Die Seite für die Zugriffskontrolle ermöglicht es den Besitzern, den Zugriff auf die Webkonsole und den Splashtop On-Prem-Client mit IP-Beschränkung zu verwalten.
Schritt 1
Melden Sie sich als Besitzer bei der Verwaltungskonsole des Gateways an, gehen Sie zu System > Zugriffskontrolle, aktivieren Sie IP-Zugriffsbeschränkungen für Splashtop On-Prem-Client oder Webkonsole. Darüber hinaus kann der Besitzer verschiedene Anzeigemethoden für den verweigerten Zugriff auf die Webkonsole auswählen.
Schritt 2
Geben Sie die zulässige IP-Adresse unter "IP-Bereiche" ein. Der Benutzer kann sich nicht am Client anmelden, wenn die IP-Adresse nicht in der Liste der zulässigen IP-Bereiche enthalten ist.
Schritt 3
Klicken Sie auf die Schaltfläche "Speichern", um die Einstellungen zu speichern.
Hinweis:
Derzeit werden fehlgeschlagene Zugriffsversuche aufgrund der Zugriffskontrolle auf die Webkonsole nicht in der Webkonsole protokolliert, sondern in den Debug-Logs aufgezeichnet. Dieser Ansatz basiert sowohl auf Sicherheits- als auch auf Designüberlegungen, insbesondere für systembezogene Aktivitäten, die vor jeder Authentifizierung oder Autorisierung stattfinden.
Gründe:
Sicherheit gegen DDoS- und Brute-Force-Angriffe:
- Einer der Gründe, diese Logs auf die Debug-Logs zu beschränken, ist die Minderung potenzieller Risiken durch DDoS- oder Brute-Force-Angriffe.
- Diese fehlgeschlagenen Versuche könnten böswillige Aktivitäten darstellen (z. B. wiederholte Zugriffsversuche von verschiedenen IP-Adressen).
- Die Protokollierung in der Webkonsole könnte eine große Menge irrelevanter oder sensibler Daten offenlegen und das System anfällig für Log-Flutungen während eines Distributed Denial-of-Service (DDoS)-Angriffs machen.
- Durch die Verarbeitung dieser Logs im Debug-Modus reduzieren wir die Sichtbarkeit solcher Aktivitäten für Angreifer und ermöglichen Administratoren, in einer sicheren, kontrollierten Umgebung zu überwachen und zu untersuchen.
Keine Autorisierungs- oder Kontokontext:
- Da diese fehlgeschlagenen Versuche vor der Anmeldung auftreten, sind sie nur mit der ursprünglichen IP-Adresse verbunden, nicht mit einem spezifischen Konto oder Autorisierungsprozess.
- Das Einfügen dieser Daten in die für organisationsbezogene Aktivitäten ausgelegte Webkonsole könnte zu Missverständnissen oder irrelevanten Daten für Benutzer führen, da kein Kontokontext oder umsetzbare Einblicke vorliegen.
Sicherheit und Betriebseffizienz:
- Das Protokollieren von ereignisreichen, aber wenig wertvollen Ereignissen wie fehlgeschlagenen Zugriffsversuchen in der Webkonsole könnte während hochfrequentierter Szenarien wie eines DDoS-Angriffs Leistungsprobleme verursachen.
- Durch das Auslagern dieser Logs in die Debug-Logs erhalten wir die Leistung der Webkonsole und schützen sensible Sicherheitsdaten.