+ Antworten
Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 12
  1. #1
    Registriert seit
    May 2011
    Ort
    70771 Leinfelden Echterdingen
    Beiträge
    92

    Standard WebFront Konfiguration - Passwort und externer Zugriff

    Hallo,

    ich habe mich gerade an dem Thema der WebFront Konfiguration versucht, das diesbezügl. das Forum durchgelesen und habe noch eine Verständnisfrage:

    Die Funktion der Checkbox "erfordere Passwort nur bei externem Zugriff (Internet)" ist mir noch nicht ganz klar.

    Was wird hier geprüft ?
    Ich hätte vermutet, dass wenn die Anfrage über ein anderes Subnetz hereinkommt die Passwortabfrage zum tragen kommt. Wobei dies auch ein anderes "privates" Netz sein kann. Dem scheint aber nicht so zu sein.

    Konkret: Wenn ich mich per VPN zuhause aufschalte, dann komme ich mit dem Rechner aus einem anderen Netz (192.168.0.x vs. 192.168.100.x). Die Passwortabfrage erscheint dennoch nicht ?

    Die Frage ist also: Wie ist "extern" definiert ?

    Merci für Hinweise,

    Oli

  2. #2
    Registriert seit
    Feb 2005
    Ort
    Lübeck
    Beiträge
    22,331

    Extern definiert sich durch folgende Subnetze:
    Code:
    10.0.0.0/8          Private-Use Networks       RFC 1918
    127.0.0.0/8         Loopback                   RFC 1122, Section 3.2.1.3
    169.254.0.0/16      Link Local                 RFC 3927
    172.16.0.0/12       Private-Use Networks       RFC 1918
    192.168.0.0/16      Private-Use Networks       RFC 1918
    Quelle: RFC 5735 - Special Use IPv4 Addresses, Chapter 4.

    Es hat also nichts mit deinem Adressraum zu tun, sondern es werden nur die generell als "Intern/Privat" definierten Adressen überprüft.

    paresy

  3. #3
    Registriert seit
    May 2011
    Ort
    70771 Leinfelden Echterdingen
    Beiträge
    92

    OK, dann ist es klar.

    Dahinter steht (nehme ich mal an) die Annahme, dass alle "privaten" IP´s dann immer vertrauenswürdig sind.

    Ist formal korrekt, evtl. aber nicht immer hilfreich ;-)

    Wenn ich an o.g. VPN-Szenarien denke, dann ist IPS so nie geschützt (außer ich mache immer die Passwortabfrage).

    Ein Gedanke wäre es ja andersherum machen und immer ein Passwort zu fordern. Dann bei "IP-Adressen Autostart" das private Subnetz als Range einzugeben. Das - so habe ich gelesen - geht auch nicht.... (nur einzelne IP´s)

    Wäre es ein Option einzubauen, dass der Nutzer die IP-Ranges selbst definiert, die er als vertrauenswürdig hält (default dann wie bisher) ?

    Damit wäre die Option flexibler nutzbar...

    Merci für Feedback,

    Oliver

  4. #4
    Registriert seit
    Oct 2010
    Ort
    HH
    Beiträge
    4,613

    es gibt mindestens ein konkretes Beispiel hier im Forum, wo genau das fatal wäre: wenn nämlich (warum auch immer) das eigene LAN eine Range aus dem öffentlichen Bereich hat.
    Ich denke, so wie es jetzt ist, hat es das höchste (Standard- was auch immer das im Detail beteuten mag) Schutzpotenzial - auch wenn es "Experten" manchmal nicht genügen mag.
    Anders herum: Wenn schon ein VPN-Zugang gewährt wurde (und der nicht vertrauenswürdig ist) ist ja eh schon Hopfen und Malz verloren..
    mit gebücktem Gruss
    Raketenschnecke
    IPS-Projekte und -Tools auf
    www.raketenschnecke.net

  5. #5
    Registriert seit
    Apr 2010
    Ort
    Oberbayern
    Beiträge
    4,935

    Da bin ich nicht ganz bei Euch. Es ist in jedem Falle sinnvoll vertrauenswürdige Netze dediziert festlegen zu können und nicht alle privaten Segmente nach dem Giesskannenprinzip freizugeben. Gut - ist besser als nichts aber optimal ist anders.
    Grüsse, Kronos.
    Wenn am Anfang alles schief geht, nenne es Version 1.0
    IPS 5.4 auf Server 2016 / HM mit CCU2 (RaspberryMatic) + LAN-Adapter + LAN- & Wired Gateway, 241 Geräte / XBee Pro (Roomba) / RoboRock S50 / RGB-W 868 / MiLight / EKM 868 / AKM / ein Rudel Squeezeboxen+Pi / EM24DIN+VS102 / AM 220 AC / PlugWise / VU+ / ALL4x00 / LevelJet / IRTRans / Echos diverse / Harmony / Sainlogic / viel zu wenig Zeit


    Einfach mal rein schauen: IPS-Chat

  6. #6
    Registriert seit
    May 2011
    Ort
    70771 Leinfelden Echterdingen
    Beiträge
    92

    Also, ich sehe das auch ein wenig differenzierter.
    @Raketenschnecke: Das mit der öffentlichen IP-'Range in einem "privaten" Netz ist außen vor. Die Folgen kann man sich einfach ausmalen....

