Mirrors/wireguard_webadmin
1
0
Fork 0
mirror of https://github.com/eduardogsilva/wireguard_webadmin.git synced 2026-03-22 00:16:18 +00:00
Code Issues Actions Packages Projects Releases Wiki Activity
Files
30074e5bd6a888ea0db8751b080112b49e77f4c5
wireguard_webadmin/docs/de/zero-trust/index.html
Eduardo Silva 30074e5bd6 add github page
2026-03-18 22:17:13 -03:00

16 lines
12 KiB
HTML
Raw Blame History

<!doctype html><html lang=de><head><meta charset=UTF-8><meta name=viewport content="width=device-width,initial-scale=1"><title>Zero-Trust-Anwendungsgateway · wireguard_webadmin</title><meta name=description content="Erfahren Sie, wie wireguard_webadmin Zero-Trust-Zugriffskontrolle implementiert, um interne Apps wie Grafana, Proxmox und mehr sicher zu veröffentlichen."><link rel=alternate hreflang=en-us href=https://wireguard-webadmin.com/zero-trust/><link rel=alternate hreflang=pt-BR href=https://wireguard-webadmin.com/pt-br/zero-trust/><link rel=alternate hreflang=es href=https://wireguard-webadmin.com/es/zero-trust/><link rel=alternate hreflang=fr href=https://wireguard-webadmin.com/fr/zero-trust/><link rel=alternate hreflang=de href=https://wireguard-webadmin.com/de/zero-trust/><link rel=alternate hreflang=x-default href=https://wireguard-webadmin.com/><meta property="og:type" content="website"><meta property="og:url" content="https://wireguard-webadmin.com/de/zero-trust/"><meta property="og:title" content="Zero-Trust-Anwendungsgateway · wireguard_webadmin"><meta property="og:description" content="Erfahren Sie, wie wireguard_webadmin Zero-Trust-Zugriffskontrolle implementiert, um interne Apps wie Grafana, Proxmox und mehr sicher zu veröffentlichen."><meta property="og:image" content="https://wireguard-webadmin.com/og-image.png"><meta property="og:image:width" content="1280"><meta property="og:image:height" content="800"><meta name=twitter:card content="summary_large_image"><meta name=twitter:title content="Zero-Trust-Anwendungsgateway · wireguard_webadmin"><meta name=twitter:description content="Erfahren Sie, wie wireguard_webadmin Zero-Trust-Zugriffskontrolle implementiert, um interne Apps wie Grafana, Proxmox und mehr sicher zu veröffentlichen."><meta name=twitter:image content="https://wireguard-webadmin.com/og-image.png"><link rel=icon type=image/svg+xml href=/favicon.svg><link rel=preconnect href=https://fonts.googleapis.com><link rel=preconnect href=https://fonts.gstatic.com crossorigin><link href="https://fonts.googleapis.com/css2?family=Inter:wght@400;500;600;700&family=JetBrains+Mono:wght@400;600&display=swap" rel=stylesheet><link rel=stylesheet href=/css/main.min.css></head><body><header class=site-header><div class=container><nav class=nav-inner><a href=/de/ class=nav-logo>wireguard_<span>webadmin</span></a>
<button class=hamburger aria-label="Toggle menu" aria-expanded=false>
<span></span><span></span><span></span></button><ul class=nav-links><li><a href=/de/>Start</a></li><li><a href=/de/zero-trust/ aria-current=page>Zero Trust</a></li><li><a href=/de/deployment/>Installation</a></li><li><a href=/de/get-involved/>Mitmachen</a></li><li><a href=https://github.com/eduardogsilva/wireguard_webadmin target=_blank rel=noopener class=nav-github><svg width="16" height="16" viewBox="0 0 24 24" fill="currentColor"><path d="M12 0C5.374.0.0 5.373.0 12c0 5.302 3.438 9.8 8.207 11.387.599.111.793-.261.793-.577v-2.234c-3.338.726-4.033-1.416-4.033-1.416-.546-1.387-1.333-1.756-1.333-1.756-1.089-.745.083-.729.083-.729 1.205.084 1.839 1.237 1.839 1.237 1.07 1.834 2.807 1.304 3.492.997.107-.775.418-1.305.762-1.604-2.665-.305-5.467-1.334-5.467-5.931.0-1.311.469-2.381 1.236-3.221-.124-.303-.535-1.524.117-3.176.0.0 1.008-.322 3.301 1.23A11.509 11.509.0 0112 5.803c1.02.005 2.047.138 3.006.404 2.291-1.552 3.297-1.23 3.297-1.23.653 1.653.242 2.874.118 3.176.77.84 1.235 1.911 1.235 3.221.0 4.609-2.807 5.624-5.479 5.921.43.372.823 1.102.823 2.222v3.293c0 .319.192.694.801.576C20.566 21.797 24 17.3 24 12c0-6.627-5.373-12-12-12z"/></svg>
GitHub</a></li><li class=nav-lang-sep></li><li class=lang-dropdown><button class=lang-btn aria-expanded=false>
🇩🇪 DE
<svg width="10" height="10" viewBox="0 0 10 10" fill="currentColor"><path d="M2 3.5l3 3 3-3" stroke="currentColor" stroke-width="1.5" stroke-linecap="round" stroke-linejoin="round" fill="none"/></svg></button><ul class=lang-menu><li><a href=/zero-trust/ hreflang=en><span class=lang-flag>🇬🇧</span>
<span>English</span></a></li><li><a href=/pt-br/zero-trust/ hreflang=pt-br><span class=lang-flag>🇧🇷</span>
<span>Português</span></a></li><li><a href=/es/zero-trust/ hreflang=es><span class=lang-flag>🇪🇸</span>
<span>Español</span></a></li><li><a href=/fr/zero-trust/ hreflang=fr><span class=lang-flag>🇫🇷</span>
<span>Français</span></a></li><li><a href=/de/zero-trust/ hreflang=de class=lang-active><span class=lang-flag>🇩🇪</span>
<span>Deutsch</span></a></li></ul></li></ul></nav></div></header><main><section class=page-hero><div class=container><div class=section-label>Zero Trust</div><h1>Zero-Trust-Anwendungsgateway</h1><p class=section-sub style=margin-top:1rem>Veröffentlichen Sie interne Dienste sicher, ohne sie dem Internet direkt auszusetzen.</p></div></section><div class=page-content><div class=container><h2 id=was-bedeutet-zero-trust-hier>Was bedeutet Zero Trust hier?</h2><p>Traditionelle Netzwerksicherheit geht davon aus, dass alles innerhalb Ihres Netzwerks vertrauenswürdig ist.
Zero Trust dreht dieses Modell um: <strong>Keine Anfrage wird standardmäßig vertraut</strong>, selbst wenn sie aus dem VPN kommt.</p><p>In wireguard_webadmin sitzt das Zero-Trust-Application-Gateway vor Ihren internen Diensten.
Jede Anfrage muss sich authentifizieren, bevor sie die Anwendung erreicht. Der Dienst selbst muss niemals direkt veröffentlicht werden.</p><hr><h2 id=so-läuft-eine-anfrage-ab>So läuft eine Anfrage ab</h2><div class=flow-cards><div class=flow-card><div class=flow-card-header><span class=flow-card-num>1</span> <strong>Client erreicht das Gateway</strong></div><p>Der öffentliche Endpunkt empfängt die Anfrage anstelle des internen Dienstes.</p></div><div class=flow-card><div class=flow-card-header><span class=flow-card-num>2</span> <strong>Browser-Validierung</strong></div><p>Altcha-Proof-of-Work kann automatisierten Missbrauch noch vor Beginn des Logins herausfordern.</p></div><div class=flow-card><div class=flow-card-header><span class=flow-card-num>3</span> <strong>Identitätsprüfungen</strong></div><p>Zugangsdaten, TOTP und Richtlinien für die Quell-IP werden geprüft.</p></div><div class=flow-card><div class=flow-card-header><span class=flow-card-num>4</span> <strong>An Upstream weiterleiten</strong></div><p>Nur freigegebene Anfragen werden an Grafana, Proxmox oder eine andere interne App weitergeleitet.</p></div></div><hr><h2 id=authentifizierungsmethoden>Authentifizierungsmethoden</h2><div class=auth-list><div class=auth-row><div class=auth-row-name>TOTP / 2FA</div><div class=auth-row-desc>Zeitbasierte Einmalpasswörter. Funktioniert mit jeder TOTP-App, etwa Google Authenticator, Aegis oder Authy.</div></div><div class=auth-row><div class=auth-row-name>Lokale Zugangsdaten</div><div class=auth-row-desc>Benutzername und Passwort werden direkt in wireguard_webadmin verwaltet. Kein externer IdP nötig.</div></div><div class=auth-row><div class=auth-row-name>IP-ACL</div><div class=auth-row-desc>Whitelist für bestimmte IPs oder Subnetze. VPN-Peers können anhand ihrer Tunnel-Adresse automatisch als vertrauenswürdig gelten.</div></div><div class=auth-row><div class=auth-row-name>OIDC <span class=auth-coming>demnächst verfügbar</span></div><div class=auth-row-desc>Delegieren Sie die Authentifizierung an Keycloak, Authentik, Google Workspace oder einen anderen OIDC-kompatiblen Anbieter.</div></div></div><hr><h2 id=schutz-vor-brute-force-altcha-proof-of-work>Schutz vor Brute Force: Altcha Proof-of-Work</h2><p>Bevor überhaupt ein Login-Formular angezeigt wird, muss der Browser eine leichte rechnerische Aufgabe lösen
