Bonjour à tous et bonne année, pleine de paquets à jour
Je réfléchis à mettre en place une publication par reverse proxy Kemp Free Load Master du service WAPT, afin de permettre de contacter et déployer les machines connectées en direct sur Internet au travers de WAPT.
Mes questions sont :
peut on publier "simplement" le port 443 vers le serveur, doit on ruser pour autoriser les websockets ?
Quels seraient les risques en terme de sécurité, un attaquant peut-il brute-forcer facilement les comptes, peut on le bloquer en adjoignant un Fail2ban ou équivalent ?
Merci de vos idées,
Jean-Charles
[Resolu/Solved] Question publication WAPT en Reverse proxy sur Internet
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
-
- Messages : 21
- Inscription : 11 juin 2019 - 10:02
Dernière modification par jeancharles le 03 févr. 2020 - 15:25, modifié 1 fois.
-
- Messages : 21
- Inscription : 11 juin 2019 - 10:02
Et plus globalement, pensez vous que ce soit une bonne idée ou une aberration ?
Mon WAPT est sous Windows 2012 R2 actuellement, je gère 60 clients en version community 1.7.4 6232.
Mon WAPT est sous Windows 2012 R2 actuellement, je gère 60 clients en version community 1.7.4 6232.
- sfonteneau
- Expert WAPT
- Messages : 1789
- Inscription : 10 juil. 2014 - 23:52
- Contact :
Un truc tout bête a faire c'est installer un dépôt wapt en dmz.
Et ensuite on fait un rsync des paquets que l'ont souhaite du dépôt wapt principal vers ce dépôt en dmz.
Et voilà, vous proposer uniquement les paquets wapt que vous voulez
Et ensuite on fait un rsync des paquets que l'ont souhaite du dépôt wapt principal vers ce dépôt en dmz.
Et voilà, vous proposer uniquement les paquets wapt que vous voulez
- sfonteneau
- Expert WAPT
- Messages : 1789
- Inscription : 10 juil. 2014 - 23:52
- Contact :
Edit j'avais pas compris le besoin
Oui tu peux faire un proxy en dmz qui fais un revers proxy en direction de ton wapt interne, voici comment sécuriser l'accès
Exemple avec un revers proxy APACHE:
Tu peux récupérer le SSLCACertificateFile dans /opt/wapt/conf/ca-srvwapt.ad.tranquil.it.crt sur ton serveur wapt.
Un peu de doc associer :
https://www.wapt.fr/fr/doc/wapt-securit ... ation.html
Exemple de conf revers proxy NGINX:
Reste sûrement quelques modif a faire avec les enregistrement dns et certificat https
Oui tu peux faire un proxy en dmz qui fais un revers proxy en direction de ton wapt interne, voici comment sécuriser l'accès
Exemple avec un revers proxy APACHE:
Code : Tout sélectionner
<VirtualHost 0.0.0.0:443>
ServerName wapt.domain.fr
SSLEngine On
SSLProxyEngine On
SSLCertificateKeyFile /etc/ssl/private/srvwapt.key
SSLCertificateFile /etc/ssl/private/srvwapt.crt
Include /etc/apache2/conf-available/ssl.conf
SSLProxyVerify on
SSLProxyCACertificateFile /etc/ssl/certs/ca-interne.crt
ErrorLog /var/log/apache2/wapt-error.log
CustomLog /var/log/apache2/wapt-access.log combined
SSLCACertificateFile /etc/apache2/cawapt.crt
<Location />
SSLVerifyClient require
ProxyAddHeaders On
ProxyPass "https://srvwapt.ad.domain.fr/"
</Location>
</VirtualHost>
Un peu de doc associer :
https://www.wapt.fr/fr/doc/wapt-securit ... ation.html
Exemple de conf revers proxy NGINX:
Code : Tout sélectionner
server {
listen 443 ssl http2;
server_name wapt.domain.fr;
ssl_certificate /etc/ssl/private/srvwapt.pem;
ssl_certificate_key /etc/ssl/private/srvwapt.pem;
client_max_body_size 50M;
ssl_client_certificate "/opt/wapt/conf/wapt-serverauth-ca.crt";
ssl_verify_client optional;
location / {
proxy_set_header X-Ssl-Authenticated $ssl_client_verify;
proxy_set_header X-Ssl-Client-DN $ssl_client_s_dn;
if ($ssl_client_verify != SUCCESS) {
return 401;
}
proxy_pass https://srvwapt.ad.domain.fr/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
Reste sûrement quelques modif a faire avec les enregistrement dns et certificat https
-
- Messages : 21
- Inscription : 11 juin 2019 - 10:02
Merci cela semble nickel, j'ai un split DNS donc je peux utiliser le même nom DNS et le même certificat en interne et externe
J'avais surtout peur que les websockets ne passent pas le reverse proxy, et qu'au niveau sécurité cela soit non recommandé de publier sur internet les ressources WAPT.
Je regarde de ce côté, ce sera plus graphique pour moi car j'utilise Kemp Free Load Master (gratuit) qui permet de faire du reverse proxy par une UI.
https://support.kemptechnologies.com/hc ... LoadMaster
J'avais surtout peur que les websockets ne passent pas le reverse proxy, et qu'au niveau sécurité cela soit non recommandé de publier sur internet les ressources WAPT.
Je regarde de ce côté, ce sera plus graphique pour moi car j'utilise Kemp Free Load Master (gratuit) qui permet de faire du reverse proxy par une UI.
https://support.kemptechnologies.com/hc ... LoadMaster