Webuser gegen Missbrauch absichern

[Michael_V]

Hallo zusammen. Ich versuche seit Tagen eine Lösung gegen unbefugten Zugriff des Weblogins zu finden, da ein User permanent per Internet Passwort Lockout gesperrt wird. Fremde versuchen kontinuierlich, trotz eingeschränkten Uservarianten, über diesen Login Zugriff zu unserer Umgebung zu erhalten. Es soll bei einer einfachen Möglichkeit des Login per User und Passwort bleiben. Ein Weg, den Login auf einen speziellen und einzig gültigen Username zu konfigurieren, habe ich nicht gefunden. Auch könnte ich mir vorstellen, den Login nur über einen IP Bereich aus Deutschland einzuschränken. Das ist aber meines Wissens auch nicht möglich. Auch das Sperren der IPs, über den diese Aktionen stattfinden bringt nichts, da dann schnell ein anderer IP Bereich verwendet wird. Bin für jeden Tipp dankbar. Aktuell läuft bei uns Release 12.0.1FP1 HF54.

[stoeps]

https://help.hcltechsw.com/domino/10.0.1/conf_restrictingaccessbyipaddressonthewebserver_t.html

IP einschränken geht, sogar mit wildcard.

[Michael_V]

https://help.hcltechsw.com/domino/10.0.1/conf_restrictingaccessbyipaddressonthewebserver_t.html

IP einschränken geht, sogar mit wildcard.

Danke schon mal für diese Lösung. Werde ich die Tage mal ausprobieren und sehen, ob das überhaupt zu händeln ist.
Am liebsten wäre mir ja, dem User einen "eigenen" Loginname für den Webbereich zu geben ohne einen zweiten User dafür anlegen zu müssen. Den könnte man dann ja "wild" gestalten, so dass er nicht nachvollzogen werden kann.

[omega]

Eigenartige Geschichte. Sowas verursachen bei uns die User nur selbst, wenn Ihre Geräte auf dem Traveler hartnäckig mit alten Passwörtern aufschlagen
(spez. mit mehr als einen Gerät!!!).

Ich nehme  an, dass euer Server unter Windows läuft? Unter Linux hättest du es mal fail2ban versuchen können.

[CarstenH]

Es soll bei einer einfachen Möglichkeit des Login per User und Passwort bleiben. Ein Weg, den Login auf einen speziellen und einzig gültigen Username zu konfigurieren, habe ich nicht gefunden.

Selbst wenn die IP Beschränkung vorerst funktioniert dürfte es nur eine Frage der Zeit sein bis hartnäckige Angreifer einen funktionierenden Adressbereich herausfinden. Ich nehme an, ihr habt bereits Sitzungsbasierte Authentifizierung per Login Maske anstatt der Basic Authentication aktiv? Das sollte man immer zuerst umstellen denn viele automatisierte Angriffstools setzen auf HTTP Returncodes um auf Erfolg zu testen - das funktioniert mit der Loginmaske nicht mehr - diese liefert immer den Code 200 da die Webseite mit der Anmeldung ja erfolgreich geladen werden kann. Wenn die Angriffe dann trotzdem weiter stattfinden kommt dein "spezieller und einzig gültiger Username" ins Spiel.

Denn genau dafür wurde die Multifaktor Authentifizierung (MFA oder auch 2FA genannt) mittels TOTP ("time-based one-time password") in Domino integriert. Man kennt das ja bereits von anderen Webseiten (z.B. Banking, PayPal etc): man hat weiterhin User + PW aber benötigt zusätzlich eine dritte, unabhängige Komponente, die sich jedes Mal ändert (z.B. via Google/Microsoft Authenticator, Authy, oder Duo Mobile).

Hier ein Beispielvideo, wie man es einrichtet (bei 3:20 sieht man die Login-Maske mit der dritten Eingabezeile und wie ein Nutzer es beim ersten Mal aktiviert):

https://www.youtube.com/watch?v=WoP2mxN9fec

HTH
Carsten

[schroederk]

Da wir den Domino auf einem Windows-Server laufen haben, war fail2ban für uns nicht gegeben.
Wir haben letztlich eine eigene Lösung gebaut, bei der wir die Authentifizierungsversuche aus dem Log auslesen und bei zuvielen Anmeldeversuchen innerhalb eines Zeitraums die IP auf der Firewall sperren.
Bsp. 10 Anmeldeversuche innerhalb 5 Minuten (Ein echter User wird wohl keine 10 Mal versuchen und sich schon gemeldet haben)
oder 2 Anmeldeversuche innerhalb 5 Sekunden (ein echter User wird es wohl nicht schaffen, sein Kennwort zweimal innerhalb von 5 Sekunden einzugeben)
Die auf der Firewall gesperrten IP-Adressen bleiben bis zum nächsten Neustart gesperrt.

[Michael_V]

Ich nehme  an, dass euer Server unter Windows läuft? Unter Linux hättest du es mal fail2ban versuchen können.

Ja, läuft unter Windows

Selbst wenn die IP Beschränkung vorerst funktioniert dürfte es nur eine Frage der Zeit sein bis hartnäckige Angreifer einen funktionierenden Adressbereich herausfinden. Ich nehme an, ihr habt bereits Sitzungsbasierte Authentifizierung per Login Maske anstatt der Basic Authentication aktiv? Das sollte man immer zuerst umstellen denn viele automatisierte Angriffstools setzen auf HTTP Returncodes um auf Erfolg zu testen - das funktioniert mit der Loginmaske nicht mehr - diese liefert immer den Code 200 da die Webseite mit der Anmeldung ja erfolgreich geladen werden kann. Wenn die Angriffe dann trotzdem weiter stattfinden kommt dein "spezieller und einzig gültiger Username" ins Spiel.

Stimmt, ich komme auch kaum hinterher, die Firewall zu füttern. Spätestens wenn die "Angreifer" wieder wach sind (meist USA, aber auch andere), geht es wieder los.
Ich teste mal, ob es mit Loginmaske weniger wird. Die Multifaktor Authentifizierung wäre natürlich zeitgemäß. Das werde ich auf jeden Fall mal machen, wenn ich mehr Zeit habe.

Wir haben letztlich eine eigene Lösung gebaut, bei der wir die Authentifizierungsversuche aus dem Log auslesen und bei zuvielen Anmeldeversuchen innerhalb eines Zeitraums die IP auf der Firewall sperren.

Das klingt ja generell spannend. Macht ihr das per Hand? Ich füttere ja auch ständig unsere Firewall und wenn das automatisch ginge, auch temporär, wäre das ja grandios. Ich bin kein großer Windowsfachmann, aber habt ihr da ein Script laufen?

[schroederk]

Das klingt ja generell spannend. Macht ihr das per Hand? Ich füttere ja auch ständig unsere Firewall und wenn das automatisch ginge, auch temporär, wäre das ja grandios. Ich bin kein großer Windowsfachmann, aber habt ihr da ein Script laufen?

Wir haben einen Webserver (Apache). Dieser greift (mittels PHP über cURL) auf einen Agent zu, der das Log ausliest und alle fehlgeschlagenen Authentifizierungsversuche zurückliefert.
Diese werden dann entsprechend analysiert.
Werden Zugriffe gefunden, die gesperrt werden sollen, werden diese zu Protokoll-Zwecken in eine (MySQL-)Tabelle geschrieben.
Anschließend verbindet sich der Webserver mit der Firewall und fügt die IP-Adressen der Shun-Liste hinzu.
Die IP-Adressen bleiben solange blockiert, bis entweder die Firewall (Cisco) neugestartet wird oder die Liste manuell gelöscht wird.
Das läuft nun seit etwa 4,5 Jahren komplett automatisch.

Den Agenten bauen und das PHP-Script ist keine Raketenwissenschaft. Ob das bei euch die Firewall unterstützt und ihr das auch wollt (denn die Zugangsdaten für die Firewall stehen dann auf dem Webserver), müsst ihr für euch klären.