Hola,
tengo un servidor WAPT que se está instalando en máquinas cliente. Me gustaría saber:
- Si alguien creara un segundo servidor WAPT, ¿podría interceptar los paquetes (datos del servidor, etc.)?
- ¿Existe alguna forma de proteger un paquete WAPT (en el código Python)?
Gracias de antemano por sus respuestas, sigan con el buen trabajo.
Atentamente
[RESUELTO] Seguridad
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola Smarty,
Sin embargo, incluso con un certificado autofirmado, un atacante no puede instalar un paquete malicioso, ya que los propios paquetes están firmados. Por último, existe documentación útil (véase más abajo); si tiene alguna pregunta muy específica, léala e indique dónde necesita aclaración.
https://www.wapt.fr/fr/doc/PrincipesSec ... ciple.html
Para su información, la versión 1.5.0.13 ha obtenido la certificación CSPN de ANSSI [1]. Si bien esto no garantiza la ausencia de errores de seguridad, sí significa que se ha investigado y examinado exhaustivamente.
Atentamente,
Denis
[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Los flujos de datos son HTTPS por defecto. Si ha configurado un certificado SSL válido, la conexión es tan segura como su conexión HTTPS a cualquier sitio HTTPS (y puede ser anclada). Si tiene un certificado HTTPS autofirmado, puede sufrir un ataque de intermediario, al igual que con cualquier conexión HTTPS. Si tiene un certificado falso (no anclado), las comunicaciones pueden ser vistas.
Sin embargo, incluso con un certificado autofirmado, un atacante no puede instalar un paquete malicioso, ya que los propios paquetes están firmados. Por último, existe documentación útil (véase más abajo); si tiene alguna pregunta muy específica, léala e indique dónde necesita aclaración.
Hay una descripción detallada de los principios de seguridad de WAPT en la documentación:
https://www.wapt.fr/fr/doc/PrincipesSec ... ciple.html
Para su información, la versión 1.5.0.13 ha obtenido la certificación CSPN de ANSSI [1]. Si bien esto no garantiza la ausencia de errores de seguridad, sí significa que se ha investigado y examinado exhaustivamente.
Atentamente,
Denis
[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
Es muy completa.-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
Para ser precisos, el contenido de un paquete WAPT no es confidencial.
Cualquiera puede leer el contenido de un paquete WAPT.
Si desea proteger el contenido de un paquete WAPT, puede hacerlo cifrando los datos confidenciales con el certificado público de cada máquina.
Ejemplo:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt
Cualquiera puede leer el contenido de un paquete WAPT.
Si desea proteger el contenido de un paquete WAPT, puede hacerlo cifrando los datos confidenciales con el certificado público de cada máquina.
Ejemplo:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt
