ich habe mich gerade an dem Thema der WebFront Konfiguration versucht, das diesbezügl. das Forum durchgelesen und habe noch eine Verständnisfrage:
Die Funktion der Checkbox „erfordere Passwort nur bei externem Zugriff (Internet)“ ist mir noch nicht ganz klar.
Was wird hier geprüft ?
Ich hätte vermutet, dass wenn die Anfrage über ein anderes Subnetz hereinkommt die Passwortabfrage zum tragen kommt. Wobei dies auch ein anderes „privates“ Netz sein kann. Dem scheint aber nicht so zu sein.
Konkret: Wenn ich mich per VPN zuhause aufschalte, dann komme ich mit dem Rechner aus einem anderen Netz (192.168.0.x vs. 192.168.100.x). Die Passwortabfrage erscheint dennoch nicht ?
Dahinter steht (nehme ich mal an) die Annahme, dass alle „privaten“ IP´s dann immer vertrauenswürdig sind.
Ist formal korrekt, evtl. aber nicht immer hilfreich
Wenn ich an o.g. VPN-Szenarien denke, dann ist IPS so nie geschützt (außer ich mache immer die Passwortabfrage).
Ein Gedanke wäre es ja andersherum machen und immer ein Passwort zu fordern. Dann bei „IP-Adressen Autostart“ das private Subnetz als Range einzugeben. Das - so habe ich gelesen - geht auch nicht… (nur einzelne IP´s)
Wäre es ein Option einzubauen, dass der Nutzer die IP-Ranges selbst definiert, die er als vertrauenswürdig hält (default dann wie bisher) ?
es gibt mindestens ein konkretes Beispiel hier im Forum, wo genau das fatal wäre: wenn nämlich (warum auch immer) das eigene LAN eine Range aus dem öffentlichen Bereich hat.
Ich denke, so wie es jetzt ist, hat es das höchste (Standard- was auch immer das im Detail beteuten mag) Schutzpotenzial - auch wenn es „Experten“ manchmal nicht genügen mag.
Anders herum: Wenn schon ein VPN-Zugang gewährt wurde (und der nicht vertrauenswürdig ist) ist ja eh schon Hopfen und Malz verloren…
Da bin ich nicht ganz bei Euch. Es ist in jedem Falle sinnvoll vertrauenswürdige Netze dediziert festlegen zu können und nicht alle privaten Segmente nach dem Giesskannenprinzip freizugeben. Gut - ist besser als nichts aber optimal ist anders.
Also, ich sehe das auch ein wenig differenzierter. @Raketenschnecke: Das mit der öffentlichen IP-'Range in einem „privaten“ Netz ist außen vor. Die Folgen kann man sich einfach ausmalen…
Sobald IPS in einem Einsatzbereich ist (gewerblich oder auch privat) in dem 2 Subnetze in der Infrastruktur vorhanden sind, ist dies ein mögliches Thema.
Was spricht denn dagegen, die bekannten privaten Subnetze als Default vorzugeben, und dennoch editierbar zu machen, so dass feiner abgestimmte Szenarien möglich sind?
ich nur im Groben, deshalb lass ich die Finger von sowas
Aber wenn ein User sowas macht, sind ihm mit Sicherheit auch die Folgen nicht klar (wir reden vom Privatuser). Aber man kann nicht jeden vor Allen Eventualitäten schützen. Aber vor Vielem.
Zumal die Absicherung des Webfronts und des direkten Zugriffes am Webfront vorbei ja schon mehrfach an anderer Stelle diskutiert worden sind. Und ich kann mir nicht vorstellen, dass der Aufwand zumindest einen gewissen Mindestschutz darzustellen besonders hoch ist.
Hi Paresy,
kann ich dies inzwischen konfigurieren? In einer „sauberen“ Umgebung sollte die Automatisation getrennt sein vom Rest der Welt sprich „Gäste WLan“, „Kinderzimmer“ etc.
Was ist mit IP6?
Wertet der Webserver den „X-Forwarder-For“ Header aus?
Wenn Nein, wäre cool wenn ihr den X-Forwarder-For auswertet z.B. wenn er gesetzt ist und eine Public IP beinhaltet, dann Zugriff von aussen.
Es kann nicht konfiguriert werden. Wir werten jedoch selbstverständlich den Forward-For Header aus.
Die Funktion unterstützt kein IPv6 (außer Local Link), sodass diese Anfragen grundsätzlich Authentifizierung brauchen.
Hallo,
gibt es hierzu mittlerweile ein Update? Ich habe ein relativ umfangreiches Netzwerk (VPN Einwahl, VPN Site2Site, mehrere VLANs, internes Routing, mehrere Interfaces auf dem IPS Rechner).
Ich würde es ebenfalls sehr begrüßen, man könnte etwas differenzierter eingeben, welches Subnetz vertraenswürdig ist.