Authentifizierungsschutz

Einführung in Authentifizierungsschutz in ConSol CM

Die Funktion zum Authentifizierungsschutz schützt das ConSol CM-System gegen Brute-Force-Angriffe wie Dictionary Attacks, Credential Stuffing und Password Spraying. Alle fehlgeschlagenen Anmeldeversuche werden in die Datenbank geschrieben und Benutzer werden nach einer konfigurierbaren Anzahl von Fehlversuchen automatisch blockiert.

Konzepte, Begriffe und Definitionen

Konzept	Andere Begriffe	Definition
Benutzer	Bearbeiter	Person, die mit dem Web Client oder der Web Admin Suite arbeitet
Kontakt		Person, die mit CM/Track arbeitet
REST-Benutzer		Technischer Benutzer, der auf die REST-Schnittstelle zugreift
Webhook		Technische Schnittstelle für die Kommunikation zwischen ConSol CM und externen Anwendungen
Authentifizierung		Prozess zur Bestätigung der Benutzeridentität
Brute-Force-Angriff		Versuch, durch eine große Anzahl von Authentifizierungsversuchen mit verschiedenen Benutzername- und Passwort-Kombinationen Zugang zu einem System zu erlangen

Zweck und Verwendung

Der Authentifizierungsschutz umfasst die Datenbank- und LDAP-Authentifizierung für alle Authentifizierungsendpunkte:

• Benutzerauthentifizierung in Web Client und Web Admin Suite

• Kontaktauthentifizierung in CM/Track über die REST-API

• Authentifizierung von Webhooks

Alle fehlgeschlagenen Anmeldeversuche werden in die Datenbank geschrieben und das Konto wird nach einer konfigurierbaren Anzahl von Fehlversuchen für eine bestimmte Zeitspanne blockiert. Es wird eine Benachrichtigungs-E-Mail an den Administrator und den betroffenen Benutzer gesendet.

Nicht allen fehlgeschlagenen Anmeldeversuchen liegt ein Brute-Force-Angriff zugrunde. Ein fehlgeschlagener Versuch wird auch protokolliert, wenn das betroffene Konto deaktiviert oder falsch konfiguriert ist. Der Grund für den fehlgeschlagenen Versuch wird im Tab Letzte fehlgeschlagene Authentifizierungsversuche angezeigt. Dementsprechend können Sie mit diesem Feature Informationen über den Grund des Fehlschlagens eines Versuchs erhalten. Wenn die Anmeldung aufgrund von Problemen mit dem LDAP-Server fehlschlägt (nur Authentifizierungsmethoden LDAP und DATABASE,LDAP), wird das Konto nicht blockiert.

Konten können entweder automatisch nach einer bestimmten Zeitspanne, oder manuell über die Web Admin Suite oder einen Entsperrungslink wieder freigegeben werden.

Der Authentifizierungsschutz ist standardmäßig für alle Endpunkte aktiviert. Für die Anzahl der Fehlversuche und die Zeitspanne werden Standardeinstellungen verwendet, siehe Anpassen des Authentifizierungsschutzes.

Verfügbare Informationen

Die Seite Authentifizierungsschutz besteht aus drei Tabs.

Blockierte Konten

Dieser Tab zeigt die Konten, die aktuell blockiert sind. Es sind folgende Informationen verfügbar:

• Name:
  Der Name des Benutzers, dessen Konto blockiert ist.

• E-Mail:
  Die E-Mail des Benutzers, dessen Konto blockiert ist.

• Entitätstyp:
  Der Typ des Kontos. Dies kann sein:

  • Benutzer: Benutzer, der auf der Seite Benutzer verwaltet wird, relevant für den Zugang zu Web Client und Web Admin Suite.

  • Kontakt: CM/Track-Benutzer, der im Web Client verwaltet wird, relevant für den Zugang zu CM/Track und zur REST-API.

  • Endpunkt: Webhook mit Secret Token als Sicherheitsmechanismus, siehe Webhooks.

• Fehlgeschlagene Versuche:
  Die Anzahl der fehlgeschlagenen Versuche.

• Blockierungsdatum:
  Datum und Zeit, wann das Konto blockiert wurde.

Sie können Konten auf dieser Seite entsperren.

Letzte fehlgeschlagene Authentifizierungsversuche

Dieser Tab zeigt die letzten 100 Authentifizierungsversuche an. Es sind folgende Informationen verfügbar:

• Name:
  Der Name des Benutzers, dessen Konto blockiert ist.

• E-Mail:
  Die E-Mail des Benutzers, dessen Konto blockiert ist.

• Entitätstyp:
  Der Typ des Kontos. Dies kann sein:

  • Benutzer: Benutzer, der auf der Seite Benutzer verwaltet wird, relevant für den Zugang zu Web Client und Web Admin Suite.

  • Kontakt: CM/Track-Benutzer, der im Web Client verwaltet wird, relevant für den Zugang zu CM/Track und zur REST-API.

  • Endpunkt: Webhook mit Secret Token als Sicherheitsmechanismus, siehe Webhooks.

• Grund des Anmeldefehlers:
  Der Grund, warum der Authentifizierungsversuch fehlgeschlagen ist. Dies kann sein:

  • Blockiert: Versuch, sich bei einem blockierten Konto anzumelden.

  • Inaktiv: Der Benutzer oder Kontakt ist deaktiviert, oder die Kundengruppe des Kontakts ist deaktiviert.

  • LDAP-Fehler: Fehlgeschlagener Versuch der LDAP-Authentifizierung, z. B. weil der LDAP-Server nicht verfügbar ist.

  • Kein Portalprofil: Dem Kontakt ist kein Portal-Benutzerprofil zugewiesen.

  • Unbekannter Name: Versuch, sich bei einem nicht vorhandenen Konto anzumelden.

  • Falsches Passwort: Versuch, sich bei einem vorhandenen Konto mit einem falschen Passwort / Secret anzumelden.

• Datum:
  Datum und Zeit, wann der Versuch fehlgeschlagen ist.

Historie der blockierten Konten

Dieser Tab zeigt die Konten an, die in den letzten 100 Tagen blockiert waren und jetzt wieder entsperrt sind. Es sind folgende Informationen verfügbar:

• Name:
  Der Name des Benutzers, dessen Konto blockiert war.

• E-Mail:
  Die E-Mail des Benutzers, dessen Konto blockiert war.

• Entitätstyp:
  Der Typ des Kontos. Dies kann sein:

  • Benutzer: Benutzer, der auf der Seite Benutzer verwaltet wird, relevant für den Zugang zu Web Client und Web Admin Suite.

  • Kontakt: CM/Track-Benutzer, der im Web Client verwaltet wird, relevant für den Zugang zu CM/Track und zur REST-API.

  • Endpunkt: Webhook mit Secret Token als Sicherheitsmechanismus, siehe Webhooks.

• Blockierungsdatum:
  Datum und Zeit, wann das Konto blockiert wurde.

• Entsperrungsdatum:
  Datum und Zeit, wann das Konto entsperrt wurde.

• Entsperrungsart:
  Die Methode, mit der das Konto entsperrt wurde. Dies kann sein:

  • Administrator: Das Konto wurde manuell durch einen Administrator entsperrt.

  • Blockierungszeit abgelaufen: Das Konto wurde automatisch nach Ablauf der definierten Zeitspanne entsperrt.

  • Entsperrungscode: Das Konto wurde über den Entsperrungscode manuell durch einen Benutzer oder Administrator entsperrt.

Grundlegende Aufgaben

Entsperren eines Kontos

Sie können Konten auf drei Arten entsperren:

• Das Konto wird automatisch nach Ablauf der eingestellten Zeitspanne entsperrt.

• Das Konto wird durch einen Administrator in der Web Admin Suite entsperrt. Dies geschieht im Tab Blockierte Konten, indem Sie in der entsprechenden Zeile auf das Icon Entsperren klicken. Sie können auch mehrere Konten auswählen, um sie gleichzeitig zu entsperren.

• Das Konto wird durch den betroffenen Benutzer entsperrt, indem dieser auf den Entsperrungslink in der Benachrichtigungs-E-Mail klickt. Im Web Client wird eine Seite geöffnet, die anzeigt, ob das Konto erfolgreich entsperrt wurde, sodass sich der Benutzer wieder anmelden kann. In CM/Track muss der Benutzer auf der geöffneten Seite auf den Button Mein Konto entsperren klicken, um sich wieder anmelden zu können.

  Bei einem Webhook erhält der Administrator die E-Mail mit dem Entsperrungslink.

Die Entsperrungslinks, die per E-Mail versendet werden, funktionieren nur, wenn die System-Properties url.track und url.webclient aus dem Modul cmas-core-server korrekt gesetzt sind.

Erweiterte Aufgaben

Anpassen des Authentifizierungsschutzes

Sie können die Authentifizierungsschutzfunktion mithilfe von System-Properties aus dem Modul cmas-core-security anpassen:

• Authentifizierungsschutz aktivieren:
  Sie können den Authentifizierungsschutz aktivieren (true) und deaktivieren (false), indem Sie den gewünschten Wert in der Property für den entsprechenden Endpunkt setzen:

  • Benutzer: brute.force.engineer.blocking.active

  • Kontakte/ REST-Benutzer: brute.force.unit.blocking.active

  • Webhooks: brute.force.endpoint.blocking.active

  Die Funktion ist standardmäßig für alle Endpunkte aktiviert.

• Festlegen, wann ein Konto blockiert wird
  Sie können in der System-Property brute.force.attempts.to.block konfigurieren, wie viele fehlgeschlagene Versuche nötig sind, bis ein Konto blockiert wird. Die Zeitspanne, während der die fehlgeschlagenen Versuche gezählt werden, ist in brute.force.period.between.attempts.to.block definiert.

  Ein Konto wird standardmäßig nach sieben fehlgeschlagenen Versuchen innerhalb einer Minute blockiert.

• Automatisches Entsperren konfigurieren
  Den Mechanismus zum automatischen Entsperren eines Kontos können Sie in brute.force.auto.unblock.active aktivieren (true) oder deaktivieren (false). Die Zeitspanne, nach der ein Konto entsperrt wird, ist in brute.force.auto.unblock.period definiert.

  Automatisches Entsperren ist standardmäßig aktiviert und Konten werden nach 30 Minuten entsperrt.

• Benachrichtigungen konfigurieren
  Sie können in brute.force.mail.notification.active bestimmen, ob blockierte Benutzer und Kontakte eine E-Mail mit einem Link zum Entsperren ihrer Konten erhalten sollen. Wenn diese Property auf true gesetzt ist, können Benutzer und Kontakte ihre Konten entsperren, indem sie auf den Link klicken. Die Links werden nach der in brute.force.unblock.code.expiration.period konfigurierten Zeitspanne ungültig. Der Administrator erhält ebenfalls E-Mails mit Informationen über die blockierten Konten und die Links zum Entsperren. Zusätzlich erhält der Administrator eine Warnung, wenn die Anzahl der fehlgeschlagenen Versuche den in brute.force.admin.auth.failures.notify.amount gesetzten Wert innerhalb der in brute.force.admin.auth.failures.notify.period konfigurierten Zeitspanne überschreitet.

  Standardmäßig werden keine E-Mails versendet. Wenn Benachrichtigungen aktiviert sind, werden die Links zum Entsperren nach 24 Stunden ungültig und der Administrator wird benachrichtigt, wenn mehr als 100 fehlgeschlagene Versuche innerhalb von 60 Minuten auftreten.