• 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Sécurisation flux réseau agent --> GLPI+Fusion
#1
Bonjour,

Je dispose de pc avec l'agent fusion inventory comme "miniserveur web" en HTTP et d'un glpi en HTTPS avec le plugin Fusion.

Je voudrais savoir si les données remontés par l'agent vers le plugin GLPI sont chiffrées ? Quel est l'utilité d'avoir le mini serveur en https ?

Cordialement,
  Reply
#2
Bonjour minho,

si le paramètre "server" que tu as renseigné la configuration de ton agent est en "https://", cela signifie que ton agent est un client SSL pour ton serveur GLPI+FusionInventory, donc que l'agent transmet ses inventaires et fait ses requêtes de façon chiffrée. Cela répond à ta première question.

Pour la deuxième question, le "mini-serveur" comme tu l'appelles a une toute autre fonction : il fournit des services pour d'autres agents ou l'utilisateur
    1. le premier usage, c'est l'accès au port 62354 depuis la machine local par un utilisateur. Si le paramètre httpd-trust contient l'interface locale, l'utilisateur sera en mesure d'utiliser une interface pour forcer un inventaire
    2. le deuxième usage, c'est l'accès à ce même port par le plugin FusionInventory ou GLPI depuis le serveur et à condition que ton réseau le permette: ce sont les fonctions de consultation de l'état d'un agent depuis la fiche d'un ordinateur ou le réveil des agents pour déclencher des tâches (NetDiscovery, NetInventory, Collect, Deploy, ESX ou WakeOnLan).
    3. un troisième usage, c'est dans le cadre de la tâche Deploy, si le p2p est activé, un agent sera en mesure de partager de partie de fichier à déployer avec d'autres agents. C'est une optimisation indispensable dans certains contextes.
    4. de nouvelles fonctions peuvent être ajoutées par l'intermédiaire de plugins et voici une liste de plugins qui peuvent être activés:
        1. Inventory: pour réclamer un inventaire à distance
        2. Proxy: pour utiliser un agent comme Proxy entre d'autres agents et le serveur et/ou pour stocker localement les inventaires avant une injection ultérieure
        3. SecondaryProxy: un deuxième Proxy pour autoriser l'écoute sur un deuxième port (permet de support HTTP et HTTPS)
        4. SSL: permet de transformer ton mini-serveur HTTP en mini-serveur HTTPS pour chiffrer les communications auxquelles répond l'agent. S'il est actif, l'url d'accès locale devrait alors être https://127.0.0.1:62354/. Ce plugin peut être combiner avec d'autres pour indiquer sur quels ports activer le support SSL.
        5. d'autres plugins sont en développement et pourraient être intégrés à l'agent dans un futur plus ou moins proche

Le mini-serveur, en terme de sécurité, fait un filtrage par ip en utilisant une liste blanche des ips autorisées (paramètre httpd-trust) pour toutes les fonctions interactives. Cela vient en complément de tout filtrage par firewall: les pages servies si ton ip n'est pas dans httpd-trust ne donne que des informations sommaires:
    - sur la racine, on voit un état global de l'agent avec éventuellement la tâche en cours d'exécution
    - sur /status, l'agent retourne une courte chaine comme "status: waiting" ou "status: running task Inventory"
Basiquement, le mini-serveur ne présente aucun risque majeur. Le pire bogue que j'ai vu par le passé, c'est le risque d'un simple arrêt de l'agent et donc ne plus permettre la remontée automatique des inventaires. Mais le problème a été corrigé dans les dernières versions.
  Reply
#3
D'accord je comprends mieux. Merci de ta réponse précise.
Si l'agent et le serveur GLPI sont sur des VLANs différents, il faut donc obligatoirement ouvrir le port 62354 des deux côtés pour qu'ils communiquent ?.
  Reply
#4
Non, dans ton cas, le port 62354 ne devrait être ouvert que du côté agent. Le serveur GLPI n'écoute que sur les ports HTTP et/ou HTTPS.
Si jamais tu installes un agent pour qu'il serve de proxy sur ton serveur GLPI, là,, tu peux avoir besoin d'ouvrir le port 62354... sauf si tu reconfigures le port et dans ce cas, c'est le port choisi qu'il faut ouvrir.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)