröffentlicht werden.< / p >
< hr >
< h2 id = "so-läuft-eine-anfrage-ab" > So läuft eine Anfrage ab< / h2 >
< div class = "flow-cards" >
< div class = "flow-card" >
< div class = "flow-card-header" > < span class = "flow-card-num" > 1< / span > < strong > Client erreicht das Gateway< / strong > < / div >
< p > Der öffentliche Endpunkt empfängt die Anfrage anstelle des internen Dienstes.< / p >
< / div >
< div class = "flow-card" >
< div class = "flow-card-header" > < span class = "flow-card-num" > 2< / span > < strong > Browser-Validierung< / strong > < / div >
< p > Altcha-Proof-of-Work kann automatisierten Missbrauch noch vor Beginn des Logins herausfordern.< / p >
< / div >
< div class = "flow-card" >
< div class = "flow-card-header" > < span class = "flow-card-num" > 3< / span > < strong > Identitätsprüfungen< / strong > < / div >
< p > Zugangsdaten, TOTP und Richtlinien für die Quell-IP werden geprüft.< / p >
< / div >
< div class = "flow-card" >
< div class = "flow-card-header" > < span class = "flow-card-num" > 4< / span > < strong > An Upstream weiterleiten< / strong > < / div >
< p > Nur freigegebene Anfragen werden an Grafana, Proxmox oder eine andere interne App weitergeleitet.< / p >
< / div >
< / div >
< hr >
< h2 id = "authentifizierungsmethoden" > Authentifizierungsmethoden< / h2 >
< div class = "auth-list" >
< div class = "auth-row" >
< div class = "auth-row-name" > TOTP / 2FA< / div >
< div class = "auth-row-desc" > Zeitbasierte Einmalpasswörter. Funktioniert mit jeder TOTP-App, etwa Google Authenticator, Aegis oder Authy.< / div >
< / div >
< div class = "auth-row" >
< div class = "auth-row-name" > Lokale Zugangsdaten< / div >
< div class = "auth-row-desc" > Benutzername und Passwort werden direkt in wireguard_webadmin verwaltet. Kein externer IdP nötig.< / div >
< / div >
< div class = "auth-row" >
< div class = "auth-row-name" > IP-ACL< / div >
< div class = "auth-row-desc" > Whitelist für bestimmte IPs oder Subnetze. VPN-Peers können anhand ihrer Tunnel-Adresse automatisch als vertrauenswürdig gelten.< / div >
< / div >
< div class = "auth-row" >
< div class = "auth-row-name" > OIDC < span class = "auth-coming" > demnächst verfügbar< / span > < / div >
< div class = "auth-row-desc" > Delegieren Sie die Authentifizierung an Keycloak, Authentik, Google Workspace oder einen anderen OIDC-kompatiblen Anbieter.< / div >
< / div >
< / div >
< hr >
< h2 id = "schutz-vor-brute-force-altcha-proof-of-work" > Schutz vor Brute Force: Altcha Proof-of-Work< / h2 >
< p > Bevor überhaupt ein Login-Formular angezeigt wird, muss der Browser eine leichte rechnerische Aufgabe lösen
(< a href = "https://altcha.org/" target = "_blank" rel = "noopener" > Altcha< / a > ).< / p >
< p > Das erzeugt praktisch keine Reibung für echte Nutzerinnen und Nutzer, da moderne Hardware die Aufgabe in Millisekunden löst,
macht automatisierte Credential-Stuffing-Angriffe im großen Maßstab aber rechnerisch teuer.< / p >
< div class = "callout" >
< p > < strong > Mehrschichtiger Schutz:< / strong > Ein Rate Limiting ist bereits aktiv. Proof-of-Work ergänzt es: Während Rate Limiting das Anfragevolumen pro IP begrenzt, fügt Altcha für jede Anfrage einen Rechenaufwand hinzu, der verteilte Angriffe teuer macht, unabhängig davon, wie viele Quell-IPs beteiligt sind.< / p >
< / div >
< hr >
< h2 id = "anwendungsfälle" > Anwendungsfälle< / h2 >
< ul >
< li > Stellen Sie < strong > Grafana< / strong > Ihrem Team bereit, ohne Port 3000 ins Internet zu öffnen< / li >
< li > Veröffentlichen Sie eine < strong > Proxmox< / strong > -Webkonsole hinter TOTP, die nur aus Ihrem VPN erreichbar ist< / li >
< li > Teilen Sie eine < strong > selbst gehostete App< / strong > mit einem Kunden oder einer Kundin über zeitlich begrenzte Zugangsdaten< / li >
< li > Schützen Sie jeden < strong > internen HTTP-Dienst< / strong > , ohne seine Konfiguration anzufassen< / li >
< / ul >
< div class = "callout green" >
< p > < strong > Keine Änderungen an der App erforderlich.< / strong > Der Gatekeeper proxyt die Anfrage transparent weiter.
Ihr interner Dienst muss keine Authentifizierung implementieren, das übernimmt das Gateway.< / p >
< / div >
< hr >
< p > VPN-Verwaltung und Application Gateway laufen als ein einziger selbst gehosteter Stack. Kein Konto bei einem Drittanbieter, keine Abhängigkeit von ausgehenden Tunneln, kein Traffic, der Ihre Infrastruktur verlässt.< / p >
< / div >
< / div >
< / main >
< footer class = "site-footer" >
< div class = "container" >
< div class = "footer-inner" >
< div class = "footer-logo" > wireguard_< span > webadmin< / span > < / div >
< ul class = "footer-links" >
< li > < a href = "https://github.com/eduardogsilva/wireguard_webadmin" target = "_blank" rel = "noopener" > GitHub< / a > < / li >
< li > < a href = "https://github.com/eduardogsilva/wireguard_webadmin/discussions" target = "_blank" rel = "noopener" > Discussions< / a > < / li >
< li > < a href = "/de/zero-trust/" > Zero Trust< / a > < / li >
< li > < a href = "/de/deployment/" > Deployment< / a > < / li >
< li > < a href = "/de/get-involved/" > Get Involved< / a > < / li >
< / ul >
< div class = "footer-built" >
entwickelt von < a href = "https://github.com/eduardogsilva" target = "_blank" rel = "noopener" > @eduardogsilva< / a >
< / div >
< / div >
< / div >
< / footer >
< script >
document.querySelectorAll('.tab-btn').forEach(btn => {
btn.addEventListener('click', () => {
const group = btn.closest('.tab-group');
group.querySelectorAll('.tab-btn').forEach(b => b.classList.remove('active'));
group.querySelectorAll('.tab-panel').forEach(p => p.classList.remove('active'));
btn.classList.add('active');
group.querySelector('#' + btn.dataset.tab).classList.add('active');
});
});
const hamburger = document.querySelector('.hamburger');
const navLinks = document.querySelector('.nav-links');
if (hamburger) {
hamburger.addEventListener('click', (e) => {
e.stopPropagation();
const open = navLinks.classList.toggle('open');
hamburger.classList.toggle('open', open);
hamburger.setAttribute('aria-expanded', open);
});
document.addEventListener('click', (e) => {
if (!navLinks.contains(e.target) & & !hamburger.contains(e.target)) {
navLinks.classList.remove('open');
hamburger.classList.remove('open');
hamburger.setAttribute('aria-expanded', false);
}
});
}
const langBtn = document.querySelector('.lang-btn');
const langDropdown = document.querySelector('.lang-dropdown');
if (langBtn) {
langBtn.addEventListener('click', (e) => {
e.stopPropagation();
const open = langDropdown.classList.toggle('open');
langBtn.setAttribute('aria-expanded', open);
});
document.addEventListener('click', (e) => {
if (!langDropdown.contains(e.target)) {
langDropdown.classList.remove('open');
langBtn.setAttribute('aria-expanded', false);
}
});
langDropdown.querySelectorAll('.lang-menu a').forEach(a => {
a.addEventListener('click', () => localStorage.setItem('lang-manual', '1'));
});
}
if (location.pathname === '/' & & !localStorage.getItem('lang-manual')) {
const lang = (navigator.language || navigator.userLanguage || 'en').toLowerCase();
const map = [
{ prefix: 'pt', url: '/pt-br/' },
{ prefix: 'es', url: '/es/' },
{ prefix: 'fr', url: '/fr/' },
{ prefix: 'de', url: '/de/' },
];
const match = map.find(m => lang.startsWith(m.prefix));
if (match) location.replace(match.url);
}
< / script >
< / body >
< / html >
