Question publication WAPT en Reverse proxy sur Internet

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum
* English support on www.reddit.com/r/wapt
* Le support en français se fait sur ce forum
* Merci de préfixer le titre du thread par [RESOLU] s'il est résolu.
* Préciser version de WAPT installée ( 1.3.13 / 1.5 / 1.7.4)
* Préciser OS du serveur (Linux / Windows) et version (Debian Stretch/Buster - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets (Windows 7 / 10)
jeancharles
Messages : 14
Inscription : 11 juin 2019 - 10:02

10 janv. 2020 - 14:59

Bonjour à tous et bonne année, pleine de paquets à jour :)

Je réfléchis à mettre en place une publication par reverse proxy Kemp Free Load Master du service WAPT, afin de permettre de contacter et déployer les machines connectées en direct sur Internet au travers de WAPT.
Mes questions sont :

peut on publier "simplement" le port 443 vers le serveur, doit on ruser pour autoriser les websockets ?

Quels seraient les risques en terme de sécurité, un attaquant peut-il brute-forcer facilement les comptes, peut on le bloquer en adjoignant un Fail2ban ou équivalent ?

Merci de vos idées,

Jean-Charles
jeancharles
Messages : 14
Inscription : 11 juin 2019 - 10:02

13 janv. 2020 - 11:19

Et plus globalement, pensez vous que ce soit une bonne idée ou une aberration ?

Mon WAPT est sous Windows 2012 R2 actuellement, je gère 60 clients en version community 1.7.4 6232.
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 962
Inscription : 10 juil. 2014 - 23:52
Contact :

13 janv. 2020 - 16:43

Un truc tout bête a faire c'est installer un dépôt wapt en dmz.

Et ensuite on fait un rsync des paquets que l'ont souhaite du dépôt wapt principal vers ce dépôt en dmz.

Et voilà, vous proposer uniquement les paquets wapt que vous voulez
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 962
Inscription : 10 juil. 2014 - 23:52
Contact :

13 janv. 2020 - 21:17

Edit j'avais pas compris le besoin

Oui tu peux faire un proxy en dmz qui fais un revers proxy en direction de ton wapt interne, voici comment sécuriser l'accès

Exemple avec un revers proxy APACHE:

Code : Tout sélectionner

<VirtualHost 0.0.0.0:443>
   ServerName wapt.domain.fr

   SSLEngine On
   SSLProxyEngine On
   SSLCertificateKeyFile  /etc/ssl/private/srvwapt.key
   SSLCertificateFile /etc/ssl/private/srvwapt.crt
   Include /etc/apache2/conf-available/ssl.conf

   SSLProxyVerify on
   SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt

   ErrorLog     /var/log/apache2/wapt-error.log
   CustomLog    /var/log/apache2/wapt-access.log combined

   SSLCACertificateFile /etc/apache2/cawapt.crt

<Location />
   SSLVerifyClient require
   ProxyAddHeaders On
   ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>

Tu peux récupérer le SSLCACertificateFile dans /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt sur ton serveur wapt.

Un peu de doc associer :
https://www.wapt.fr/fr/doc/wapt-securit ... ation.html

Exemple de conf revers proxy NGINX:

Code : Tout sélectionner


server {
  listen       443 ssl http2;
  server_name wapt.domain.fr;
    ssl_certificate /etc/ssl/private/srvwapt.pem; 
    ssl_certificate_key /etc/ssl/private/srvwapt.pem;
    client_max_body_size 50M;
  
    ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
    ssl_verify_client  optional;

  location / {
    proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
    proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
    if ($ssl_client_verify != SUCCESS) {
        return 401;
    }
    proxy_pass https://srvwapt.ad.domain.fr/;
    proxy_set_header        Host            $host;
    proxy_set_header        X-Real-IP       $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header        X-Forwarded-Proto  https;

  }


}


Reste sûrement quelques modif a faire avec les enregistrement dns et certificat https
jeancharles
Messages : 14
Inscription : 11 juin 2019 - 10:02

14 janv. 2020 - 09:50

Merci cela semble nickel, j'ai un split DNS donc je peux utiliser le même nom DNS et le même certificat en interne et externe

J'avais surtout peur que les websockets ne passent pas le reverse proxy, et qu'au niveau sécurité cela soit non recommandé de publier sur internet les ressources WAPT.

Je regarde de ce côté, ce sera plus graphique pour moi car j'utilise Kemp Free Load Master (gratuit) qui permet de faire du reverse proxy par une UI.
https://support.kemptechnologies.com/hc ... LoadMaster
Répondre