skarpiste a écrit 27 commentaires

  • [^] # Re: Le monde bouge

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 3.

    Ok Effectivement je vais répondre dans le thème

    Pour la cspn il est conseillé a juste titre de ne pas avoir de port ouvert sur une machine cliente.

    Certe SSH passerai très certainement une cspn. Mais on a vu récemment avec wannacry et d'autre solution qu'aucune solution n'est infaillible. SSH, openvpn ont d’ailleurs eux aussi été touché par des failles dans le passé.

    Le fait de n'avoir aucun port ouvert sur la machine permet de limiter les attaques latérale pour éviter ce qui a pu se passer avec wanncry ou notpeyta.

    Voila pourquoi la cspn nous a demandé de ne pas avoir de port ouvert sur la machine pour un logiciel de déploiement. Pour prévoir les futurs faille de sécu et éviter les attaques latérale. Et pour moi c'est justifié

  • [^] # Re: Le monde bouge

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 1.

    Je vais du coup répondre purement techniquement (a vous de vous faire votre avis sur le sujet)

    Vous pouvez trouver tous ce que j'écris ici dans la doc.

    On utilise pas ssh, la sécurité repose principalement sur des sommes sha256 et certificat x509

    Pas de port ouvert sur les machines, nous fonctionnons en mode pull plutôt qu'en mode push. Cela nous permet de pouvoir passer facilement les parfeu. Nous pouvons piloter l'agent wapt au travers de connexion websocket pour indiquer a celui-ci d'installer ou de désinstaller des paquet wapt. (Pas d’exécution de code au travers de connexion web socket, on pilote simplement l'agent, seul un paquet wapt peut exécuter du code)

    Protection d'un paquet wapt:

    Lorsque l'on construit un paquet wapt, une sommes sha256 est faite de tous les fichier a l’intérieur du paquet wapt. Un fichier manifest.sha256

    On va ensuite créer un fichier signature.sha256 qui représente la sommes précédemment calculé signé avec la clé une clé privé.

    On va ensuite mettre le certificat qui a signer le paquet dans le paquet.

    Lorsque l'agent wapt télécharge le paquet wapt, il va vérifier que le certificat contenu dans le paquet est bien un certificat reconnue par l'agent wapt dossier wapt\ssl (l'agent dispose de la ca). Puis va vérifier que le fichiers signature.sha256 est bien signé par ce certificat, puis va ensuite re-calculer la sommes de tous les fichiers du paquet pour vérifier que la sommes correspond avec le fichiers manifest.sha256.

    Si l'une des étapes précédente échoue le paquet wapt est refusé.

    Ce mode de fonctionnement nous permet de faire en sorte que même si un pirate met la main sur le serveur wapt, il ne pourra pas modifier le paquet wapt pour y mettre du code malveillant.

    Je sais bien que vous pouvez également signer votre code powershell et faire des sommes de chaque fichier appelé dans celui-ci comme dans chocolatey mais nous trouvons simplement que cela est plus simple de le faire avec wapt puisque cela est transparent lorsque que le paquet est construis.

    A vous de me dire si les techno employé vous semble fiable…

  • [^] # Re: Comparaison avec Chcolatey

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 2.

    Hum pas bien compris votre commentaire pour mdt
    Pour mdt vous avez juste à ajouter la commande

    wapt-get install test-firefox test-groupename ...
    On a déjà beaucoup d'utilisateurs qui fonctionnent comme ça.

    Pour la partie smb on est en train de voir.

    Dans votre cas le principal problème c'est que vous ne pouvez pas avoir de serveur web sur vos sites distants, si on implémente le fait de pouvoir mettre un repo smb à la place, plus de soucis.

    Pour mdt pas de soucis

  • [^] # Re: Comparaison avec Chcolatey

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 3.

    Bonjour ledufakademy

    Vous venez de soulever quelques chose d’intéressant, aujourd'hui rien ne nous empêcherait de faire un dépôt secondaire en protocole SMB. Il faut juste que le client wapt accepte de taper sur un partage smb (ce qui ne serait pas très compliqué à implémenter).

