4 Replies Latest reply on Dec 21, 2017 7:17 AM by SitzRieSe

    DMZ Management Point Webseite ohne Authentifizierung?

    SitzRieSe Expert

      Hi Leute,

       

      wir betreiben für unseren Außendienstmitarbeiter ein DMZ Depot mit Management Point. Nun ist uns aufgefallen das der Aufruf ohne Authentifizierung im Browser möglich ist: https://***/blsClientManagement/ClientManagementService.asmx (Getestet von einem externen nicht DSM / Domänen integrierten System):

       

       

      Wenn ich das Depot versuche zu öffnen kommt wie erwartet ein Authentifizierungsfenster:

       

       

      Die Webseiten laufen in einem IIS und sind mit den Installationswizards von DSM konfiguriert worden. Danach wurde seitens Authentifizierung nichts mehr geändert.

       

      Wir haben uns dann die Webseiten im IIS angeschaut. Auf dem Depot war die Anonymous Authentication deaktiviert, auf der enteo_MgntPoint Webseite war diese aktiv. Ich habe die nun deaktiviert und den IIS neugestartet, aber die Webseite ist weiterhin frei zugänglich.

       

      Bevor ich nun wild am IIS rumkonfiguriere, wollte ich mal hier fragen ob das bei euch auch so ist und wenn nicht was ihr getan habt um die Authentifizierung zu aktivieren?! Aus meiner Sicht stellt das ein Sicherheitsrisiko dar, da ja das System auch per SOAP abgefragt werden kann.

       

      Danke!

       

      Gruß

       

      Alex

        • 1. Re: DMZ Management Point Webseite ohne Authentifizierung?
          SitzRieSe Expert

          Grade das in der DSMC gefunden:

           

           

          Weiß einer wie ich das ändern kann? Der Wert lässt sich nicht bearbeiten und einen Hilfeeintrag gibt es zu dem Wert nicht.

           

          Gruß


          Alex

          • 3. Re: DMZ Management Point Webseite ohne Authentifizierung?
            FrankScholer Master

            Hi Alex,

             

            was willst du denn genau wissen? Dass der Client Management Webservice standardmäßig auf "Anonymous" steht, gehört so (damit z.B. auch Clients, die sich nicht in der Domäne befinden und damit nicht die Windows Authentication nutzen können, darauf zugreifen und mit DSM verwaltet werden können).

             

            Für den Administration Webservice dagegen ist hur die Windows Authentication aktiv, damit eben nicht jeder ohne Anmeldung darauf zugreifen kann.

             

            Natürlich kannst du (und solltest vielleicht auch) den Server in der DMZ, der vermutlich ja potentiell aus dem Internet erreichbar ist (für die Außendienstmitarbeiter, falls die sich nicht per VPN in die DMZ einwählen müssen) absichern. Dazu bieten sich eigentlich Zertifikate zur Client-Authentifizierung an (bzw. sind sie genau für sowas da). Das jetzt aber im Forum zu beschreiben, wäre doch etwas zu aufwendig, schau dir aber auf jeden Fall mal das Booklet "DSM_DMZSupport_DE.pdf" im Docs\d\Booklets Unterverzeichnis an, da ist schon sehr viel beschrieben...

             

            HTH, Gruß Frank

            • 4. Re: DMZ Management Point Webseite ohne Authentifizierung?
              SitzRieSe Expert

              Hallo Frank,

               

              das hat mir schon soweit geholfen. Mir war nicht ganz klar welche Informationen nun über die Webseiten abgerufen werden können. Wenn ich das nun richtig verstehe sind somit Abfragen über SOAP so nicht möglich da dies an die blsAdministration Seite gerichtet wäre und diese entsprechend geschützt ist. Das war mir wichtig!

               

              Die Client Authentifizierung über Zertifikate konnte ich zwar grade auf die schnelle nicht im dem Booklet finden, aber da werde ich mich mal genauer schlau machen.

               

              Theoretisch aber, müsste aber auch der Client Management Webservice Passwort gesichert möglich sein, denn schließlich kann ich auch bei einer Workgroup Installation ein Domänen Konto im Agent hinterlegen der sich dann mit diesem Konto an dem IIS authentifizieren könnte. Genau so ist ja auch der HTTPS Depot Zugriff gelöst. Oder vergesse ich hier etwas bei meiner Überlegung? Ansonsten würde ich dafür nämlich mal ein FR aufmachen.


              Gruß


              Alex