Hallo zusammen,
Kontext:
Remote-Arbeit ohne VPN
, WAPT-Version: 2.1 Enterprise
, Server-Betriebssystem: Debian 11,
Administrationskonsole-Betriebssystem: Windows 10 Pro,
Workstation für die Paketentwicklung-Software-Betriebssystem: Windows 10 Pro.
Wir haben einen typischen Anwendungsfall:
Wir möchten für jede mit WAPT verwaltete Workstation ein separates Geheimnis senden oder aktualisieren und dabei die Vertraulichkeit dieses Geheimnisses zwischen den Workstations wahren (eine Workstation kann nicht auf das Geheimnis einer anderen zugreifen).
Eine Lösung (1) wäre, für jede Workstation ein separates Paket mit dem zu verteilenden Geheimnis zu erstellen und dieses der jeweiligen Workstation zuzuordnen (wobei die Sicherheit des Geheimnisses gemäß den Richtlinien unter https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Dies wird jedoch schnell aufwendig, wenn die Anzahl der Workstations groß und die Aktualisierungsfrequenz hoch ist.
Eine andere Lösung (2) wäre, ein generisches Paket zu erstellen, das die jeweilige Workstation erkennt und das Geheimnis von einem geschützten Ort abruft. Wie können wir aber nur auf das Geheimnis der jeweiligen Workstation zugreifen, ohne vorher ein weiteres Geheimnis zu verteilen?
Eine weitere Lösung (3) wäre die Automatisierung der Paketerstellung und -aktualisierung für Lösung (1). Diese Generierung erfolgt auf einer Workstation, die Pakete signieren kann (eine WAPT-Entwicklungs-Workstation außerhalb der Haupt-Workstation mit einer dedizierten WAPT-Administrationskonsole).
Eine andere Lösung (4) wäre, das Geheimnis über einen eingerichteten bidirektionalen Kanal (WebSocket-Agent?) an einen bestimmten Ort auf der Workstation zu übertragen und anschließend ein WAPT-Paket zu installieren, das dieses Geheimnis direkt auf der Workstation verarbeitet. Doch wie übertragen wir das Geheimnis über diesen Kanal auf das Dateisystem des Zielsystems?
Sind Sie schon einmal in diese Situation geraten, und wenn ja, wie haben Sie sie gelöst?
Christophe
[GELÖST] Einsatz von Geheimnissen auf Stationen, die mit einem WAPT-Agenten ausgestattet sind
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
vCardon
- WAPT-Experte
- Nachrichten: 278
- Anmeldung: 06. Oktober 2017 - 22:55 Uhr
- Ort: Nantes, Frankreich
Dies ist die einzig sinnvolle Methode, wenn Sie die absolute Sicherheit Ihrer Geheimnisse gewährleisten wollen, allerdings fehlt ihr ein Assistent, der die Aufgabe weniger mühsam macht.croquebert schrieb: ↑31. März 2022 - 12:48 Uhr Eine Lösung (1) wäre, für jede Workstation ein separates Paket mit dem zu verteilenden Geheimnis zu erstellen und dieses der jeweiligen Workstation zuzuordnen (wobei das Geheimnis gemäß den Anweisungen unter https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Dies wird jedoch schnell mühsam, wenn die Anzahl der Workstations groß und die Aktualisierungsfrequenz hoch ist.
Sie sind bereits die zweite Person, die dieses Thema bei uns anspricht, daher ist es ermutigend zu wissen, dass diese sehr nützliche Funktion genutzt wird.
Ich werde Ihren Kommentar an die Entwicklungsteams weiterleiten.
Vincent CARDON
Tranquil IT
Tranquil IT
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Es wäre interessant, die genauen Anforderungen zu erfahren
Wir könnten beispielsweise auch die Workstation ihren geheimen Schlüssel (symmetrisch?) selbst wählen lassen und die Informationen, etwa im Falle eines Passworts, verschlüsselt an den Administrator zurücksenden lassen:
- Das genügt aber nicht unbedingt dem Bedarf.
