HCL Notes / Domino / Diverses > Administration & Userprobleme
Webuser gegen Missbrauch absichern
Michael_V:
Hallo zusammen. Ich versuche seit Tagen eine Lösung gegen unbefugten Zugriff des Weblogins zu finden, da ein User permanent per Internet Passwort Lockout gesperrt wird. Fremde versuchen kontinuierlich, trotz eingeschränkten Uservarianten, über diesen Login Zugriff zu unserer Umgebung zu erhalten. Es soll bei einer einfachen Möglichkeit des Login per User und Passwort bleiben. Ein Weg, den Login auf einen speziellen und einzig gültigen Username zu konfigurieren, habe ich nicht gefunden. Auch könnte ich mir vorstellen, den Login nur über einen IP Bereich aus Deutschland einzuschränken. Das ist aber meines Wissens auch nicht möglich. Auch das Sperren der IPs, über den diese Aktionen stattfinden bringt nichts, da dann schnell ein anderer IP Bereich verwendet wird. Bin für jeden Tipp dankbar. Aktuell läuft bei uns Release 12.0.1FP1 HF54.
stoeps:
https://help.hcltechsw.com/domino/10.0.1/conf_restrictingaccessbyipaddressonthewebserver_t.html
IP einschränken geht, sogar mit wildcard.
Michael_V:
--- Zitat von: stoeps am 09.09.22 - 21:20:29 ---https://help.hcltechsw.com/domino/10.0.1/conf_restrictingaccessbyipaddressonthewebserver_t.html
IP einschränken geht, sogar mit wildcard.
--- Ende Zitat ---
Danke schon mal für diese Lösung. Werde ich die Tage mal ausprobieren und sehen, ob das überhaupt zu händeln ist.
Am liebsten wäre mir ja, dem User einen "eigenen" Loginname für den Webbereich zu geben ohne einen zweiten User dafür anlegen zu müssen. Den könnte man dann ja "wild" gestalten, so dass er nicht nachvollzogen werden kann.
omega:
Eigenartige Geschichte. Sowas verursachen bei uns die User nur selbst, wenn Ihre Geräte auf dem Traveler hartnäckig mit alten Passwörtern aufschlagen
(spez. mit mehr als einen Gerät!!!).
Ich nehme an, dass euer Server unter Windows läuft? Unter Linux hättest du es mal fail2ban versuchen können.
CarstenH:
--- Zitat von: volz-rivera-gmbh am 09.09.22 - 20:31:18 ---Es soll bei einer einfachen Möglichkeit des Login per User und Passwort bleiben. Ein Weg, den Login auf einen speziellen und einzig gültigen Username zu konfigurieren, habe ich nicht gefunden.
--- Ende Zitat ---
Selbst wenn die IP Beschränkung vorerst funktioniert dürfte es nur eine Frage der Zeit sein bis hartnäckige Angreifer einen funktionierenden Adressbereich herausfinden. Ich nehme an, ihr habt bereits Sitzungsbasierte Authentifizierung per Login Maske anstatt der Basic Authentication aktiv? Das sollte man immer zuerst umstellen denn viele automatisierte Angriffstools setzen auf HTTP Returncodes um auf Erfolg zu testen - das funktioniert mit der Loginmaske nicht mehr - diese liefert immer den Code 200 da die Webseite mit der Anmeldung ja erfolgreich geladen werden kann. Wenn die Angriffe dann trotzdem weiter stattfinden kommt dein "spezieller und einzig gültiger Username" ins Spiel.
Denn genau dafür wurde die Multifaktor Authentifizierung (MFA oder auch 2FA genannt) mittels TOTP ("time-based one-time password") in Domino integriert. Man kennt das ja bereits von anderen Webseiten (z.B. Banking, PayPal etc): man hat weiterhin User + PW aber benötigt zusätzlich eine dritte, unabhängige Komponente, die sich jedes Mal ändert (z.B. via Google/Microsoft Authenticator, Authy, oder Duo Mobile).
Hier ein Beispielvideo, wie man es einrichtet (bei 3:20 sieht man die Login-Maske mit der dritten Eingabezeile und wie ein Nutzer es beim ersten Mal aktiviert):
https://www.youtube.com/watch?v=WoP2mxN9fec
HTH
Carsten
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln