Ruhiges IT-Forum

Hallo zusammen,

Kontext:
Remote-Arbeit ohne VPN
, WAPT-Version: 2.1 Enterprise
, Server-Betriebssystem: Debian 11,
Administrationskonsole-Betriebssystem: Windows 10 Pro,
Workstation für die Paketentwicklung-Software-Betriebssystem: Windows 10 Pro.


Wir haben einen typischen Anwendungsfall:

Wir möchten für jede mit WAPT verwaltete Workstation ein separates Geheimnis senden oder aktualisieren und dabei die Vertraulichkeit dieses Geheimnisses zwischen den Workstations wahren (eine Workstation kann nicht auf das Geheimnis einer anderen zugreifen).

Eine Lösung (1) wäre, für jede Workstation ein separates Paket mit dem zu verteilenden Geheimnis zu erstellen und dieses der jeweiligen Workstation zuzuordnen (wobei die Sicherheit des Geheimnisses gemäß den Richtlinien unter https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Dies wird jedoch schnell aufwendig, wenn die Anzahl der Workstations groß und die Aktualisierungsfrequenz hoch ist.

Eine andere Lösung (2) wäre, ein generisches Paket zu erstellen, das die jeweilige Workstation erkennt und das Geheimnis von einem geschützten Ort abruft. Wie können wir aber nur auf das Geheimnis der jeweiligen Workstation zugreifen, ohne vorher ein weiteres Geheimnis zu verteilen?

Eine weitere Lösung (3) wäre die Automatisierung der Paketerstellung und -aktualisierung für Lösung (1). Diese Generierung erfolgt auf einer Workstation, die Pakete signieren kann (eine WAPT-Entwicklungs-Workstation außerhalb der Haupt-Workstation mit einer dedizierten WAPT-Administrationskonsole).

Eine andere Lösung (4) wäre, das Geheimnis über einen eingerichteten bidirektionalen Kanal (WebSocket-Agent?) an einen bestimmten Ort auf der Workstation zu übertragen und anschließend ein WAPT-Paket zu installieren, das dieses Geheimnis direkt auf der Workstation verarbeitet. Doch wie übertragen wir das Geheimnis über diesen Kanal auf das Dateisystem des Zielsystems?

Sind Sie schon einmal in diese Situation geraten, und wenn ja, wie haben Sie sie gelöst?

Christophe

croquebert schrieb: ↑31. März 2022 - 12:48 Uhr Eine Lösung (1) wäre, für jede Workstation ein separates Paket mit dem zu verteilenden Geheimnis zu erstellen und dieses der jeweiligen Workstation zuzuordnen (wobei das Geheimnis gemäß den Anweisungen unter https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Dies wird jedoch schnell mühsam, wenn die Anzahl der Workstations groß und die Aktualisierungsfrequenz hoch ist.

Dies ist die einzig sinnvolle Methode, wenn Sie die absolute Sicherheit Ihrer Geheimnisse gewährleisten wollen, allerdings fehlt ihr ein Assistent, der die Aufgabe weniger mühsam macht.

Sie sind bereits die zweite Person, die dieses Thema bei uns anspricht, daher ist es ermutigend zu wissen, dass diese sehr nützliche Funktion genutzt wird.

Ich werde Ihren Kommentar an die Entwicklungsteams weiterleiten.

Es wäre interessant, die genauen Anforderungen zu erfahren

Wir könnten beispielsweise auch die Workstation ihren geheimen Schlüssel (symmetrisch?) selbst wählen lassen und die Informationen, etwa im Falle eines Passworts, verschlüsselt an den Administrator zurücksenden lassen:
- Das genügt aber nicht unbedingt dem Bedarf.

- Lösung 3 wäre möglich, erfordert aber, dass ein Rechner mit dem privaten Schlüssel eingeschaltet bleibt (nicht der Server), um das Paket von Zeit zu Zeit neu zu erstellen.

In Python könnten wir auch update_package-Funktionen wie diese verwenden:

Besorgen Sie sich eine Excel-Datei aus einer Freigabe, die eine Zuordnung von Arbeitsplatzname zu Schlüssel (oder zuletzt angemeldeter Benutzer oder etwas anderes... etwas aus dem Arbeitsplatzinventar) darstellt, und verschlüsseln Sie je nach Arbeitsplatz unterschiedliche Daten.

Dies ist die 1/3-Mischmethode (um das Paket zu aktualisieren, müssen Sie lediglich die Paketaktualisierung in der GUI über die Konsole neu starten)

vcardon schrieb: ↑31. März 2022 - 16:21 Uhr

croquebert schrieb: ↑31. März 2022 - 12:48 Uhr Eine Lösung (1) wäre, für jede Workstation ein separates Paket mit dem zu verteilenden Geheimnis zu erstellen und dieses der jeweiligen Workstation zuzuordnen (wobei das Geheimnis gemäß den Anweisungen unter https://www.wapt.fr/fr/doc/wapt-create- ... pt-package ). Dies wird jedoch schnell mühsam, wenn die Anzahl der Workstations groß und die Aktualisierungsfrequenz hoch ist.

