Standardregeln

Die Richtlinie für Remote-Zugriff definiert die Liste von IP-Adressen und/oder Hostnamen, über die Benutzer und Administratoren auf diese Organisation zugreifen können.

Einstellungen für registrierten Zugriff können auf Benutzer oder Administratoren angewendet werden. Die Bezeichnung Administratoren umfasst Dateiadministratoren und Administratoren. Die Bezeichnung Benutzer umfasst Benutzer und Temp. Benutzer. WebPost-Regeln gelten für anonyme Benutzer, die WebPosts in das MOVEit Transfer-System übermitteln, sich jedoch niemals anmelden.

Der registrierte Zugriff für Systemadministratoren wird im Abschnitt Remote Access (Remote-Zugriff) von System Settings (Systemeinstellungen) konfiguriert. (Weitere Informationen finden Sie unter Webschnittstelle – Einstellungen – Ad Hoc Transfer – Zugriff – Nicht registrierte Sender > Remote-Zugriffsregeln für nicht registrierte Sender.)

Diese Einstellungen können auch durch benutzerdefinierte IP/Hostname-Regeln für bestimmte Benutzer überschrieben werden. (Einige Organisationen ziehen es vor, diese Standardeinstellungen leer zu lassen und NUR spezifischen IP-Zugriff für jeden Benutzer zuzulassen.)

Standardmäßig können sich Administratoren und Benutzer nur an der lokalen Konsole anmelden. Aus diesem Grund befindet sich auf der Homepage von Administratoren ein Hinweis, diesen Zugriff beim Festlegen der Standardwerte zu erweitern. Und dies ist auch der Grund, warum Systemadministratoren die Möglichkeit erhalten, den Bereich der zulässigen Adressen beim Erstellen einer neuen Organisation zu erweitern. Ebenfalls standardmäßig können anonyme WebPost-Benutzer Informationen an MOVEit Transfer übermitteln, sie können jedoch keine neuen WebPost-Ordner erstellen.

Anmerkung: MOVEit Transfer unterstützt keinen Remote-Zugriff über IPv6-Adressen (Clients). Um Verbindungsprobleme zu vermeiden, empfehlen wir, IPv6-Adressen auf dem MOVEit Transfer-Server zu deaktivieren. Um IPv6 in Windows zu deaktivieren, öffnen Sie das Dialogfeld „Local Area Connection Properties“ (Eigenschaften von LAN-Verbindung) für die Netzwerkkarte und stellen sicher, dass die Eigenschaft „Internet Protocol Version 6 (TCP/IPv6)“ (Internetprotokoll Version 6 (TCP/IPv6)) deaktiviert ist.

Zusätzlich zu den Zugriffsregeln für Hosts können Sie eine Liste von vertrauenswürdigen Hosts für eine Organisation festlegen. Ein Host in der Liste der vertrauenswürdigen Hosts umgeht die normalen IP-Sperren- und Sitzungs-IP-Konsistenzüberprüfungen. Denn wenn ein Benutzer sich über einen vertrauenswürdigen Host bei der Organisation anmeldet, funktioniert dies wie eine Anmeldung am localhost. Weitere Informationen finden Sie im Abschnitt „Vertrauenswürdige Hosts“ in diesem Dokument.

Die Regelliste für den Remote-Zugriff enthält folgende Abschnitte:

  • Remote-Zugriffsregeln für Administratoren und Dateiadministratoren: Eine Zugriffsliste, die bestimmt, über welche IP-Adressen oder Hostnames Administratoren oder Dateiadministratoren standardmäßig eine Verbindung herstellen können.
  • Remote-Zugriffsregeln für Benutzer: Eine Zugriffsliste, die bestimmt, über welche IP-Adressen oder Hostnames Endbenutzer standardmäßig eine Verbindung herstellen können.
  • Remote-Zugriffsregeln für WebPosts: Eine Zugriffsliste, die bestimmt, über welche IP-Adressen oder Hostnames anonyme Benutzer WebPosts SENDEN und/oder ORDNER HINZUFÜGEN können. (Neue WebPost-Ordner können automatisch hinzugefügt werden, wenn ein neuer Formulartyp mit der Übermittlung von Webinformationen beginnt – weitere Informationen finden sie im Hilfeabschnitt zu WebPosts.)
Anmerkung: Siehe auch Remote-Zugriffsregeln für nicht registrierte Sender auf der Seite Nicht registrierte Sender.