    Pour ce qui est de la réplication vous n'êtes pas obligé d'acheter un boitier a 400€, la doc pour le faire vous même est ici:
    https://www.wapt.fr/fr/doc/Replicate_MultiRepo/Replication-depot/index.html

    Dans la doc on utilise syncthing pour la réplication mais rien ne nous empêche d'utiliser autre chose, rsync, script copy, DFS (oui je l'ai déjà fait avec du DFS + IIS), dans le cas où on utilise du DFS il faut un serveur wapt sous windows par contre …

    Pour info je crois que le client gui pour wpkg existe déjà.
    Pour info avant j'utilisais wpkg, mais ils y avaient plusieurs soucis (ça a peut être bougé depuis):

    • La remontée d'erreur : à l'époque chaque poste écrivait dans un fichier de log. Pas pratique pour une vision rapide des problèmes
    • Le fait qu'une installation n'était pas possible a l'arrêt du poste si le serveur wpkg n'était pas dispo (pas pratique pour les pc nomades)
    • Utiliser un méta langage : souvent pas très pratique à mon goût.
  • [^] # Re: Content de voir que cela vit encore

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 4. Dernière modification le 28/09/18 à 22:00.

    Je me rend compte qu'au vu de votre commentaire vous devez utiliser la version waptstarter

    Et c'est vrais que je n'ai pas trouvé de page qui en parle

    Pour récupérer la dernière version de waptstarter : https://wapt.tranquil.it/wapt/releases/latest/

    Faut qu'on corrige ça

  • [^] # Re: Content de voir que cela vit encore

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 4.

    Pour le téléchargement vous pourrez toujours prendre le lien https://doc.wapt.fr

    Sur le site officiel vous pouvez trouver les lien en cliquant sur wapt sur la bannière en haut puis wapt community

  • [^] # Re: Comparaison avec Chcolatey

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 2.

    Pour info avec wapt vous n'êtes pas obligé de le lié a un ad. Vous pouvez donc avoir autant de de forêt que vous souhaitez

  • [^] # Re: Comparaison avec Chcolatey

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 2.

    J’abandonne avec Flavien … trop condescendant … on est sur linuxfr on présente un produit gratuit et opensource et vous descendez le produit sans même l'avoir testé visiblement pour promouvoir sccm, produit payant et non opensource … Je ne comprends pas …

    Pour les autres … testez le produit, faites vous une idée par vous même.

  • [^] # Re: Wapt le challenger

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 4.

  • [^] # Re: Wapt le challenger

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 2.

    Petite liste de paquet chocolatey qui contiennent des binaire (j'ai pas vérifier la licence de tous)

    • Quicktime
    • Silverlight
    • Teamviewer
    • Steam
    • Spotify …

    Pour la partie publique du dépôt wapt (le dépôt tis), l'update package va nous permettre de ne plus héberger les binaires.

    Mais la partie privé hébergera toujours les binaire. L'administrateur doit en effet avoir les droit de redistribution. Comme pour toute les autres solutions de déploiement:

    Tous les logiciels de déploiement hébergent des binaire sont donc confronté a ce problème

  • [^] # Re: Wapt le challenger

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 2. Dernière modification le 27/09/18 à 16:54.

    Le but de mettre le binaire dans le paquet est de ne pas de télécharger directement sur le site de l'éditeur pour économiser la bande passante.

    Nous sommes conscient que notre dépôt publique héberge des logiciel privé mais nous avons déjà commencer a réfléchir a une solution.

    Je constate d’ailleurs également que Chocolatey héberge aussi parfois des binaires. Même problématique que nous.

    Nous avons commencer a mettre dans nos paquets un update_package qui permet de préparer le paquet si les sources ne sont pas a l’intérieur du paquet.

    Au vu du mode de fonctionnement de wapt actuellement PEP 551 ne nous semble pas nécessaire.

  • [^] # Re: Le monde bouge

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 2. Dernière modification le 27/09/18 à 16:32.

    Open ssh nécessite un port ouvert sur la machine, pas wapt qui utilise des connexion websocket.

    De plus avec wapt je peux "programmer ma machine" même si celle-ci est offline.

  • [^] # Re: Comparaison avec Chcolatey

    Posté par  (site Web personnel) . En réponse à la dépêche WAPT 1.6. Évalué à 2.

    Bonjour Flavien,

    Je vous propose peut être tous simplement de tester le produit
    Vous pourrez ainsi vous faire un avis par vous même.

    C'est l'avantage d'un produit libre

    Simon

  • [^] # Re: Utiliser les briques qui fonctionnent biens

    Posté par  (site Web personnel) . En réponse au message Labo de langue opensource. Évalué à 1.

