Surveiller ce forum | 
Commencer une nouvelle discussion
| RE: Accès alcasar pate wan [ Répondre ] Par : Richard REY (Rexy) on 2017-08-26 11:27 | [forum:486818] |
|
Bonjour, Je rappelle qu'alcasar exploite "fail2ban" sur les accès SSH et sur les accès à l'ACC via HTTPS. Ainsi après 3 tentatives infructueuses sur ces services, ceux-ci sont bloqués pendant 5'. Cela permet normalement de dissuader les pros du fuzzing. |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Olivier C on 2017-08-25 05:35 | [forum:486806] |
|
Bonjour, Je trouve sympa de pouvoir administrer du coté LAN à partir de n'importe quelle machine. Dès que l'on a une demande d'un utilisateur (mot de passe, durée de connexion....), on peut la traiter directement à partir de sa machine. Les utilisateurs signent une charte et sont sensibilisés à ne pas chercher les mots de passe (bon courage car très longs et complexes d'ailleurs). Administrer du côté WAN, je trouve cela dangereux, tout le monde n'a pas de DMZ entre l'extérieur et le LAN de consultation. Le plus secure dans ce cas est naturellement le tunnel via le putty puis le https. Mais bon, tout le monde n'a pas une secrétaire-ingénieure-informaticienne, effectivement... |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Laurent roux on 2017-08-24 23:10 | [forum:486801] |
|
Salut, tu peux bloquer les adresses autorisées à accéder à l'ACC ; tu vas dans le fichier : /etc/httpd/conf/webapps.d/alcasar.conf ...... |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Francois Raoult on 2017-08-24 18:36 | [forum:486800] |
|
Pour ma part j'ai pu accéder à l'interface d'alcasar via le WAN par deux-trois modifications : * Modifier alcasar.conf pour ajouter un Allow from @Reseau_Wan/Masque partout * Modifier ssl.conf pour ajouter un Listen @IP_Wan:443 en dessous de celui permettant l'écoute sur la patte LAN * Autoriser l'accès sur le port 443 depuis la patte WAN dans IPtable Et ça marche bien. Je sens que c'est bancale (pour que la modification soit durable, il faut modifier les script alcasar-conf.sh) et le tunnel SSH est quand même bien sympa (et sans doute plus sûr), mais ça permet à la secrétaire du club - qui se connecte côté "réseau privé" donc côté WAN d'Alcasar - d'accéder à l'interface d'alcasar pour gérer les utilisateurs (création en particulier) sans la complexité d'un tunnel SSH (je vais pas lui faire mettre putty et lui expliquer comment ça marche... la pauvre...) D'ailleurs de façon générale, je ne trouve que moyennement logique de permettre l'accès à l'ACC par le côté "public"... Ca veut dire que les utilisateurs peuvent tenter d'y accéder (tenter de trouver le mot de passe par exemple)... |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Olivier C on 2017-08-24 18:04 | [forum:486799] |
|
@Antoine: Est-ce que cet échec n'est pas quelque chose qui resemble à "... REUSED..." ? Si c'est le cas, supprimez le certificat associé à l'ACC de la patte LAN de votre navigateur et acceptez de nouveau le certificat de la patte WAN. C'est peut-être cela, le problème. |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Olivier C on 2017-08-24 17:59 | [forum:486798] |
|
@Franck : Je viens de me rendre compte que j'avais mis une règle dans alcasar-iptable-local.sh qui redirige le port 443 vers une alarme sur le réseau de consultation..... Du coup, c'est elle qui a un problème de certificat SSL v3.... pas alcasar ! Désolé, Franck ! J'ai testé trop vite. @Antoine : Pour apache, il est effectivement possible que la conf du ssl "/etc/httpd/conf/conf.d/ssl.conf" sera à modifier pour ajouter Listen @IPWAN:443 juste en dessous de Liste 192.168.182.1:443 Mais je ne suis pas sûr que cela suffise |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Antoine Charrier on 2017-08-24 13:46 | [forum:486792] |
| Pour ma part j'obtiens échec de la connexion sécurisée et je ne peux pas mettre d'exceptions pour forcer la connexion. | |
| RE: Accès alcasar pate wan [ Répondre ] Par : Olivier C on 2017-08-23 16:00 | [forum:486786] |
|
@Franck, Sans autre bricolage, quand j'essaie ta manip, j'obtiens un beau SSL_ERROR_UNSUPPORTED_VERSION Quand j'attaque en https la pate wan pour test. @Antoine, Avez-vous au moins cela ? |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Antoine Charrier on 2017-08-23 13:58 | [forum:486785] |
|
Bonjour, Merci pour votre réponse. J'essaye de me connecter depuis putty depuis le début mais ça ne fonctionne pas. Je suis sur le même réseau que la patte wan de alcasar. Je devrais pouvoir me connecter sur le portail en mettant addresseipwan:443/acc/ ? Je suis bien la procédure pour putty mais je n'arrive pas a me connecter non plus. J'ai désactivé iptables car nous avons un pare feu en interne. Il n ' y a donc pas de règle iptables qui me bloque. J'ai vu que sur des versions précédentes d'alcasar qu 'il fallait autorisé l accès au serveur apache depuis la patte wan, est-ce toujours d actualité ? Cordialement Antoine Charrier |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Franck BOUIJOUX on 2017-08-18 10:05 | [forum:486736] |
|
Bonjour, il manque à modifier les règles du parefeu si vous voulez attaquer directement l'interface côté externe. Règles à rajouter dans le fichier : /usr/local/etc/alcasar-iptables-local.sh $IPTABLES -A INPUT -i $EXTIF -d $PUBLIC_IP -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT Relancer le script : alcasar-iptables.sh Cela devrait suffire. Sinon, la méthode par le biais de putty fonctionne très bien aussi ... :-) |
|
| RE: Accès alcasar pate wan [ Répondre ] Par : Olivier C on 2017-08-11 18:21 | [forum:486698] |
| Bonjour, remettez la conf comme elle était à l'origine et parametrez votre putty comme indiqué dans la doc au paragraphe accès distant à l'acc | |
| RE: Accès alcasar pate wan [ Répondre ] Par : Antoine Charrier on 2017-08-11 16:56 | [forum:486697] |
|
J'ai oublié de préciser que j'ai également stopper le service iptables. Je voulais d abord être sur d’accéder a cette page avant d'ajuster les droits iptables. |
|
| Accès alcasar pate wan [ Répondre ] Par : Antoine Charrier on 2017-08-11 16:40 | [forum:486696] |
|
Bonjour, J'ai installé un alcasar version 3.1.2 que j 'ai mis a jour en version 3.1.4. Je cherche a pouvoir administrer alcasar depuis la patte wan en mode graphique. La pate wan a pour adresse 192.168.184.56 et se trouve actuellement sur le réseau de l'entreprise. Mon poste se trouve sur un vlan différent. Mais les vlans peuvent communiquer entre eux. Je ping bien la patte wan depuis mon poste et je peux me connecter en ssh pour l'administration en mode texte. Par contre quand je tape l'adresse 192.168.184.56:443/acc/ la connexion échoue. J'ai pourtant ajouté dans le fichier alcasar.conf du dossier httpd les lignes Allow from 192.168.184.0/24 Allow from 192.168.175.0/24 (réseau du poste depuis lequel j'essaye de me connecter) Que fout-il faire de plus pour pouvoir accéder à cette page ? Merci pour votre aide. |
|