In jedem Abschnitt sind alle aktuellen Regeln enthalten. Zur Laufzeit werden die Regeln in der hier dargestellten Reihenfolge von oben nach unten verarbeitet.

Für jede Regel gibt es mehrere Spalten, wie folgt:

  • Regel: Ob die Regel den Zugriff zulässt oder verweigert.
  • Hostname/IP: Die IP-Adresse oder der Hostname jeder Regel.
  • Kommentar: Ein Hinweis oder Notizen des Administrators. Alles, was hier angegeben wird, dient nur zu Informationszwecken und hat sonst keine Auswirkungen auf die Regel.

Zusätzlich wird über eine Schaltfläche Edit Access Rules (Zugriffsregeln bearbeiten) für jeden Abschnitt (unter der letzten Regel des Abschnitts) eine separate Seite für jeden Abschnitt geöffnet, d. h. jeweils eine Seite für Remote-Zugriffsregeln für Administratoren und Dateiadministratoren, für Remote-Zugriffsregeln für Benutzer und für Remote-Zugriffsregeln für WebPosts.

Regel-Aktionen

Durch Klicken auf Edit Access Rules (Zugriffsregeln bearbeiten) in einem Regel-Abschnitt wird eine separate Seite für diesen Abschnitt geöffnet. Es gibt separate Seiten mit Remote-Zugriffsregeln für Administratoren und Dateiadministratoren (siehe weiter unten), Remote-Zugriffsregeln für Benutzer sowie Remote-Zugriffsregeln für WebPosts.

Es gibt u.a. folgende Aktionen:

  • Priorität zuweisen. Zum Verschieben der Regel nach oben und nach unten – Regeln oben in der Liste werden zuerst verarbeitet. (Diese Schaltflächen werden nur ab zwei oder mehr Regeln angezeigt.)
  • Bearbeiten. Ermöglicht Administratoren das Ändern der Regeldetails; öffnet die Seite „Edit Remote Access Rule“ (Remote-Zugriffsregel bearbeiten).
  • Löschen. Entfernt die Regel aus der Zugriffsliste.

Zusätzlich kann über den Link Add Remote Access Rule (Remote-Zugriffsregel hinzufügen), der sich unter der letzten Regel befindet, die Seite „Add Remote Access Rule“ (Remote-Zugriffsregel hinzufügen) geöffnet werden, auf der neue Regeln hinzugefügt werden können.

Die Seiten „Add Remote Access Rule“ (Remote-Zugriffsregel hinzufügen) und „ Edit Remote Access Rule“ (Remote-Zugriffsregel bearbeiten)

Anmerkung: Die Seite Add Remote Access Rule (Remote-Zugriffsregel hinzufügen) (geöffnet über die Schaltfläche Add Remote Access Rule) und die Seite Edit Access Rule (Zugriffsregel bearbeiten) (geöffnet über die Schaltfläche Edit (Bearbeiten) sind gleich, mit der Ausnahme, dass die Seite zum Bearbeiten der Zugriffsregel mit vorhandenen Werten für die ausgewählte Regel ausgefüllt wird.

Die Felder hier definieren einen Hostname/eine IP-Adresse oder eine Bereichskombination und ob diese zulässig oder nicht zulässig ist. Einer einzelnen Regel kann eine Priorität zugewiesen werden, damit sie in Kombination mit anderen Zugriffsregeln verwendet werden kann. Für eine neue Regel füllen Sie die Felder aus, um eine neue Regel für Remote-Zugriff zu erstellen, und klicken Sie dann auf die Schaltfläche „Add Entry“ (Eintrag hinzufügen). Oder ändern Sie bei einer vorhandenen Regel Felder und klicken Sie dann auf die Schaltfläche „ Update Entry“ (Eintrag aktualisieren).

Folgende Felder und Schaltflächen befinden sich auf dieser Seite:

  • Regel: Werte, die Sie auswählen können, sind „Allow“ (Zulassen) oder „Deny“ (Ablehnen).
  • Hostname/IP: Texteingabefeld für einen Hostname oder eine IP-Adresse. Beide Typen können Platzhalterzeichen enthalten und die IP-Adressen können als Bereich erscheinen. Beispiele sind jsmith.mycompany.com, *.mycompany.com, 11.22.33.44, 11.22.33.* und 11.22.33.44-55.
  • Priority (Priorität). (Wird nur für die Seite Add... (...hinzufügen) und nicht für die Seite Edit... (...bearbeiten) angezeigt.) Zum Festlegen der Anfangsplatzierung in der Liste (ob oben, unten oder in der Mitte). Folgende Werte können ausgewählt werden: Highest, Middle oder Lowest (Höchste, Mittlere oder Niedrigste).
  • Comment (Optional) (Kommentar, optional): Texteingabefeld.
  • Add Entry / Update Entry (Eintrag hinzufügen/Eintrag aktualisieren): Klicken Sie auf diese Schaltfläche, um die Seite zu schließen und die neue Regel der Regelliste hinzuzufügen oder die vorhandene Regel in der Liste zu aktualisieren.

Hostname/IP-Masken

Hostname-/IP-Einträge können einzelne Hostnames, einzelne IP-Adressen oder Masken sein, die mit einer Reihe von Hostnames oder Adressen abgeglichen werden können. Ein Sternchen (*) kann jedem Wert in einer bestimmten Position entsprechen. Beispiel: 2* entspricht 23 oder 213, *cat entspricht Tomcat und Bobcat und * kann diesen allen entsprechen.

Ein Bindestrich (-) entspricht numerischen Werten, die den Zahlen auf jeder Seite des Bindestrichs entsprechen oder dazwischen liegen. Beispiel: 2-4 entspricht 2, 3 und 4, jedoch nicht 1 oder 5.

Entscheidungen (Zulassen/Ablehnen)

Wenn eine eingehende IP-Adresse oder Hostname geprüft wird, werden Regeln von oben nach unten verarbeitet. Die erste Regel, die der eingehenden IP-Adresse bzw. dem Hostname entspricht, ist die Regel, die den Zugriff zulässt oder ablehnt.

Standardmäßig werden alle IP-Adressen und Hostnames abgelehnt, wenn sie nicht bis zum Ende der Liste vorhanden sind.

Spezifische IP-Adressen und Hostnames (z. B. 192.168.3.4 oder test.stdnet.com) sollten oben in der Liste stehen. Bereiche von IP-Adressen und Hostnames (z. B. 192.168.3.* oder *.stdnet.com) sollten in der Mitte der Liste stehen. Umfassende Einträge (z. B. 192.*.*.* oder *.edu) sollten unten in der Liste gehen.

Beispiel

Gegeben sei folgende Zugriffsliste...

Zulassen/Ablehnen

IP-Adresse oder Hostname

ZULASSEN

192.168.3.24

ZULASSEN

test.stdnet.com

ZULASSEN

192.168.4.*

ZULASSEN

*.bed.stdnet.com

ABLEHNEN

192.168.5.1-64

ZULASSEN

192.168.5.*

...dann wird für folgende Adressen der Zugriff zugelassen oder abgelehnt:


                        

                            
Eingehende Adresse

                            
Zugelassen

                            
Grund

                        

                    
                        

                            
192.168.3.24

                            
JA

                            
Entspricht „192.168.3.24 ZULASSEN“

                        

                        

                            
test.stdnet.com

                            
JA

                            
Entspricht „test.stdnet.com ZULASSEN“

                        

                        

                            
192.168.4.21

                            
JA

                            
Entspricht „192.168.4.* ZULASSEN“

                        

                        

                            
feather.bed.stdnet.com

                            
JA

                            
Entspricht „*.bed.stdnet.com ZULASSEN“

                        

                        

                            
192.168.5.21

                            
NEIN

                            
Entspricht „192.168.5.1-64 ABLEHNEN“

                        

                        

                            
192.168.5.121

                            
JA

                            
Entspricht „192.168.5.* ZULASSEN“

                        

                        

                            
192.168.6.34

                            
NEIN

                            
Entspricht keinem Eintrag

                        

                    

        
Konsolenverbindungen
Wenn ein Benutzer sich beim MOVEit Transfer-Server über einen Webbrowser anmeldet, der auf demselben Computer ausgeführt wird wie der MOVEit Transfer-Server selbst, gilt dieser Benutzer als bei der Konsole angemeldet, wenn er die Verbindung zu MOVEit Transfer über eine URL herstellt, die mit http://localhost... oder http://127.0.0.1... beginnt, und nicht über die übliche http://MOVEitDMZ.nowhere.com...- URL.
Diese Konsolenverbindungen unterliegen NICHT der Remote-Zugriff-Liste. Diese Ausnahme verhindert, dass Systemadministratoren sich mit einer leeren Zugriffsliste selbst aussperren, denn sie können sich immer an dem Computer anmelden, auf dem MOVEit Transfer ausgeführt wird. Um unautorisierten Zugriff auf MOVEit Transfer über die Konsole zu verhindern, muss besondere Sorgfalt angewendet werden, um die Sicherheit von Windows-Benutzern in MOVEit Transfer sowie die physische Sicherheit des Servers selbst zu gewährleisten.

        
Trusted Hosts (Vertrauenswürdige Hosts)
Diese Funktion ermöglicht es Organisationsadministratoren, einen Host als vertrauenswürdigen Host für ihre Organisation festzulegen und für diesen Host die gleichen Rechte zuzulassen wie für den Localhost.
Im Normalbetrieb umgehen Clients, die über eine der lokalen Schnittstellen auf MOVEit Transfer zugreifen, die normalen IP-Sperren- und Sitzungs-IP-Konsistenzüberprüfungen. Dadurch können Dienste wie der MOVEit Transfer-FTP-Server und der MOVEit Transfer-SSH-Server ordnungsgemäß arbeiten und die IP-Adresse des Clients für Anzeige- und Protokollierungszwecke darstellen. Von einem vertrauenswürdigen Host werden diese Überprüfungen ebenfalls umgangen.
Diese Funktion kann in folgenden Situationen verwendet werden:
    
                
  • Um Computeranfragen von einem vertrauenswürdigen Host zuzulassen, der eine IP-Adresse als effektive IP-Adresse für Computertransaktionen liefert. (Dies ist das XML-Element „<IPADDRESS>“ in der MOVEit Transfer-API). Diese Funktion wird am häufigsten verwendet, wenn die MOVEit Transfer-API in einer separaten Webanwendung verwendet wird, um Single Sign-On-Zugriff auf MOVEit Transfer zu ermöglichen. Die API-Sitzung kann dadurch an den Client-Browser und wieder zurück übertragen werden, und die API kann außerdem die IP-Adresse des Clients für Anzeige- und Protokollierungszwecke darstellen.
    • 
                
  • Um MOVEit das Umleiten an einen vertrauenswürdigen Host zu erlauben, nachdem ein Nicht-Assistenten-Upload durchgeführt wurde.
    • 
                
  • Um zuzulassen, dass sich Benutzer von einem vertrauenswürdigen Host anmelden, unabhängig von anderen Berechtigungen und/oder IP-Sperren, die für diesen Host eingestellt wurden.
    Wenn eine Person versucht, sich als bestehender Benutzer anzumelden, und ständig fehlschlägt, ist möglicherweise die IP-Adresse gesperrt. Vertrauenswürdige Hosts können verwendet werden, um das Sperrverhalten zu überschreiben. Die mit der Organisation des Benutzers verbundenen Einträge vertrauenswürdiger Hosts werden abgefragt, und wenn die IP-Adresse des Clients mit einem vertrauenswürdigen Host übereinstimmt, wird diese IP-Adresse nicht gesperrt. Wenn die fehlgeschlagenen Versuche als Benutzer durchgeführt werden, der nicht vorhanden ist, und keine Organisation angegeben wird, werden die Einträge vertrauenswürdiger Hosts für die Standardorganisation abgefragt.
    • 
                
