Initialize reverse proxy and TLS workshop lab setup
This commit is contained in:
hkoeck
@@ -0,0 +1,229 @@
|
||||
# Workshop Challenges (Reverse Proxy + TLS Focus)
|
||||
|
||||
Diese Aufgaben sind auf **manuelle Proxy-Konfiguration** ausgelegt.
|
||||
|
||||
Abgabe pro Aufgabe:
|
||||
|
||||
- kurzer Demo-Run (1-3 Minuten)
|
||||
- Done-Check Command
|
||||
- 2-3 Saetze: Was wurde geaendert und warum?
|
||||
|
||||
## Arbeitsmodus
|
||||
|
||||
1. Datei anpassen (`proxy/nginx.conf`, `docker-compose.yml`).
|
||||
2. Deployen mit `make redeploy` oder `make proxy-reload`.
|
||||
3. Testen mit `curl`/`openssl`.
|
||||
4. Wenn etwas kaputt ist: `./scripts/compose.sh logs reverse-proxy`.
|
||||
|
||||
---
|
||||
|
||||
## Easy
|
||||
|
||||
### 1) Routing verstehen
|
||||
|
||||
**Ziel**
|
||||
- Reverse Proxy leitet Requests auf unterschiedliche Backends.
|
||||
|
||||
**Muss**
|
||||
- `service/a` und `service/b` aufrufen.
|
||||
- Unterschiede in den Antworten erklaeren.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl http://localhost:8080/service/a
|
||||
curl http://localhost:8080/service/b
|
||||
```
|
||||
|
||||
### 2) Drittes Backend manuell hinzufuegen
|
||||
|
||||
**Ziel**
|
||||
- Proxy auf ein neues Backend erweitern.
|
||||
|
||||
**Dateien**
|
||||
- `docker-compose.yml`
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- Service `backend-c` anlegen.
|
||||
- Upstream + Route `/service/c` konfigurieren.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl http://localhost:8080/service/c
|
||||
```
|
||||
|
||||
### 3) Eigene Route mit Rewrite
|
||||
|
||||
**Ziel**
|
||||
- URL-Struktur im Proxy gestalten.
|
||||
|
||||
**Datei**
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- Route `/demo/a` soll intern auf Backend A zeigen.
|
||||
- Implementierung ueber `rewrite` oder eigene `location`.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl http://localhost:8080/demo/a
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Medium
|
||||
|
||||
### 4) Security Headers setzen
|
||||
|
||||
**Ziel**
|
||||
- Grundlegende Header-Haertung im Proxy.
|
||||
|
||||
**Datei**
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- Setze mindestens:
|
||||
- `X-Content-Type-Options: nosniff`
|
||||
- `X-Frame-Options: DENY`
|
||||
- `Referrer-Policy: no-referrer`
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl -I http://localhost:8080/
|
||||
```
|
||||
|
||||
### 5) Interne Route absichern
|
||||
|
||||
**Ziel**
|
||||
- Route nur lokal erreichbar machen.
|
||||
|
||||
**Datei**
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- Neue Route `/internal/status` bauen.
|
||||
- Nur `127.0.0.1` erlauben, alle anderen verbieten.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl -i http://localhost:8080/internal/status
|
||||
```
|
||||
|
||||
### 6) Logging verbessern
|
||||
|
||||
**Ziel**
|
||||
- Proxy-Debugging ueber bessere Logs.
|
||||
|
||||
**Datei**
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- Eigenes `log_format` mit Upstream-Infos erstellen.
|
||||
- Access Log auf dieses Format umstellen.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl http://localhost:8080/service/a
|
||||
./scripts/compose.sh logs reverse-proxy
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Hard (TLS)
|
||||
|
||||
### 7) HTTPS von 0 mit Easy-RSA
|
||||
|
||||
**Ziel**
|
||||
- Eigene CA + Server-Zertifikat fuer `localhost`.
|
||||
|
||||
**Dateien**
|
||||
- `docker-compose.yml`
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- Cert fuer `localhost` erzeugen.
|
||||
- Proxy auf `443` aktivieren (z. B. `8443:443`).
|
||||
- Root-CA importieren.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl https://localhost:8443/service/a
|
||||
```
|
||||
|
||||
### 8) HTTP -> HTTPS Redirect
|
||||
|
||||
**Ziel**
|
||||
- Klarer Redirect-Flow.
|
||||
|
||||
**Datei**
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- HTTP Requests auf HTTPS umleiten.
|
||||
- `/healthz` darf optional auf HTTP bleiben.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl -I http://localhost:8080/service/a
|
||||
```
|
||||
|
||||
### 9) TLS Haertung + Chain Check
|
||||
|
||||
**Ziel**
|
||||
- Bessere TLS-Defaults + saubere Validierung.
|
||||
|
||||
**Datei**
|
||||
- `proxy/nginx.conf`
|
||||
|
||||
**Muss**
|
||||
- TLS auf 1.2/1.3 beschraenken.
|
||||
- HSTS aktivieren (`Strict-Transport-Security`).
|
||||
- Zertifikatskette pruefen.
|
||||
|
||||
Hinweis: Im HTTP-Basissetup ist HSTS absichtlich **noch nicht** aktiv. Das ist Teil der Aufgabe.
|
||||
|
||||
**Done-Check**
|
||||
```bash
|
||||
curl -I https://localhost:8443/service/a
|
||||
openssl s_client -connect localhost:8443 -servername localhost
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Bonus Expert
|
||||
|
||||
### 10) Wireshark: HTTP vs HTTPS
|
||||
|
||||
**Ziel**
|
||||
- Sichtbar machen, was verschluesselt ist und was nicht.
|
||||
|
||||
**Muss**
|
||||
- HTTP Traffic auf `8080` mitschneiden.
|
||||
- HTTPS Traffic auf `8443` mitschneiden.
|
||||
- TLS Handshake markieren (`ClientHello`, `ServerHello`, `Certificate`).
|
||||
- Technisch erklaeren, warum HTTP lesbar ist und HTTPS nicht.
|
||||
|
||||
**Vorgehen (empfohlen)**
|
||||
1. Capture auf `lo` (oder passendes Interface) starten, Filter `tcp.port == 8080`.
|
||||
2. `curl http://localhost:8080/service/a` senden und HTTP-Stream zeigen.
|
||||
3. Capture auf `tcp.port == 8443` oder `tls` umstellen.
|
||||
4. `curl https://localhost:8443/service/a` senden.
|
||||
5. Handshake-Pakete markieren und kurz erklaeren.
|
||||
|
||||
**Optional**
|
||||
- TLS Decrypt mit `SSLKEYLOGFILE`.
|
||||
|
||||
**Done-Check**
|
||||
- 3-4 Screenshots + 3-5 Bulletpoints Auswertung.
|
||||
|
||||
**Typische Fehler**
|
||||
- falsches Interface gewaehlt
|
||||
- HTTPS noch nicht korrekt aktiv
|
||||
- Keylog gesetzt, aber Browser nicht aus derselben Shell gestartet
|
||||
|
||||
---
|
||||
|
||||
## Zusatz-Hints
|
||||
|
||||
- `challenges/easyrsa-hints.md`
|
||||
- `challenges/wireshark-hints.md`
|
||||
Reference in New Issue
Block a user