[Resolu/Solved] Question publication WAPT en Reverse proxy sur Internet

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
jeancharles
Messages : 21
Inscription : 11 juin 2019 - 10:02

10 janv. 2020 - 14:59

Bonjour à tous et bonne année, pleine de paquets à jour :)

Je réfléchis à mettre en place une publication par reverse proxy Kemp Free Load Master du service WAPT, afin de permettre de contacter et déployer les machines connectées en direct sur Internet au travers de WAPT.
Mes questions sont :

peut on publier "simplement" le port 443 vers le serveur, doit on ruser pour autoriser les websockets ?

Quels seraient les risques en terme de sécurité, un attaquant peut-il brute-forcer facilement les comptes, peut on le bloquer en adjoignant un Fail2ban ou équivalent ?

Merci de vos idées,

Jean-Charles
Dernière modification par jeancharles le 03 févr. 2020 - 15:25, modifié 1 fois.
jeancharles
Messages : 21
Inscription : 11 juin 2019 - 10:02

13 janv. 2020 - 11:19

Et plus globalement, pensez vous que ce soit une bonne idée ou une aberration ?

Mon WAPT est sous Windows 2012 R2 actuellement, je gère 60 clients en version community 1.7.4 6232.
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

13 janv. 2020 - 16:43

Un truc tout bête a faire c'est installer un dépôt wapt en dmz.

Et ensuite on fait un rsync des paquets que l'ont souhaite du dépôt wapt principal vers ce dépôt en dmz.

Et voilà, vous proposer uniquement les paquets wapt que vous voulez
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

13 janv. 2020 - 21:17

Edit j'avais pas compris le besoin

Oui tu peux faire un proxy en dmz qui fais un revers proxy en direction de ton wapt interne, voici comment sécuriser l'accès

Exemple avec un revers proxy APACHE:

Code : Tout sélectionner

<VirtualHost 0.0.0.0:443>
   ServerName wapt.domain.fr

   SSLEngine On
   SSLProxyEngine On
   SSLCertificateKeyFile  /etc/ssl/private/srvwapt.key
   SSLCertificateFile /etc/ssl/private/srvwapt.crt
   Include /etc/apache2/conf-available/ssl.conf

   SSLProxyVerify on
   SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt

   ErrorLog     /var/log/apache2/wapt-error.log
   CustomLog    /var/log/apache2/wapt-access.log combined

   SSLCACertificateFile /etc/apache2/cawapt.crt

<Location />
   SSLVerifyClient require
   ProxyAddHeaders On
   ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>

Tu peux récupérer le SSLCACertificateFile dans /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt sur ton serveur wapt.

Un peu de doc associer :
https://www.wapt.fr/fr/doc/wapt-securit ... ation.html

Exemple de conf revers proxy NGINX:

Code : Tout sélectionner


server {
  listen       443 ssl http2;
  server_name wapt.domain.fr;
    ssl_certificate /etc/ssl/private/srvwapt.pem; 
    ssl_certificate_key /etc/ssl/private/srvwapt.pem;
    client_max_body_size 50M;
  
    ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
    ssl_verify_client  optional;

  location / {
    proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
    proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
    if ($ssl_client_verify != SUCCESS) {
        return 401;
    }
    proxy_pass https://srvwapt.ad.domain.fr/;
    proxy_set_header        Host            $host;
    proxy_set_header        X-Real-IP       $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto  https;

  }


}


Reste sûrement quelques modif a faire avec les enregistrement dns et certificat https
jeancharles
Messages : 21
Inscription : 11 juin 2019 - 10:02

14 janv. 2020 - 09:50

Merci cela semble nickel, j'ai un split DNS donc je peux utiliser le même nom DNS et le même certificat en interne et externe

J'avais surtout peur que les websockets ne passent pas le reverse proxy, et qu'au niveau sécurité cela soit non recommandé de publier sur internet les ressources WAPT.

Je regarde de ce côté, ce sera plus graphique pour moi car j'utilise Kemp Free Load Master (gratuit) qui permet de faire du reverse proxy par une UI.
https://support.kemptechnologies.com/hc ... LoadMaster
Verrouillé