Zugriffskontrolle mit IP-Beschränkung

Die Seite für die Zugriffskontrolle ermöglicht es den Besitzern, den Zugriff auf die Webkonsole und den Splashtop On-Prem-Client mit IP-Beschränkung zu verwalten.

system-access control page.png

Schritt 1

Melden Sie sich als Besitzer bei der Verwaltungskonsole des Gateways an, gehen Sie zu System > Zugriffskontrolle, aktivieren Sie IP-Zugriffsbeschränkungen für Splashtop On-Prem-Client oder Webkonsole. Darüber hinaus kann der Besitzer verschiedene Anzeigemethoden für den verweigerten Zugriff auf die Webkonsole auswählen.

web console.png

Schritt 2

Geben Sie die zulässige IP-Adresse unter "IP-Bereiche" ein. Der Benutzer kann sich nicht am Client anmelden, wenn die IP-Adresse nicht in der Liste der zulässigen IP-Bereiche enthalten ist.

choose what to display.png

Schritt 3

Klicken Sie auf die Schaltfläche "Speichern", um die Einstellungen zu speichern.

Hinweis:

Derzeit werden fehlgeschlagene Zugriffsversuche aufgrund der Zugriffskontrolle auf die Webkonsole nicht in der Webkonsole protokolliert, sondern in den Debug-Logs aufgezeichnet. Dieser Ansatz basiert sowohl auf Sicherheits- als auch auf Designüberlegungen, insbesondere für systembezogene Aktivitäten, die vor jeder Authentifizierung oder Autorisierung stattfinden.

Gründe:

Sicherheit gegen DDoS- und Brute-Force-Angriffe:

  • Einer der Gründe, diese Logs auf die Debug-Logs zu beschränken, ist die Minderung potenzieller Risiken durch DDoS- oder Brute-Force-Angriffe.
  • Diese fehlgeschlagenen Versuche könnten böswillige Aktivitäten darstellen (z. B. wiederholte Zugriffsversuche von verschiedenen IP-Adressen).
  • Die Protokollierung in der Webkonsole könnte eine große Menge irrelevanter oder sensibler Daten offenlegen und das System anfällig für Log-Flutungen während eines Distributed Denial-of-Service (DDoS)-Angriffs machen.
  • Durch die Verarbeitung dieser Logs im Debug-Modus reduzieren wir die Sichtbarkeit solcher Aktivitäten für Angreifer und ermöglichen Administratoren, in einer sicheren, kontrollierten Umgebung zu überwachen und zu untersuchen.

Keine Autorisierungs- oder Kontokontext:

  • Da diese fehlgeschlagenen Versuche vor der Anmeldung auftreten, sind sie nur mit der ursprünglichen IP-Adresse verbunden, nicht mit einem spezifischen Konto oder Autorisierungsprozess.
  • Das Einfügen dieser Daten in die für organisationsbezogene Aktivitäten ausgelegte Webkonsole könnte zu Missverständnissen oder irrelevanten Daten für Benutzer führen, da kein Kontokontext oder umsetzbare Einblicke vorliegen.

Sicherheit und Betriebseffizienz:

  • Das Protokollieren von ereignisreichen, aber wenig wertvollen Ereignissen wie fehlgeschlagenen Zugriffsversuchen in der Webkonsole könnte während hochfrequentierter Szenarien wie eines DDoS-Angriffs Leistungsprobleme verursachen.
  • Durch das Auslagern dieser Logs in die Debug-Logs erhalten wir die Leistung der Webkonsole und schützen sensible Sicherheitsdaten.
2 von 3 fanden dies hilfreich