Page 1 sur 1
[Resolu/Solved] Question publication WAPT en Reverse proxy sur Internet
Publié : 10 janv. 2020 - 14:59
par jeancharles
Bonjour à tous et bonne année, pleine de paquets à jour
Je réfléchis à mettre en place une publication par reverse proxy Kemp Free Load Master du service WAPT, afin de permettre de contacter et déployer les machines connectées en direct sur Internet au travers de WAPT.
Mes questions sont :
peut on publier "simplement" le port 443 vers le serveur, doit on ruser pour autoriser les websockets ?
Quels seraient les risques en terme de sécurité, un attaquant peut-il brute-forcer facilement les comptes, peut on le bloquer en adjoignant un Fail2ban ou équivalent ?
Merci de vos idées,
Jean-Charles
Re: Question publication WAPT en Reverse proxy sur Internet
Publié : 13 janv. 2020 - 11:19
par jeancharles
Et plus globalement, pensez vous que ce soit une bonne idée ou une aberration ?
Mon WAPT est sous Windows 2012 R2 actuellement, je gère 60 clients en version community 1.7.4 6232.
Re: Question publication WAPT en Reverse proxy sur Internet
Publié : 13 janv. 2020 - 16:43
par sfonteneau
Un truc tout bête a faire c'est installer un dépôt wapt en dmz.
Et ensuite on fait un rsync des paquets que l'ont souhaite du dépôt wapt principal vers ce dépôt en dmz.
Et voilà, vous proposer uniquement les paquets wapt que vous voulez
Re: Question publication WAPT en Reverse proxy sur Internet
Publié : 13 janv. 2020 - 21:17
par sfonteneau
Edit j'avais pas compris le besoin
Oui tu peux faire un proxy en dmz qui fais un revers proxy en direction de ton wapt interne, voici comment sécuriser l'accès
Exemple avec un revers proxy
APACHE:
Code : Tout sélectionner
<VirtualHost 0.0.0.0:443>
ServerName wapt.domain.fr
SSLEngine On
SSLProxyEngine On
SSLCertificateKeyFile /etc/ssl/private/srvwapt.key
SSLCertificateFile /etc/ssl/private/srvwapt.crt
Include /etc/apache2/conf-available/ssl.conf
SSLProxyVerify on
SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt
ErrorLog /var/log/apache2/wapt-error.log
CustomLog /var/log/apache2/wapt-access.log combined
SSLCACertificateFile /etc/apache2/cawapt.crt
<Location />
SSLVerifyClient require
ProxyAddHeaders On
ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>
Tu peux récupérer le SSLCACertificateFile dans /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt sur ton serveur wapt.
Un peu de doc associer :
https://www.wapt.fr/fr/doc/wapt-securit ... ation.html
Exemple de conf revers proxy
NGINX:
Code : Tout sélectionner
server {
listen 443 ssl http2;
server_name wapt.domain.fr;
ssl_certificate /etc/ssl/private/srvwapt.pem;
ssl_certificate_key /etc/ssl/private/srvwapt.pem;
client_max_body_size 50M;
ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
ssl_verify_client optional;
location / {
proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
if ($ssl_client_verify != SUCCESS) {
return 401;
}
proxy_pass https://srvwapt.ad.domain.fr/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
Reste sûrement quelques modif a faire avec les enregistrement dns et certificat https
Re: Question publication WAPT en Reverse proxy sur Internet
Publié : 14 janv. 2020 - 09:50
par jeancharles
Merci cela semble nickel, j'ai un split DNS donc je peux utiliser le même nom DNS et le même certificat en interne et externe
J'avais surtout peur que les websockets ne passent pas le reverse proxy, et qu'au niveau sécurité cela soit non recommandé de publier sur internet les ressources WAPT.
Je regarde de ce côté, ce sera plus graphique pour moi car j'utilise Kemp Free Load Master (gratuit) qui permet de faire du reverse proxy par une UI.
https://support.kemptechnologies.com/hc ... LoadMaster