23-01-2024, 05:26 PM
Una vez que se tiene configurado nuestro tunel Cloudflared y publicados nuestros servicios a través de el sin necesidad de abrir ningún puerto en nuestro router Cloudflare nos ofrece herramientas gratuitas para proteger el acceso desde el exterior sea mediante filtrados mediante GeoIP u otros sistemas pero en el caso de utilización personal del tunel Cloudflared a la hora, como digo, de publicar nuestros servicios personales podemos hacer algo más que es treméndamente interesante de cara a la seguridad que consiste en utilizar otro servicio también gratuito de Cloudflare llamado Cloudflare Access.
Cloudflare Access consiste en la posibilidad de permitir únicamente el acceso a los servicios que tengamos publicados a través del tunel Cloudflared a las personas que préviamente hayamos autorizado nosotros mediante el correo eléctronico de esas personas, una vez configurado ese correo o correos electrónicos las personas autorizadas al querer acceder a uno de nuestros servicios publicados recibirán un código TOTP temporal que deberán validar para poder acceder. Dicho de otra manera, una vez configurado Cloudflare Access sólo podrán acceder desde el exterior a nuestros servicios publicados a través del tunel Cloudflared las personas préviamente autorizadas por nosotros mediante correo electrónico y código TOTP.
Esta configuración se puede hacer tanto con el propio dominio como también con cualquier subdominio que tengamos configurado en Cloudflare. Eso si, una vez configurado Cloudflare Access tanto para el dominio como para los subdominios que se quieran es un todo o nada, es decir, no sólo lo tenemos que configurar para los visitantes autorizados sino también para nosotros mismos, si no lo hacemos también para nosotros no podríamos acceder desde el exterior a nuestros servicios. En el caso de configurarlo y que posteriórmente no nos gustara podemos volver al estado anterior sin ningún problema.
Cloudflare Access añade una capa de protección de acceso gratuita a los servicios publicados a través del tunel Cloudflare, si esos servicios no tienen ninguna protección de acceso al configurarlo ya la tienen, si alguno de esos servicios de por si ya la tienen siendo el acceso a ellos, por ejemplo, a través de usuario - contraseña esta configuración se conserva.
Para el ejemplo de este tutorial voy a hacerlo a través del servidor Calibre-web https://www.qnapclub.es/showthread.php?tid=3048
Este servidor lo tengo configurado a través de un tunel Cloudflared, voy a darle acceso a través de Cloudflare Access a un usuario llamado Juanito que tiene un correo electrónico juanito@gmail.com recordándoos que una vez configurado tenemos también que darnos acceso mediante este sistema a nosotros mismos si queremos acceder a el desde el exterior. Vamos a suponer también que tenemos en Cloudflare un dominio pepito.com
En nuestra cuenta de Cloudflare nos vamos al apartado Zero Trust y una vez accedido nos vamos al apartado Access - Applications y vamos a crear una nueva:
En el apartado Overview le ponemos el nombre que nos apetezca y escogemos el dominio o subdominio que queramos:
Se puede ver en la imagen anterior que el apartado Session Duration está configurado en 24 horas y que podemos aumentar o reducir según queramos, explico en qué consiste esto. Una vez que tengamos Cloudflare Acces configurado para un dominio o subdominios el usuario Juanito al acceder desde el exterior a nuestro servicio publicado tendrá que validarlo mediante correo electrónico y TOTP, una vez hecho esto accederá. Vamos a suponer que una vez accedido esté una hora y a continuación lo abandone para ver videos de gatitos en Youtube. Al tener configurado un período de 24 horas si en ese tiempo el usuario Juanito quiere volver a acceder a nuestro servicio lo podría hacer diréctamente sin necesidad de validar otra vez el proceso anterior. Esas 24 horas permitidas empiezan a contar desde que el usuario Juanito accede por primera vez al servicio, si quisiera entrar otra vez, por ejemplo, pasados 3 dias tendría que repetir el proceso de autorización que volvería a estar válido por otras 24 horas. Como he comentado antes podemos aumentar o disminuir ese valor como querarmos.
Lo siguiente que tenemos que hacer es ir al apartado Policies y crear una nueva:
Le ponemos también el nombre que nos apetezca y la configuramos así:
En Session duration lo dejamos tal como se ve en la imagen anterior para que coja el parámetro configurado anteriórmente.
En el apartado Selector escogemos Emails y añadimos los correos electrónicos válidos de las personas a las que vamos a autorizar el acceso, podemos poner tantos como queramos y no hace falta explicar que una vez puestos los podemos quitar tambien cuando nos apetezca.
Como regla extra tengo configurado un selector de país para que sólo se permita el acceso a los usuarios de España, esto es válido para que no todo el mundo pueda acceder a la web de validación que más tarde explicaré.
Hecho lo anterior lo siguiente es acceder en Cloudflare a nuestro tunel préviamente configurado y lo editamos:
Desplegamos el apartado Access y lo activamos a la derecha, también a la derecha nos encontramos un desplegable en el que encontraremos el nombre de la Application que hemos creado anteriórmente......... FIN.
A continuación paso a explicar lo que se va a encontrar Juanito cuando quiera acceder a nuestro servicio publicado a través de Cloudflared via web desde el exterior mediante el dominio pepito.com
Al acceder se le redirige a una web con un dominio personalizado cloudflareaccess.com
A continuación Juanito pone su correo electrónico préviamente autorizado por nosotros:
Una vez enviado el correo electrónico a Juanito le aparecerá lo siguiente:
En estos momentos Juanito ha recibido un correo electrónico enviado por Cloudflare con un código válido por 10 minutos, si Juanito se despista y se le pasa el tiempo puede reenviar el correo. El correo recibido por Juanito sería el siguiente:
En el correo se recibe un enlace válido también por 10 minutos para acceder diréctamente a nuestro servico publicado y junto a el el código TOTP........ si usamos el código TOTP......:
Al ponerlo Juanito llega al destino final:
Cloudflare Access consiste en la posibilidad de permitir únicamente el acceso a los servicios que tengamos publicados a través del tunel Cloudflared a las personas que préviamente hayamos autorizado nosotros mediante el correo eléctronico de esas personas, una vez configurado ese correo o correos electrónicos las personas autorizadas al querer acceder a uno de nuestros servicios publicados recibirán un código TOTP temporal que deberán validar para poder acceder. Dicho de otra manera, una vez configurado Cloudflare Access sólo podrán acceder desde el exterior a nuestros servicios publicados a través del tunel Cloudflared las personas préviamente autorizadas por nosotros mediante correo electrónico y código TOTP.
Esta configuración se puede hacer tanto con el propio dominio como también con cualquier subdominio que tengamos configurado en Cloudflare. Eso si, una vez configurado Cloudflare Access tanto para el dominio como para los subdominios que se quieran es un todo o nada, es decir, no sólo lo tenemos que configurar para los visitantes autorizados sino también para nosotros mismos, si no lo hacemos también para nosotros no podríamos acceder desde el exterior a nuestros servicios. En el caso de configurarlo y que posteriórmente no nos gustara podemos volver al estado anterior sin ningún problema.
Cloudflare Access añade una capa de protección de acceso gratuita a los servicios publicados a través del tunel Cloudflare, si esos servicios no tienen ninguna protección de acceso al configurarlo ya la tienen, si alguno de esos servicios de por si ya la tienen siendo el acceso a ellos, por ejemplo, a través de usuario - contraseña esta configuración se conserva.
Para el ejemplo de este tutorial voy a hacerlo a través del servidor Calibre-web https://www.qnapclub.es/showthread.php?tid=3048
Este servidor lo tengo configurado a través de un tunel Cloudflared, voy a darle acceso a través de Cloudflare Access a un usuario llamado Juanito que tiene un correo electrónico juanito@gmail.com recordándoos que una vez configurado tenemos también que darnos acceso mediante este sistema a nosotros mismos si queremos acceder a el desde el exterior. Vamos a suponer también que tenemos en Cloudflare un dominio pepito.com
En nuestra cuenta de Cloudflare nos vamos al apartado Zero Trust y una vez accedido nos vamos al apartado Access - Applications y vamos a crear una nueva:
En el apartado Overview le ponemos el nombre que nos apetezca y escogemos el dominio o subdominio que queramos:
Se puede ver en la imagen anterior que el apartado Session Duration está configurado en 24 horas y que podemos aumentar o reducir según queramos, explico en qué consiste esto. Una vez que tengamos Cloudflare Acces configurado para un dominio o subdominios el usuario Juanito al acceder desde el exterior a nuestro servicio publicado tendrá que validarlo mediante correo electrónico y TOTP, una vez hecho esto accederá. Vamos a suponer que una vez accedido esté una hora y a continuación lo abandone para ver videos de gatitos en Youtube. Al tener configurado un período de 24 horas si en ese tiempo el usuario Juanito quiere volver a acceder a nuestro servicio lo podría hacer diréctamente sin necesidad de validar otra vez el proceso anterior. Esas 24 horas permitidas empiezan a contar desde que el usuario Juanito accede por primera vez al servicio, si quisiera entrar otra vez, por ejemplo, pasados 3 dias tendría que repetir el proceso de autorización que volvería a estar válido por otras 24 horas. Como he comentado antes podemos aumentar o disminuir ese valor como querarmos.
Lo siguiente que tenemos que hacer es ir al apartado Policies y crear una nueva:
Le ponemos también el nombre que nos apetezca y la configuramos así:
En Session duration lo dejamos tal como se ve en la imagen anterior para que coja el parámetro configurado anteriórmente.
En el apartado Selector escogemos Emails y añadimos los correos electrónicos válidos de las personas a las que vamos a autorizar el acceso, podemos poner tantos como queramos y no hace falta explicar que una vez puestos los podemos quitar tambien cuando nos apetezca.
Como regla extra tengo configurado un selector de país para que sólo se permita el acceso a los usuarios de España, esto es válido para que no todo el mundo pueda acceder a la web de validación que más tarde explicaré.
Hecho lo anterior lo siguiente es acceder en Cloudflare a nuestro tunel préviamente configurado y lo editamos:
Desplegamos el apartado Access y lo activamos a la derecha, también a la derecha nos encontramos un desplegable en el que encontraremos el nombre de la Application que hemos creado anteriórmente......... FIN.
A continuación paso a explicar lo que se va a encontrar Juanito cuando quiera acceder a nuestro servicio publicado a través de Cloudflared via web desde el exterior mediante el dominio pepito.com
Al acceder se le redirige a una web con un dominio personalizado cloudflareaccess.com
A continuación Juanito pone su correo electrónico préviamente autorizado por nosotros:
Una vez enviado el correo electrónico a Juanito le aparecerá lo siguiente:
En estos momentos Juanito ha recibido un correo electrónico enviado por Cloudflare con un código válido por 10 minutos, si Juanito se despista y se le pasa el tiempo puede reenviar el correo. El correo recibido por Juanito sería el siguiente:
En el correo se recibe un enlace válido también por 10 minutos para acceder diréctamente a nuestro servico publicado y junto a el el código TOTP........ si usamos el código TOTP......:
Al ponerlo Juanito llega al destino final: