KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente TSplus? Diventa Partner CoreTech e visita il nostro configuratore prezzi

TSplus Advanced Security - Homeland Access Protection

TSplus Advanced Security - Homeland Access Protection

Questa funzione dell’interfaccia utente ordinaria di TSplus Advanced Security offre all’amministratore di sistema di limitare l'accesso remoto da altri paesi che non siano quello definito come nazione di residenza del Remote Desktop Server. In questo tutorial spiegheremo come funziona e in che modo si configura.

Limitare l’accesso remoto per area geografica in TSplus

Per consentire l'accesso remoto solo da paesi specifici, dopo essere entrati nell’interfaccia utente ordinaria di TSplus Advanced Security andate nel menù a sinistra e cliccate su Homeland, così da aprire l’area Homeland Access Protection; in questa finestra fate clic sul pulsante "Allow connections only from this list of countries" e poi fate clic sul pulsante "Add country" (immagine seguente).

 
 

Si apre un popup che offre un elenco di nazioni; da qui seleziona il Paese che desiderate aggiungere all'elenco.
Potete anche scegliere di selezionare la casella sottostante per sbloccare tutti gli indirizzi IP precedentemente bloccati per il Paese selezionato ponendo la spunta sulla relativa casella nella finestra di dialogo Add Country, come esemplificato nell’immagine seguente.


Infine fate clic sul pulsante "Add Country" per tornare alla schermata principale della funzione.
Ricordate che per salvare le modifiche dovete fare clic sul pulsante "Apply Now".

Nell’esempio proposto dall’immagine seguente, l'accesso remoto è consentito agli utenti che si connettono da Stati Uniti, Irlanda e Francia.



Notate che quando si fa clic sul pulsante "Apply Now" viene visualizzato a schermo un messaggio di conferma per evitare di bloccare utenti eventualmente connessi, laddove si vada a modificare lo stato di una nazione; fate clic su "yes" per confermare e applicare le modifiche.


Limitare l'accesso da Internet

La funzione Homeland Access Protection può essere configurata per limitare l'accesso al vostro Remote Desktop Server solo agli utenti che si connettono da determinati indirizzi IP privati e autorizzati, selezionando il pulsante d’opzione corrispondente come mostrato nell’immagine seguente.

 

Per impostazione predefinita, Homeland Access Protection consente l'accesso agli utenti che si connettono da tutto il mondo e quindi appare selezionata l’opzione “Allow connections from anywhere” che è la prima dall’alto nell’immagine precedente.

Sblocco degli indirizzi IP bloccati

Quando un indirizzo IP viene bloccato dalla funzione Homeland Access Protection, viene visualizzato nella finestra Blocked IP addresses. Gli indirizzi IP bloccati possono quindi essere sbloccati ed eventualmente aggiunti all'elenco degli indirizzi IP consentiti (Allowed IP addresses).
Se un utente viene bloccato, consigliamo di provare a connettersi da qualsiasi paese consentito su TSplus Advanced Security, ad esempio connettendosi da un altro server remoto o utilizzando un servizio VPN. È inoltre possibile utilizzare una sessione della console per connettersi, poiché questa sessione non è una sessione remota e non verrà bloccata da TSplus Advanced Security.

Se modificate le impostazioni di nazione da Homeland Access Protection, verificate sempre di aver selezionato la nazione da cui siete attualmente connessi, perché in caso contrario, il vostro indirizzo IP verrà bloccato rapidamente dopo aver applicato le impostazioni, disconnettendovi e impedendovi irrevocabilmente di riconnettervi dallo stesso indirizzo IP. Se ciò accade, dovete adottare artifici come quelli già descritti, ovvero passare da un IP di una nazione consentita.
Considerate sempre di aggiungere il vostro indirizzo IP all’elenco degli indirizzi IP consentiti per evitare di essere bloccati dalle funzioni di protezione dell'accesso nazionale o di protezione bruteforce.

Caratteristiche di Homeland Access Protection di TSplus

Homeland Access Protection controlla la connessione di rete TCP in entrata, sia essa basata su protocollo IPv4 che IPV6 (tranne quando è configurata la modalità API Windows legacy).

Processi - Per impostazione predefinita, Homeland Access Protection ascolta le connessioni inviate al server Web di TSplus Remote Access, se installato. Il nome del processo corrispondente è HTML5 Service. Se desideri disabilitarne il monitoraggio o controllare le connessioni destinate ad altri processi, vai su Settings > Advanced > Homeland.


Porte di rete - Per impostazione predefinita, Homeland Access Protection ascolta le porte predefinite utilizzate per la connessione remota a un server. Queste porte includono RDP (3389), Telnet (23) e VNC. Homeland supporta i seguenti provider VNC: Tight VNC, Ultra VNC, Tiger VNC e Real VNC, che non sono correlati in alcun modo con TSplus. Se desideri disabilitarne il monitoraggio o controllare le connessioni destinate ad altre porte, vai su Settings > Advanced > Homeland.

Meccanismi di rilevamento - Homeland Access Protection rileva le connessioni in entrata da paesi non autorizzati utilizzando tre diversi meccanismi di rilevamento:

  • API di Windows;
  • Event Tracing per Windows;
  • Firewall integrato.

Per certi aspetti, Event Tracing per Windows è un'efficiente struttura di traccia a livello di kernel che acquisisce gli eventi di rete in tempo reale. Event Tracing per Windows conviene utilizzarlo con Windows Firewall abilitato (impostazione predefinita).
Per altri, l’API di Windows funziona ottimamente con qualsiasi configurazione di rete specifica, ma può aggiungere una pressione costante sulla CPU a seconda della quantità di connessioni attive. Tenete presente che l’API di Windows non è ancora compatibile con il protocollo IPv6.

Il firewall integrato consente l'acquisizione e l'eliminazione in modalità utente dei pacchetti di rete inviati allo stack di rete di Windows. Quando il firewall integrato è configurato per bloccare le connessioni indesiderate, si consiglia di utilizzarlo per far rispettare i paesi consentiti di Homeland Access Protection.

Geolocalizzazione - TSplus Advanced Security include i dati di geolocalizzazione pubblicati da MaxMind, disponibili su http://www.maxmind.com. Se trovate un indirizzo IP non registrato nel suo paese attuale, contattate direttamente MaxMind per risolvere tale problema.

TSplus Advanced Security - Risoluzione dei problemi

Può capitare che la Homeland Access Protection non blocchi le connessioni provenienti da un Paese che in realtà non è presente nell'elenco dei Paesi autorizzati; ciò può verificarsi per l’interferenza con altri applicativi e sistemi o configurazioni descritti qui di seguito.

  • Antivirus: per bloccare un indirizzo IP, Homeland Access Protection aggiunge una regola di blocco sul firewall di Windows. Quindi, in primo luogo, il firewall deve essere attivo e inoltre dovete controllare se alcuni parametri del firewall non sono gestiti da un altro programma, come ad esempio un antivirus. In questo caso dovrete disattivare questo programma e riavviare il servizio "Windows Firewall". Potete anche contattare gli editor di programmi di terze parti e chiedere loro di trovare un modo, per il loro programma, di rispettare le regole quando viene aggiunto al firewall di Windows, ovvero capire se esistono specifici "connettori" per il firewall.
  • VPN: siccome il client remoto utilizza una VPN, Homeland Access Protection otterrà un indirizzo IP scelto dal provider VPN. I provider VPN utilizzano i relay in tutto il mondo per consentire ai propri utenti di navigare in modo anonimo. Alcuni provider VPN consentono agli utenti di definire il paese dell’inoltro, pertanto, gli utenti con provider VPN possono essere inoltrati attraverso un paese non autorizzato. Ad esempio, se un provider VPN sceglie un IP dallo Sri Lanka, questo paese deve essere autorizzato da Homeland Access Protection, altrimenti la sua connessione viene impedita. Inoltre, se la VPN utilizza un indirizzo IP aziendale interno, la protezione diventa irrilevante.
  • Firewall / Proxy: lo scopo di un firewall hardware è quello di filtrare le connessioni in entrata e in uscita per le grandi aziende. Poiché è solo un filtro, non dovrebbe modificare l'indirizzo IP di origine e quindi non dovrebbe influire sulla protezione dell'accesso alla patria. Tuttavia, un proxy cambierebbe definitivamente l'indirizzo IP di origine per utilizzare un indirizzo di rete privato, che sarà sempre consentito da Homeland Access Protection. Lo scopo principale di questa funzione è bloccare l'accesso a un server aperto a Internet. Se tutte le connessioni provengono dalla rete aziendale, la protezione diventa irrilevante.