  • Um zuzulassen, dass Benutzer IP-Adressen innerhalb einer Sitzung ändern, wenn die alte bzw. die neue IP-Adresse vertrauenswürdig ist, unabhängig von der IP-Wechsel-Maske.
    • 
            
Anmerkung:  Vertrauenswürdige Hosts umgehen viele der in MOVEit Transfer integrierten Standardsicherheitsvorkehrungen, um unautorisierte Zugriffe zu verhindern. FÜGEN SIE NIEMALS DIESER LISTE EINEN HOST HINZU, WENN ZWEIFEL BESTEHEN! Aus Sicherheitsgründen wird auch die Maske All IPs (Alle IPs) von *.*.*.* nicht als Eintrag eines vertrauenswürdigen Hosts zugelassen.
So fügen Sie der Liste vertrauenswürdiger Hosts einen Eintrag hinzu:
    
                
  1. Klicken Sie unter „Trusted Hosts“ (Vertrauenswürdige Hosts) auf Edit Access Rules (Zugriffsregeln bearbeiten). 
    2. 
                
  2. Klicken Sie auf Add Remote Access Rule (Remote-Zugriffsregel hinzufügen).
    3. 
                
  3. Geben Sie einen Hostnamen oder eine IP-Adresse ein, sowie optional einen Kommentar oder eine Beschreibung, und klicken Sie dann auf Add Entry (Eintrag hinzufügen).
    Das Feld Hostname/IP kann entweder einen Hostnamen oder eine IP-Adresse enthalten. Beide Typen können Platzhalterzeichen enthalten und die IP-Adressen können als Bereich erscheinen. Beispiel: 11.22.33.44, 11.22.33.*, 11.22.33.44-55, jsmith.mycompany.com, *.mycompany.com.
    Anmerkung: Hostnamen und IP-Adressen sind nicht austauschbar. Wenn myhost1 in 192.168.1.200 aufgelöst wird und die Liste myhost1 enthält, jedoch nicht 192.168.1.200, können Benutzer über URLs, die mit https://myhost1 beginnen, auf den Host zugreifen, jedoch nicht über URLs, die mit https://192.168.1.200 beginnen.
    4. 
            
Nachdem Sie den Eintrag hinzugefügt haben, wird er in der Liste der zugelassenen Hosts angezeigt.
    
                
  1. Wenn Sie zur Liste der vertrauenswürdigen Hosts zurückkehren, wird der Eintrag auch dort angezeigt.
    2. 
            

        
So verschieben Sie einen Host-Eintrag:
Verwenden Sie die Pfeil-Schaltflächen, um den Eintrag in der Prioritätsliste nach oben und unten zu verschieben – Einträge oben in der Liste werden zuerst verarbeitet. (Diese Schaltflächen werden nur ab zwei oder mehr Einträgen angezeigt.)

        
So bearbeiten Sie einen Host-Eintrag:
Suchen Sie den Eintrag in der Liste der zugelassenen Hosts, klicken Sie auf die Schaltfläche Edit (Bearbeiten) und nehmen Sie Ihre Änderungen vor.

        
So löschen Sie einen Host-Eintrag:
Suchen Sie den Eintrag in der Liste der zugelassenen Hosts. Wählen Sie neben dem Eintrag Delete (Löschen) aus. Wählen Sie dann Yes (Ja) aus, um die Löschung zu bestätigen.