    Effectivement très intéressant du coup, je vais regarder du plus prêt

  • [^] # Re: Spécifications ....

    Posté par  (site Web personnel) . En réponse au message Labo de langue opensource. Évalué à 1.

    Pour les fonctionnalités comme je dit dans mon premier poste. Il faut que les élèves puisse s'enregistrer, que le professeur puisse écouter l'élève a tout moment lors de sa répétition pendant la séance et qu'il puisse intervenir vocalement dans le casque de l'élève pour l'aider si l'élève galère sur un mot.

    Ça c'est les fonctionnalité principal.

    Ensuite je n'ai pas de fonctionnalité secondaire, si déjà les fonctionnalité principal je serais super content.

    Je ne connais pas jabber je vais regarder.

    Simon

  • [^] # Re: Labo langue

    Posté par  (site Web personnel) . En réponse au message Labo de langue opensource. Évalué à 2.

    J'utilise déjà italc mais il ne permet pas de capter du son

    Sauf la version www.llsoll.ch qui est visiblement un dériver d'italc sous linux

    Asterix peut être une bonne piste mais pour rester sur mon idée de me désolidariser de l'os il me faut un client web comme sipml5 https://www.doubango.org/sipml5/ et visiblement il fonctionne avec webrtc

    C'est important de me désolidariser de l'os pour moi car nous expérimentons actuellement les classes mobile avec les pc personnel des étudiants. La solution web n'oblige pas l'étudiant a installer un logiciel.

    Je viens de tester esayrtc https://demo.easyrtc.com/demos/index.html qui m’intéresse.

  • [^] # Re: Utiliser les briques qui fonctionnent biens

    Posté par  (site Web personnel) . En réponse au message Labo de langue opensource. Évalué à 1.

    Effectivement bigbluebutton se rapproche assez de ce que je veux faire. Je vais voir cette piste.

    Par contre c'est du flash … dommage

  • [^] # Re: un petit mix...

    Posté par  (site Web personnel) . En réponse au message Filtrage SSL. Évalué à 1.

    Donc Packetfence me confirme qu'il est capable de d'intercepter du trafique proxy avec son portail captif.

    Donc Soit je fait une authentification avec le portail captif, ou authentification 802.1X, avec dans les deux cas packetfence derrière.

    Une fois connecter les utilisateurs seront redirigés vers une page leur indiquant comment configurer le proxy leurs appareils.

    Simon

  • [^] # Re: un petit mix...

    Posté par  (site Web personnel) . En réponse au message Filtrage SSL. Évalué à 1.

    Bon finalement ni le ssl bump n'est bon ni le filtrage dns.

    Pour le ssl bumping :
    Certaine application smartphone embarque les certificats racine dans l'application. Du coup on ne peut pas rajouter le notre.

    Pour le filtrage avec le dns ça m'embête car il faut laisser le port 443 ouvert. Cela m'embête.

    J'en reviens donc à ma solution initial, configurer un proxy.
    ```
    - Pour les pc: Facile, il faut utiliser le wpad et rediriger les non configuré vers une notice, ou page de script d’auto-configuration proxy. Finalement ce que je fait déjà actuellement.

      -  Pour les smartphones, faire une notice pour expliquer comment configurer le proxy sur son téléphone, ou faire des script d'auto-configuration en cliquant sur un lien.  MAIS problème !  Comme j'ai un portail captif avant, il faut qu'il soit capable d'intercepter les pc qui on déjà configurée le proxy.  A voir donc avec les dev packetfence. 
    

    ```Ou dans tous les cas:
    Utiliser le wifi comme ici :
    http://wiki.univ-nantes.fr/wifi:documentation:eduroam:iphone

    Bref je pense avoir fait le tour de toute les solutions.

    Merci beaucoup pour votre aide.

    Rien que personnellement j'ai appris beaucoup de chose.

    
    
  • [^] # Re: un petit mix...

    Posté par  (site Web personnel) . En réponse au message Filtrage SSL. Évalué à 1.

    Salut

    Pour le moment j'essaye de partir sur filtrage+log dns pour ssl (Comme ça le certificat ssl d'origine est conservé) + squid/squidguard sur le port 80.

    Cela m’embête de déchiffrer le ssl juste pour du filtrage.