    Sobald IPS in einem Einsatzbereich ist (gewerblich oder auch privat) in dem 2 Subnetze in der Infrastruktur vorhanden sind, ist dies ein mögliches Thema.

    Was spricht denn dagegen, die bekannten privaten Subnetze als Default vorzugeben, und dennoch editierbar zu machen, so dass feiner abgestimmte Szenarien möglich sind?

  7. #7
    Registriert seit
    Oct 2010
    Ort
    HH
    Beiträge
    4,613

    Zitat Zitat von fischeor Beitrag anzeigen
    @Raketenschnecke: Das mit der öffentlichen IP-'Range in einem "privaten" Netz ist außen vor. Die Folgen kann man sich einfach ausmalen....
    ich nur im Groben, deshalb lass ich die Finger von sowas
    Aber wenn ein User sowas macht, sind ihm mit Sicherheit auch die Folgen nicht klar (wir reden vom Privatuser). Aber man kann nicht jeden vor Allen Eventualitäten schützen. Aber vor Vielem.

    Zitat Zitat von fischeor Beitrag anzeigen
    Sobald IPS in einem Einsatzbereich ist (gewerblich oder auch privat) in dem 2 Subnetze in der Infrastruktur vorhanden sind, ist dies ein mögliches Thema.

    Was spricht denn dagegen, die bekannten privaten Subnetze als Default vorzugeben, und dennoch editierbar zu machen, so dass feiner abgestimmte Szenarien möglich sind?
    Überzeugt, für mich plausible Argumente
    mit gebücktem Gruss
    Raketenschnecke
    IPS-Projekte und -Tools auf
    www.raketenschnecke.net

  8. #8
    Registriert seit
    Apr 2010
    Ort
    Oberbayern
    Beiträge
    4,935

    Zumal die Absicherung des Webfronts und des direkten Zugriffes am Webfront vorbei ja schon mehrfach an anderer Stelle diskutiert worden sind. Und ich kann mir nicht vorstellen, dass der Aufwand zumindest einen gewissen Mindestschutz darzustellen besonders hoch ist.
    Grüsse, Kronos.
    Wenn am Anfang alles schief geht, nenne es Version 1.0
    IPS 5.4 auf Server 2016 / HM mit CCU2 (RaspberryMatic) + LAN-Adapter + LAN- & Wired Gateway, 241 Geräte / XBee Pro (Roomba) / RoboRock S50 / RGB-W 868 / MiLight / EKM 868 / AKM / ein Rudel Squeezeboxen+Pi / EM24DIN+VS102 / AM 220 AC / PlugWise / VU+ / ALL4x00 / LevelJet / IRTRans / Echos diverse / Harmony / Sainlogic / viel zu wenig Zeit


    Einfach mal rein schauen: IPS-Chat

  9. #9
    Registriert seit
    May 2011
    Ort
    70771 Leinfelden Echterdingen
    Beiträge
    92

    Ok,

    wäre das jetzt der richtige Moment daraus ein Feature-Request zu machen ?

    Grüße,

    Oli

  10. #10
    Registriert seit
    Aug 2017
    Beiträge
    7

    Standard Definition Externer Zugriff

    Zitat Zitat von paresy Beitrag anzeigen
    Extern definiert sich durch folgende Subnetze:
    Code:
    10.0.0.0/8          Private-Use Networks       RFC 1918
    127.0.0.0/8         Loopback                   RFC 1122, Section 3.2.1.3
    169.254.0.0/16      Link Local                 RFC 3927
    172.16.0.0/12       Private-Use Networks       RFC 1918
    192.168.0.0/16      Private-Use Networks       RFC 1918
    Quelle: RFC 5735 - Special Use IPv4 Addresses, Chapter 4.

    Es hat also nichts mit deinem Adressraum zu tun, sondern es werden nur die generell als "Intern/Privat" definierten Adressen überprüft.

    paresy
    Hi Paresy,
    kann ich dies inzwischen konfigurieren? In einer "sauberen" Umgebung sollte die Automatisation getrennt sein vom Rest der Welt sprich "Gäste WLan", "Kinderzimmer" etc.
    Was ist mit IP6?
    Wertet der Webserver den "X-Forwarder-For" Header aus?
    Wenn Nein, wäre cool wenn ihr den X-Forwarder-For auswertet z.B. wenn er gesetzt ist und eine Public IP beinhaltet, dann Zugriff von aussen.

    Gruss
    Mike

Ähnliche Themen

  1. Webfront Zugriff intern/extern Frage
    Von critical_limit im Forum WebFront
    Antworten: 5
    Letzter Beitrag: 20.10.11, 13:12
  2. Antworten: 2
    Letzter Beitrag: 08.10.11, 08:45
  3. Kein Zugriff auf Webfront im Netzwerk
    Von chris_basi im Forum WebFront
    Antworten: 11
    Letzter Beitrag: 11.01.11, 18:30
  4. Externer Zugriff auf WebFront?
    Von Heidewinkler im Forum WebFront
    Antworten: 100
    Letzter Beitrag: 07.12.10, 09:24
  5. Konfiguration von WebFront Retro / Retro Mobile / iFront
    Von Horst im Forum Allgemeine Diskussion (2.x/3.x)
    Antworten: 0
    Letzter Beitrag: 19.08.09, 05:05