        
IP-Sperren
Wenn eine IP-Adresse gesperrt wird, ist sie an einem bestimmten Standort über alle Organisationen hinweg gesperrt. Jeder Administrator kann eine IP-Adresse entsperren, wobei es möglich ist, IP-Adressen einzeln nacheinander oder alle gleichzeitig über den Link Unlock All IP Addresses (Alle IP-Adressen entsperren) zu entsperren. Wenn eine IP-Adresse entsperrt wird, ist sie für alle Organisationen entsperrt. Wenn eine IP-Adresse gesperrt wird, erhalten außerdem alle SysAdmin-Benutzer, deren Notification-Eigenschaft auf „On+Admin“ (Ein+Admin) festgelegt ist, eine E-Mail-Benachrichtigung, dass die Sperre gesetzt wurde. Wenn nur eine Nicht-System-Organisation konfiguriert ist, erhalten Admin-Benutzer in der Organisation, deren Notification-Eigenschaft auf „On+Admin“ (Ein+Admin) festgelegt ist, ebenfalls E-Mail-Benachrichtigungen.
Nur Systemadministratoren können eine IP-Sperrrichtlinie festlegen. (Weitere Informationen finden Sie im Abschnitt IP-Sperrrichtlinie der Seite „Systemrichtlinie für Remote-Zugriff“. Ab Version 4.0 sind IP-Aussperrungen standardmäßig aktiviert und so eingestellt, dass IP-Adressen nach 15 fehlgeschlagenen Versuchen in einem Zeitraum von 5 Minuten gesperrt werden. 
Wenn Sie eine IP-Adresse entsperren, bleibt der Benutzer, der die IP-Sperre ausgelöst hat, weiterhin gesperrt und inaktiv. Sie können den Kontostatus des Benutzers im Benutzerprofil ändern.

        
IP-Wechsel
Um IP-Hijacking zu verhindern, erlaubt MOVEit Transfer normalerweise nicht, dass die von einer Sitzung verwendete IP-Adresse im Verlauf dieser Sitzung geändert wird. Einige Firewalls und Proxyserver verwenden jedoch Pools von IP-Adressen, um sie Benutzern, die auf das Internet zugreifen, zuzuweisen, und können manchmal einem Benutzer, selbst in einer einzelnen Sitzung, verschiedene IP-Adressen zuweisen. Um diesen Benutzern vollen Zugriff auf den Server zu ermöglichen, können Administratoren mithilfe der Funktion IP-Wechsel einen zulässigen Bereich festlegen, in dem sich eine Sitzungs-IP ändern darf.
Standardmäßig ist die Option „IP Switching“ (IP-Wechsel) auf None (Keine) eingestellt, was einer Subnetzmaske von 255.255.255.255 oder /32 entspricht. Dadurch wird jeder IP-Adressenwechsel verhindert. Weitere verfügbare Werte sind:
    
                
  • Klasse C (255.255.255.0 oder /24): Die Sitzungs-IP-Adresse darf sich im Klasse-C-Adressteil ändern. Beispiel: Wenn die ursprüngliche Sitzungs-IP-Adresse 1.1.1.1 ist, ist der Wechsel zu 1.1.1.2 zulässig, der Wechsel zu 1.1.2.2 jedoch nicht.
    • 
                
  • Klasse B (255.255.0.0 oder /16): Die Sitzungs-IP-Adresse darf sich im Klasse-B-Adressteil ändern. Beispiel: Wenn die ursprüngliche Sitzungs-IP-Adresse 1.1.1.1 ist, ist der Wechsel zu 1.1.2.2 zulässig, der Wechsel zu 1.2.2.2 jedoch nicht.
    • 
                
  • Klasse A (255.0.0.0 oder /8): Die Sitzungs-IP-Adresse darf sich im Klasse-A-Adressteil ändern. Beispiel: Wenn die ursprüngliche Sitzungs-IP-Adresse 1.1.1.1 ist, ist der Wechsel zu 1.2.2.2 zulässig, der Wechsel zu 2.2.2.2 jedoch nicht.
    • 
                
  • Alle (0.0.0.0 oder /0): Lässt alle IP-Adressenwechsel zu.
    •