    J'étais tombée sur cet article qui résume bien le truc:
    https://www.grmnprz.org/ssl-proxy-in-the-middle.html

    Chez blue coat il utilise effectivement cette solution. Mais avec un certificat valide, du coup ils n'ont rien a faire.

    Donc pour le moment filtrage dns pour ssl + squid pour 80

    A voir

    Merci beaucoup pour toute vos réponses

    Simon

  • [^] # Re: Packetfence !

    Posté par  (site Web personnel) . En réponse au message Filtrage SSL. Évalué à 1.

    Peut tu m'en dire plus ?

    J'ai cherchée des info sur le EAP, j'ai trouvée mais visiblement il faut toujours configurer le proxy ?

    Je suis d’ailleurs tomber la dessus et voie donc que l'université de Nantes fonctionne comme nous.
    http://wiki.univ-nantes.fr/_media/crous:guide-dot1x-macosx.pdf

    Je recontacte le dev packetfence demain.

    Simon Fonteneau

  • [^] # Re: retour enseignant

    Posté par  (site Web personnel) . En réponse à la dépêche Le logiciel libre dans l'éducation, regard depuis un lycée français. Évalué à 1.

    Salut

    Dit moi quelle Etablissement en Vendée ? Je fais régulièrement des réunions avec "reseaux 85" et je suis donc curieux.

    Suite a mon commentaire précédent:

    Pour ta défense également je ne blâme pas les profs, je fait juste un constat dépitée.

    Autant dans le collège où je travaille j'ai espoir de pouvoir passer mes 150 client en full linux.

    Autant dans le Lycée où je travaille également je ne l'envisage même plus. Ce sera dual-boot uniquement.

    Simon

  • [^] # Re: Packetfence !

    Posté par  (site Web personnel) . En réponse au message Filtrage SSL. Évalué à 1.

    Salut denisb

    Je compte bien utiliser packetfence pour l'authentification.

    Le problème réside toujours du côté filtrage ssl.

    Pour ce qui est du matos, on a vu avec le dev packetfence au téléphone et aucun soucis, nos 40 bornes et le contrôleur sont pris en charge par packetfence.

    Dans ce cas le squid n'a que l'ip source à disposition, il faut donc avec squidGuard soit interroger >PF (radius ou sql) pour récupérer l'utilisateur et son rôle, ou alors juste l'utilisateur pour après >interroger le samba4 pour connaître le groupe.

    Déjà réfléchie mais squid et squidguard ne sont pas capable de filtrer du ssl en mode transparent, sauf avec squid ssl bump, mais cette solution est dangereuse je trouve, le ssl n'a pas été conçue pour ça.

    Je ne peut pas non plus renseigner le proxy ni en dur ni wpad car c'est leurs appareils perso.

    Dites moi si je me trompe ou si j'ai mal compris.

    Simon

  • [^] # Re: un petit mix...

    Posté par  (site Web personnel) . En réponse au message Filtrage SSL. Évalué à 1. Dernière modification le 17/11/14 à 01:07.

    Salut

    a ratw3:

    Pour ce qui est des libertés individuelles, je peu comprendre le discours. Mais bon, maintenant je travaille dans l’éducation… Lycée. Donc le contexte est différent.

    Pour Squid + SSLBump tu confirme mes pensées. je zap la solution.

    Le dns est la solution utilisée par alcasar pour le ssl il me semble. Mais j'ai un doute, si je rentre par exemple l'ip de facebook dans mon hosts, j'arrive a sortir sans être loguer ?

    Pour ce qui est de snort le dev packetfence que j'ai eu au téléphone m'en a parlé mais il me propose un changement de vlan avec ré-authentification a chaque site interdit. Je voudrais quelque chose de plus simple.

    Je reste quand même sur la solution packetfence pour l'authentification.

    Simon

  • [^] # Re: région payeur

    Posté par  (site Web personnel) . En réponse à la dépêche Le logiciel libre dans l'éducation, regard depuis un lycée français. Évalué à 0.

    Fait comme nous on en parler (Simon Lycée, Sainte Marie du port) On s'était parler a la réunion samba4 a Nantes.

    Fait ton propre samba4, au niveau des mise a jour tu sera moins embêter sambaedu est très bien mais je trouve que rien de vaut un samba fait main dont tu maîtrise toute les ficelles et où tu comprend chaque ligne de ton fichier de conf.