Page 1 sur 1

nomadisme et WAPT

Publié : 16 avr. 2021 - 19:39
par EdG973
Bonjour,

Je m'interroge sur le fonctionnement de WAPT dans un mode nomadisme, télétravail.
J'ai expérimenté WPAT community au niveau d'un réseau local (clients et serveur sur le même LAN).
Pour que les mises à jour fonctionnent également depuis la maison, il faut un serveur WPAT public ?
Est-ce que cela est raisonnable au niveau sécurité pour le serveur face aux "dangers" d'internet ?

Au niveau d'une flotte de terminaux de type tablettes smartphones android ou apple, le besoin est similaire.
- Mise à jour des logiciels centralisées
- Limitation des possibilités de configuration et d'utilisation (mode "kiosque") android

Il existe de nombreux MDM (Mobile Device Management) sur le play store, auriez vous un conseil (CLYD, SureLock, etc.) ?
Avez-vous lancer une réflexion pour un WAPT Android / Apple ?

Bien cordialement,
EdG

Re: nomadisme et WAPT

Publié : 26 avr. 2021 - 15:04
par EdG973
Concernant la gestion des tablettes, j'ai trouvé une solution intéressante :
https://www.manageengine.com/fr/mobile- ... anagement/

Mais j'ai pas testé...

Re: nomadisme et WAPT

Publié : 27 avr. 2021 - 09:56
par htouvet
Bonjour,
Le modèle de communication et de sécurité de Wapt est bien adapté à la gestion d'une flotte en situation de nomadisme.

Le protocole utilisé est https, donc passe bien sur le réseau internet. (uniquement le port 443 ouvert sur le serveur Wapt, et surtout pas de port ouvert sur les clients)

Les communications réseaux sont initiées par le poste client, donc pas de problème avec les clients en NAT derrière des box internet.

Le serveur peut être exposé sur l'internet public, en activant l'authentification par certificat client. (https://www.wapt.fr/fr/doc/wapt-securit ... entication)
Lorsque le poste client est enregistré initialement sur le serveur Wapt, il reçoit un certificat (X509, clé RSA, signé par la CA du serveur), qui lui est propre et qui lui permet de s'authentifier ultérieurement sur le serveur Wapt public (reverse proxy NGINX). Le serveur est donc protégé de l'accès par des clients non autorisés.
Et il n'est donc pas obligatoire d'avoir un VPN établi pour la gestion des postes clients nomades

La sécurité du client est basée sur la signature (RSA) de paquets (en fait un fichier zip). Le poste client a la liste des certificats de signature autorisés. Il n'y a pas de port réseau ouvert coté client. (https://www.wapt.fr/fr/doc/wapt-concept ... -principle)

La période actuelle a motivé de nombreux utilisateurs de wapt à exposer leur serveur wapt sur internet, en activant l'authentification par certificat client. Ce qui permet de continuer à maintenir le poste à jour et déployer les nouvelles applications ou configurations.

Pour les clients mobiles Android et Apple, les systèmes de sécurité de ces plateformes font qu'un logiciel tiers peut difficilement agir sur l'appareil globalement ou les autres applications installées (sauf à ce que l'appareil soit rooté ou jailbreaké). Pour Android, le service Wapt devrait être une application "système", donc ne pourrait être installé que sur des appareils dont le bootloader est déverrouillable.
C'est pour cette raison que pour l'instant, nous n'avons pas de développement avancé sur ces deux plateformes. Mais ça serait une évolution logique pour Wapt d'adresser le MDM.