Dies ist die einzig sinnvolle Methode, wenn Sie die absolute Sicherheit Ihrer Geheimnisse gewährleisten wollen, allerdings fehlt ihr ein Assistent, der die Aufgabe weniger mühsam macht.

Sie sind bereits die zweite Person, die dieses Thema bei uns anspricht, daher ist es ermutigend zu wissen, dass diese sehr nützliche Funktion genutzt wird.

Ich werde Ihren Kommentar an die Entwicklungsteams weiterleiten.

Hallo Vincent,

Vielen Dank für Ihr Feedback.

Tatsächlich würde ein Paket pro betroffener Workstation die Sicherheit verbessern. Es fehlen jedoch Mechanismen zur Automatisierung der Erstellung, Aktualisierung und Zuordnung dieser Pakete zu den Ziel-Workstations (wobei dies mit … automatisierbar sein sollte) https://www.wapt.fr/en/doc/wapt-command ... t-packages).

Lösung (4) schlug vor, die Komplexität der Erstellung des Pakets, das das Geheimnis enthält, zu verschleiern, indem in der WAPT-Schnittstelle eine Push-Funktionalität auf dem Dateisystem des Ziels angeboten wird (eine Art umgekehrte Dateikopie-GPO).

Aber ich habe alles, was ich brauche, um anzufangen.

Christophe

sfonteneau schrieb: ↑31. März 2022 - 21:31 Uhr Es wäre interessant, die genauen Anforderungen zu erfahren

Wir könnten beispielsweise auch die Workstation ihren geheimen Schlüssel (symmetrisch?) selbst wählen lassen und die Informationen, etwa im Falle eines Passworts, verschlüsselt an den Administrator zurücksenden lassen:

Code: Alle auswählen

# -*- coding: utf-8 -*-
from setuphelpers import *
from waptcrypto import print_encrypted_data

def install():
    randompassword = 'password'
    print_encrypted_data(randompassword,glob.glob(('*.crt'))) 

- Das genügt aber nicht unbedingt dem Bedarf.

- Lösung 3 wäre möglich, erfordert aber, dass ein Rechner mit dem privaten Schlüssel eingeschaltet bleibt (nicht der Server), um das Paket von Zeit zu Zeit neu zu erstellen.

In Python könnten wir auch update_package-Funktionen wie diese verwenden:

Besorgen Sie sich eine Excel-Datei aus einer Freigabe, die eine Zuordnung von Arbeitsplatzname zu Schlüssel (oder zuletzt angemeldeter Benutzer oder etwas anderes... etwas aus dem Arbeitsplatzinventar) darstellt, und verschlüsseln Sie je nach Arbeitsplatz unterschiedliche Daten.

Dies ist die 1/3-Mischmethode (um das Paket zu aktualisieren, müssen Sie lediglich die Paketaktualisierung in der GUI über die Konsole neu starten)

Hallo Simon,

Vielen Dank für Ihr Feedback.

Die Grundidee besteht in der Aktualisierung einer Konfigurationsdatei, die ein Geheimnis (z. B. ein VPN) enthält.

Ich werde ein einzelnes Paket verwenden, das die Geheimnisse jeder Maschine mithilfe ihres Zertifikats über ein `update_package` verschlüsselt. Dieses Paket enthält die Geheimnisse jeder Maschine, jedoch verschlüsselt. Jedes Geheimnis ist nur von der autorisierten Maschine lesbar (dies entspricht im Wesentlichen dem Beispiel in Ihrer Dokumentation).

Ich sehe mindestens zwei Nachteile bei dieser Methode:

• Ein update_package erzwingt das Update auf Rechnern, auf denen sich das Geheimnis nicht unbedingt geändert hat.

• Alle Geheimnisse, sogar verschlüsselte, sind in einem einzigen Paket enthalten.

Frage: Welcher Verschlüsselungsalgorithmus wird standardmäßig verwendet?

Christophe

croquebert schrieb: ↑1. April 2022 - 12:50 Uhr

• Ein update_package erzwingt das Update auf Rechnern, auf denen sich das Geheimnis nicht unbedingt geändert hat.

Wenn es keine Erhöhung der Paketversion gibt, ist das in Ordnung
Das Paket sollte fehlschlagen, wenn die UUID des Hosts nicht in den verschlüsselten Daten enthalten ist

croquebert schrieb: ↑1. April 2022 - 12:50 Uhr

• Alle Geheimnisse, sogar verschlüsselte, sind in einem einzigen Paket enthalten.

Ja, aber es ist nur für den Rechner lesbar, der den zugehörigen Schlüssel besitzt; sekundäre Repositories und der Server selbst können das Paket nicht lesen. (Beachten Sie jedoch, dass wir uns auf das Inventar des Rechners auf dem Server verlassen...)

croquebert schrieb: ↑1. April 2022 - 12:50 Frage: Welcher Verschlüsselungsalgorithmus wird standardmäßig verwendet?

mit Verschlüsselung: RSAES-OAEP
mit encrypt_fernet: 128-Bit-AES im CBC-Modus und PKCS7-Padding, mit HMAC unter Verwendung von SHA256 zur Authentifizierung