WebFront Konfiguration - Passwort und externer Zugriff

Hallo,

ich habe mich gerade an dem Thema der WebFront Konfiguration versucht, das diesbezügl. das Forum durchgelesen und habe noch eine Verständnisfrage:

Die Funktion der Checkbox „erfordere Passwort nur bei externem Zugriff (Internet)“ ist mir noch nicht ganz klar.

Was wird hier geprüft ?
Ich hätte vermutet, dass wenn die Anfrage über ein anderes Subnetz hereinkommt die Passwortabfrage zum tragen kommt. Wobei dies auch ein anderes „privates“ Netz sein kann. Dem scheint aber nicht so zu sein.

Konkret: Wenn ich mich per VPN zuhause aufschalte, dann komme ich mit dem Rechner aus einem anderen Netz (192.168.0.x vs. 192.168.100.x). Die Passwortabfrage erscheint dennoch nicht ?

Die Frage ist also: Wie ist „extern“ definiert ?

Merci für Hinweise,

Oli

Extern definiert sich durch folgende Subnetze:


10.0.0.0/8          Private-Use Networks       RFC 1918
127.0.0.0/8         Loopback                   RFC 1122, Section 3.2.1.3
169.254.0.0/16      Link Local                 RFC 3927
172.16.0.0/12       Private-Use Networks       RFC 1918
192.168.0.0/16      Private-Use Networks       RFC 1918

Quelle: RFC 5735 - Special Use IPv4 Addresses, Chapter 4.

Es hat also nichts mit deinem Adressraum zu tun, sondern es werden nur die generell als „Intern/Privat“ definierten Adressen überprüft.

paresy

OK, dann ist es klar.

Dahinter steht (nehme ich mal an) die Annahme, dass alle „privaten“ IP´s dann immer vertrauenswürdig sind.

Ist formal korrekt, evtl. aber nicht immer hilfreich :wink:

Wenn ich an o.g. VPN-Szenarien denke, dann ist IPS so nie geschützt (außer ich mache immer die Passwortabfrage).

Ein Gedanke wäre es ja andersherum machen und immer ein Passwort zu fordern. Dann bei „IP-Adressen Autostart“ das private Subnetz als Range einzugeben. Das - so habe ich gelesen - geht auch nicht… (nur einzelne IP´s)

Wäre es ein Option einzubauen, dass der Nutzer die IP-Ranges selbst definiert, die er als vertrauenswürdig hält (default dann wie bisher) ?

Damit wäre die Option flexibler nutzbar…

Merci für Feedback,

Oliver

es gibt mindestens ein konkretes Beispiel hier im Forum, wo genau das fatal wäre: wenn nämlich (warum auch immer) das eigene LAN eine Range aus dem öffentlichen Bereich hat.
Ich denke, so wie es jetzt ist, hat es das höchste (Standard- was auch immer das im Detail beteuten mag) Schutzpotenzial - auch wenn es „Experten“ manchmal nicht genügen mag.
Anders herum: Wenn schon ein VPN-Zugang gewährt wurde (und der nicht vertrauenswürdig ist) ist ja eh schon Hopfen und Malz verloren…

Da bin ich nicht ganz bei Euch. Es ist in jedem Falle sinnvoll vertrauenswürdige Netze dediziert festlegen zu können und nicht alle privaten Segmente nach dem Giesskannenprinzip freizugeben. Gut - ist besser als nichts aber optimal ist anders.

Also, ich sehe das auch ein wenig differenzierter.
@Raketenschnecke: Das mit der öffentlichen IP-'Range in einem „privaten“ Netz ist außen vor. Die Folgen kann man sich einfach ausmalen…

Sobald IPS in einem Einsatzbereich ist (gewerblich oder auch privat) in dem 2 Subnetze in der Infrastruktur vorhanden sind, ist dies ein mögliches Thema.

Was spricht denn dagegen, die bekannten privaten Subnetze als Default vorzugeben, und dennoch editierbar zu machen, so dass feiner abgestimmte Szenarien möglich sind?

ich nur im Groben, deshalb lass ich die Finger von sowas :smiley:
Aber wenn ein User sowas macht, sind ihm mit Sicherheit auch die Folgen nicht klar (wir reden vom Privatuser). Aber man kann nicht jeden vor Allen Eventualitäten schützen. Aber vor Vielem.:smiley:

Überzeugt, für mich plausible Argumente :wink:

Zumal die Absicherung des Webfronts und des direkten Zugriffes am Webfront vorbei ja schon mehrfach an anderer Stelle diskutiert worden sind. Und ich kann mir nicht vorstellen, dass der Aufwand zumindest einen gewissen Mindestschutz darzustellen besonders hoch ist.

Ok,

wäre das jetzt der richtige Moment daraus ein Feature-Request zu machen ?

Grüße,

Oli

Hi Paresy,
kann ich dies inzwischen konfigurieren? In einer „sauberen“ Umgebung sollte die Automatisation getrennt sein vom Rest der Welt sprich „Gäste WLan“, „Kinderzimmer“ etc.
Was ist mit IP6?
Wertet der Webserver den „X-Forwarder-For“ Header aus?
Wenn Nein, wäre cool wenn ihr den X-Forwarder-For auswertet z.B. wenn er gesetzt ist und eine Public IP beinhaltet, dann Zugriff von aussen.

Gruss
Mike

Es kann nicht konfiguriert werden. Wir werten jedoch selbstverständlich den Forward-For Header aus.
Die Funktion unterstützt kein IPv6 (außer Local Link), sodass diese Anfragen grundsätzlich Authentifizierung brauchen.

paresy

Hallo,
gibt es hierzu mittlerweile ein Update? Ich habe ein relativ umfangreiches Netzwerk (VPN Einwahl, VPN Site2Site, mehrere VLANs, internes Routing, mehrere Interfaces auf dem IPS Rechner).

Ich würde es ebenfalls sehr begrüßen, man könnte etwas differenzierter eingeben, welches Subnetz vertraenswürdig ist.