(<a href=https://altcha.org/ target=_blank rel=noopener>Altcha</a>).</p><p>Das erzeugt praktisch keine Reibung für echte Nutzerinnen und Nutzer, da moderne Hardware die Aufgabe in Millisekunden löst,
macht automatisierte Credential-Stuffing-Angriffe im großen Maßstab aber rechnerisch teuer.</p><div class=callout><p><strong>Mehrschichtiger Schutz:</strong> Ein Rate Limiting ist bereits aktiv. Proof-of-Work ergänzt es: Während Rate Limiting das Anfragevolumen pro IP begrenzt, fügt Altcha für jede Anfrage einen Rechenaufwand hinzu, der verteilte Angriffe teuer macht, unabhängig davon, wie viele Quell-IPs beteiligt sind.</p></div><hr><h2 id=anwendungsfälle>Anwendungsfälle</h2><ul><li>Stellen Sie <strong>Grafana</strong> Ihrem Team bereit, ohne Port 3000 ins Internet zu öffnen</li><li>Veröffentlichen Sie eine <strong>Proxmox</strong>-Webkonsole hinter TOTP, die nur aus Ihrem VPN erreichbar ist</li><li>Teilen Sie eine <strong>selbst gehostete App</strong> mit einem Kunden oder einer Kundin über zeitlich begrenzte Zugangsdaten</li><li>Schützen Sie jeden <strong>internen HTTP-Dienst</strong>, ohne seine Konfiguration anzufassen</li></ul><div class="callout green"><p><strong>Keine Änderungen an der App erforderlich.</strong> Der Gatekeeper proxyt die Anfrage transparent weiter.
Ihr interner Dienst muss keine Authentifizierung implementieren, das übernimmt das Gateway.</p></div><hr><p>VPN-Verwaltung und Application Gateway laufen als ein einziger selbst gehosteter Stack. Kein Konto bei einem Drittanbieter, keine Abhängigkeit von ausgehenden Tunneln, kein Traffic, der Ihre Infrastruktur verlässt.</p></div></div></main><footer class=site-footer><div class=container><div class=footer-inner><div class=footer-logo>wireguard_<span>webadmin</span></div><ul class=footer-links><li><a href=https://github.com/eduardogsilva/wireguard_webadmin target=_blank rel=noopener>GitHub</a></li><li><a href=https://github.com/eduardogsilva/wireguard_webadmin/discussions target=_blank rel=noopener>Discussions</a></li><li><a href=/de/zero-trust/>Zero Trust</a></li><li><a href=/de/deployment/>Deployment</a></li><li><a href=/de/get-involved/>Get Involved</a></li></ul><div class=footer-built>entwickelt von <a href=https://github.com/eduardogsilva target=_blank rel=noopener>@eduardogsilva</a></div></div></div></footer><script>document.querySelectorAll(".tab-btn").forEach(e=>{e.addEventListener("click",()=>{const t=e.closest(".tab-group");t.querySelectorAll(".tab-btn").forEach(e=>e.classList.remove("active")),t.querySelectorAll(".tab-panel").forEach(e=>e.classList.remove("active")),e.classList.add("active"),t.querySelector("#"+e.dataset.tab).classList.add("active")})});const hamburger=document.querySelector(".hamburger"),navLinks=document.querySelector(".nav-links");hamburger&&(hamburger.addEventListener("click",e=>{e.stopPropagation();const t=navLinks.classList.toggle("open");hamburger.classList.toggle("open",t),hamburger.setAttribute("aria-expanded",t)}),document.addEventListener("click",e=>{!navLinks.contains(e.target)&&!hamburger.contains(e.target)&&(navLinks.classList.remove("open"),hamburger.classList.remove("open"),hamburger.setAttribute("aria-expanded",!1))}));const langBtn=document.querySelector(".lang-btn"),langDropdown=document.querySelector(".lang-dropdown");if(langBtn&&(langBtn.addEventListener("click",e=>{e.stopPropagation();const t=langDropdown.classList.toggle("open");langBtn.setAttribute("aria-expanded",t)}),document.addEventListener("click",e=>{langDropdown.contains(e.target)||(langDropdown.classList.remove("open"),langBtn.setAttribute("aria-expanded",!1))}),langDropdown.querySelectorAll(".lang-menu a").forEach(e=>{e.addEventListener("click",()=>localStorage.setItem("lang-manual","1"))})),location.pathname==="/"&&!localStorage.getItem("lang-manual")){const t=(navigator.language||navigator.userLanguage||"en").toLowerCase(),n=[{prefix:"pt",url:"/pt-br/"},{prefix:"es",url:"/es/"},{prefix:"fr",url:"/fr/"},{prefix:"de",url:"/de/"}],e=n.find(e=>t.startsWith(e.prefix));e&&location.replace(e.url)}</script></body></html>
Reference in New Issue View Git Blame Copy Permalink