- Lösung 3 wäre möglich, erfordert aber, dass ein Rechner mit dem privaten Schlüssel eingeschaltet bleibt (nicht der Server), um das Paket von Zeit zu Zeit neu zu erstellen.
In Python könnten wir auch update_package-Funktionen wie diese verwenden:
Besorgen Sie sich eine Excel-Datei aus einer Freigabe, die eine Zuordnung von Arbeitsplatzname zu Schlüssel (oder zuletzt angemeldeter Benutzer oder etwas anderes... etwas aus dem Arbeitsplatzinventar) darstellt, und verschlüsseln Sie je nach Arbeitsplatz unterschiedliche Daten.
Dies ist die 1/3-Mischmethode (um das Paket zu aktualisieren, müssen Sie lediglich die Paketaktualisierung in der GUI über die Konsole neu starten)
Wir könnten beispielsweise auch die Workstation ihren geheimen Schlüssel (symmetrisch?) selbst wählen lassen und die Informationen, etwa im Falle eines Passworts, verschlüsselt an den Administrator zurücksenden lassen:
Code: Alle auswählen
# -*- coding: utf-8 -*-
from setuphelpers import *
from waptcrypto import print_encrypted_data
def install():
randompassword = 'password'
print_encrypted_data(randompassword,glob.glob(('*.crt')))
- Lösung 3 wäre möglich, erfordert aber, dass ein Rechner mit dem privaten Schlüssel eingeschaltet bleibt (nicht der Server), um das Paket von Zeit zu Zeit neu zu erstellen.
In Python könnten wir auch update_package-Funktionen wie diese verwenden:
Besorgen Sie sich eine Excel-Datei aus einer Freigabe, die eine Zuordnung von Arbeitsplatzname zu Schlüssel (oder zuletzt angemeldeter Benutzer oder etwas anderes... etwas aus dem Arbeitsplatzinventar) darstellt, und verschlüsseln Sie je nach Arbeitsplatz unterschiedliche Daten.
Dies ist die 1/3-Mischmethode (um das Paket zu aktualisieren, müssen Sie lediglich die Paketaktualisierung in der GUI über die Konsole neu starten)
-
Croquebert
- Nachrichten: 33
- Anmeldung: 30. März 2022 – 17:41 Uhr
Hallo Vincent,vcardon schrieb: ↑31. März 2022 - 16:21 UhrDies ist die einzig sinnvolle Methode, wenn Sie die absolute Sicherheit Ihrer Geheimnisse gewährleisten wollen, allerdings fehlt ihr ein Assistent, der die Aufgabe weniger mühsam macht.croquebert schrieb: ↑31. März 2022 - 12:48 Uhr Eine Lösung (1) wäre, für jede Workstation ein separates Paket mit dem zu verteilenden Geheimnis zu erstellen und dieses der jeweiligen Workstation zuzuordnen (wobei das Geheimnis gemäß den Anweisungen unter https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Dies wird jedoch schnell mühsam, wenn die Anzahl der Workstations groß und die Aktualisierungsfrequenz hoch ist.
Sie sind bereits die zweite Person, die dieses Thema bei uns anspricht, daher ist es ermutigend zu wissen, dass diese sehr nützliche Funktion genutzt wird.
Ich werde Ihren Kommentar an die Entwicklungsteams weiterleiten.
Vielen Dank für Ihr Feedback.
Tatsächlich würde ein Paket pro betroffener Workstation die Sicherheit verbessern. Es fehlen jedoch Mechanismen zur Automatisierung der Erstellung, Aktualisierung und Zuordnung dieser Pakete zu den Ziel-Workstations (wobei dies mit … automatisierbar sein sollte) https://www.wapt.fr/en/doc/wapt-command ... t-packages).
Lösung (4) schlug vor, die Komplexität der Erstellung des Pakets, das das Geheimnis enthält, zu verschleiern, indem in der WAPT-Schnittstelle eine Push-Funktionalität auf dem Dateisystem des Ziels angeboten wird (eine Art umgekehrte Dateikopie-GPO).
Aber ich habe alles, was ich brauche, um anzufangen.
Christophe
-
Croquebert
- Nachrichten: 33
- Anmeldung: 30. März 2022 – 17:41 Uhr
Hallo Simon,sfonteneau schrieb: ↑31. März 2022 - 21:31 Uhr Es wäre interessant, die genauen Anforderungen zu erfahren
Wir könnten beispielsweise auch die Workstation ihren geheimen Schlüssel (symmetrisch?) selbst wählen lassen und die Informationen, etwa im Falle eines Passworts, verschlüsselt an den Administrator zurücksenden lassen:
- Das genügt aber nicht unbedingt dem Bedarf.Code: Alle auswählen
# -*- coding: utf-8 -*- from setuphelpers import * from waptcrypto import print_encrypted_data def install(): randompassword = 'password' print_encrypted_data(randompassword,glob.glob(('*.crt')))
- Lösung 3 wäre möglich, erfordert aber, dass ein Rechner mit dem privaten Schlüssel eingeschaltet bleibt (nicht der Server), um das Paket von Zeit zu Zeit neu zu erstellen.
In Python könnten wir auch update_package-Funktionen wie diese verwenden:
Besorgen Sie sich eine Excel-Datei aus einer Freigabe, die eine Zuordnung von Arbeitsplatzname zu Schlüssel (oder zuletzt angemeldeter Benutzer oder etwas anderes... etwas aus dem Arbeitsplatzinventar) darstellt, und verschlüsseln Sie je nach Arbeitsplatz unterschiedliche Daten.
Dies ist die 1/3-Mischmethode (um das Paket zu aktualisieren, müssen Sie lediglich die Paketaktualisierung in der GUI über die Konsole neu starten)
Vielen Dank für Ihr Feedback.
Die Grundidee besteht in der Aktualisierung einer Konfigurationsdatei, die ein Geheimnis (z. B. ein VPN) enthält.
Ich werde ein einzelnes Paket verwenden, das die Geheimnisse jeder Maschine mithilfe ihres Zertifikats über ein `update_package` verschlüsselt. Dieses Paket enthält die Geheimnisse jeder Maschine, jedoch verschlüsselt. Jedes Geheimnis ist nur von der autorisierten Maschine lesbar (dies entspricht im Wesentlichen dem Beispiel in Ihrer Dokumentation).
Ich sehe mindestens zwei Nachteile bei dieser Methode:
- Ein update_package erzwingt das Update auf Rechnern, auf denen sich das Geheimnis nicht unbedingt geändert hat.
- Alle Geheimnisse, sogar verschlüsselte, sind in einem einzigen Paket enthalten.
Christophe
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Wenn es keine Erhöhung der Paketversion gibt, ist das in Ordnungcroquebert schrieb: ↑1. April 2022 - 12:50 Uhr
- Ein update_package erzwingt das Update auf Rechnern, auf denen sich das Geheimnis nicht unbedingt geändert hat.
Das Paket sollte fehlschlagen, wenn die UUID des Hosts nicht in den verschlüsselten Daten enthalten ist
Ja, aber es ist nur für den Rechner lesbar, der den zugehörigen Schlüssel besitzt; sekundäre Repositories und der Server selbst können das Paket nicht lesen. (Beachten Sie jedoch, dass wir uns auf das Inventar des Rechners auf dem Server verlassen...)croquebert schrieb: ↑1. April 2022 - 12:50 Uhr
- Alle Geheimnisse, sogar verschlüsselte, sind in einem einzigen Paket enthalten.
mit Verschlüsselung: RSAES-OAEPcroquebert schrieb: ↑1. April 2022 - 12:50 Frage: Welcher Verschlüsselungsalgorithmus wird standardmäßig verwendet?
mit encrypt_fernet: 128-Bit-AES im CBC-Modus und PKCS7-Padding, mit HMAC unter Verwendung von SHA256 zur Authentifizierung
