Zum Hauptinhalt springen
Version: 6.18

Authentifizierungsschutz

Die Funktion zum Authentifizierungsschutz schützt das ConSol CM-System gegen Brute-Force-Angriffe wie Dictionary Attacks, Credential Stuffing und Password Spraying. Alle fehlgeschlagenen Anmeldeversuche werden in die Datenbank geschrieben und Benutzer werden nach einer konfigurierbaren Anzahl von Fehlversuchen automatisch blockiert.

Der Authentifizierungsschutz umfasst die Datenbank- und LDAP-Authentifizierung für alle Authentifizierungsendpunkte:

  • Benutzerauthentifizierung in Web Client und Web Admin Suite
  • Kontaktauthentifizierung in CM/Track über die REST-API
  • Authentifizierung von Webhooks

Alle fehlgeschlagenen Anmeldeversuche werden in die Datenbank geschrieben und das Konto wird nach einer konfigurierbaren Anzahl von Fehlversuchen für eine bestimmte Zeitspanne blockiert. Es wird eine Benachrichtigungs-E-Mail an den Administrator und den betroffenen Benutzer gesendet.

info

Nicht allen fehlgeschlagenen Anmeldeversuchen liegt ein Brute-Force-Angriff zugrunde. Ein fehlgeschlagener Versuch wird auch protokolliert, wenn das betroffene Konto deaktiviert oder falsch konfiguriert ist. Der Grund für den fehlgeschlagenen Versuch wird im Tab Letzte fehlgeschlagene Authentifizierungsversuche angezeigt. Dementsprechend können Sie mit diesem Feature Informationen über den Grund des Fehlschlagens eines Versuchs erhalten. Wenn die Anmeldung aufgrund von Problemen mit dem LDAP-Server fehlschlägt (nur Authentifizierungsmethoden LDAP und DATABASE,LDAP), wird das Konto nicht blockiert.

Konten können entweder automatisch nach einer bestimmten Zeitspanne, oder manuell über die Web Admin Suite oder einen Entsperrungslink wieder freigegeben werden.

Der Authentifizierungsschutz ist standardmäßig für alle Endpunkte aktiviert. Für die Anzahl der Fehlversuche und die Zeitspanne werden Standardeinstellungen verwendet, siehe Anpassen des Authentifizierungsschutzes.

Verfügbare Informationen

Die Seite Authentifizierungsschutz besteht aus drei Tabs.

Blockierte Konten

Dieser Tab zeigt die Konten, die aktuell blockiert sind. Es sind folgende Informationen verfügbar:

  • Name: Der Name des Benutzers, dessen Konto blockiert ist.
  • E-Mail: Die E-Mail des Benutzers, dessen Konto blockiert ist.
  • Entitätstyp: Der Typ des Kontos. Dies kann sein:
    • Benutzer: Benutzer, der auf der Seite Benutzer verwaltet wird, relevant für den Zugang zu Web Client und Web Admin Suite.
    • Kontakt: CM/Track-Benutzer, der im Web Client verwaltet wird, relevant für den Zugang zu CM/Track und zur REST-API.
    • Endpunkt: Webhook mit Secret Token als Sicherheitsmechanismus, siehe Webhooks.
  • Fehlgeschlagene Versuche: Die Anzahl der fehlgeschlagenen Versuche.
  • Blockierungsdatum: Datum und Zeit, wann das Konto blockiert wurde.

Sie können Konten auf dieser Seite entsperren.

Letzte fehlgeschlagene Authentifizierungsversuche

Dieser Tab zeigt die letzten 100 Authentifizierungsversuche an. Es sind folgende Informationen verfügbar:

  • Name: Der Name des Benutzers, dessen Konto blockiert ist.
  • E-Mail: Die E-Mail des Benutzers, dessen Konto blockiert ist.
  • Entitätstyp: Der Typ des Kontos. Dies kann sein:
    • Benutzer: Benutzer, der auf der Seite Benutzer verwaltet wird, relevant für den Zugang zu Web Client und Web Admin Suite.
    • Kontakt: CM/Track-Benutzer, der im Web Client verwaltet wird, relevant für den Zugang zu CM/Track und zur REST-API.
    • Endpunkt: Webhook mit Secret Token als Sicherheitsmechanismus, siehe Webhooks.
  • Grund des Anmeldefehlers: Der Grund, warum der Authentifizierungsversuch fehlgeschlagen ist. Dies kann sein:
    • Blockiert: Versuch, sich bei einem blockierten Konto anzumelden.
    • Inaktiv: Der Benutzer oder Kontakt ist deaktiviert, oder die Kundengruppe des Kontakts ist deaktiviert.
    • LDAP-Fehler: Fehlgeschlagener Versuch der LDAP-Authentifizierung, z. B. weil der LDAP-Server nicht verfügbar ist.
    • Kein Portalprofil: Dem Kontakt ist kein Portal-Benutzerprofil zugewiesen.
    • Unbekannter Name: Versuch, sich bei einem nicht vorhandenen Konto anzumelden.
    • Falsches Passwort: Versuch, sich bei einem vorhandenen Konto mit einem falschen Passwort / Secret anzumelden.
  • Datum: Datum und Zeit, wann der Versuch fehlgeschlagen ist.

Historie der blockierten Konten

Dieser Tab zeigt die Konten an, die in den letzten 100 Tagen blockiert waren und jetzt wieder entsperrt sind. Es sind folgende Informationen verfügbar:

  • Name: Der Name des Benutzers, dessen Konto blockiert war.
  • E-Mail: Die E-Mail des Benutzers, dessen Konto blockiert war.
  • Entitätstyp: Der Typ des Kontos. Dies kann sein:
    • Benutzer: Benutzer, der auf der Seite Benutzer verwaltet wird, relevant für den Zugang zu Web Client und Web Admin Suite.
    • Kontakt: CM/Track-Benutzer, der im Web Client verwaltet wird, relevant für den Zugang zu CM/Track und zur REST-API.
    • Endpunkt: Webhook mit Secret Token als Sicherheitsmechanismus, siehe Webhooks.
  • Blockierungsdatum: Datum und Zeit, wann das Konto blockiert wurde.
  • Entsperrungsdatum: Datum und Zeit, wann das Konto entsperrt wurde.
  • Entsperrungsart: Die Methode, mit der das Konto entsperrt wurde. Dies kann sein:
    • Administrator: Das Konto wurde manuell durch einen Administrator entsperrt.
    • Blockierungszeit abgelaufen: Das Konto wurde automatisch nach Ablauf der definierten Zeitspanne entsperrt.
    • Entsperrungscode: Das Konto wurde über den Entsperrungscode manuell durch einen Benutzer oder Administrator entsperrt.

Grundlegende Aufgaben

Entsperren eines Kontos

Sie können Konten auf drei Arten entsperren:

  • Das Konto wird automatisch nach Ablauf der eingestellten Zeitspanne entsperrt.
  • Das Konto wird durch einen Administrator in der Web Admin Suite entsperrt. Dies geschieht im Tab Blockierte Konten, indem Sie in der entsprechenden Zeile auf das Icon Entsperren klicken. Sie können auch mehrere Konten auswählen, um sie gleichzeitig zu entsperren.
  • Das Konto wird durch den betroffenen Benutzer entsperrt, indem dieser auf den Entsperrungslink in der Benachrichtigungs-E-Mail klickt. Im Web Client wird eine Seite geöffnet, die anzeigt, ob das Konto erfolgreich entsperrt wurde, sodass sich der Benutzer wieder anmelden kann. In CM/Track muss der Benutzer auf der geöffneten Seite auf den Button Mein Konto entsperren klicken, um sich wieder anmelden zu können. Bei einem Webhook erhält der Administrator die E-Mail mit dem Entsperrungslink.
URLs

Die Entsperrungslinks, die per E-Mail versendet werden, funktionieren nur, wenn die System-Properties url.track und url.webclient aus dem Modul cmas-core-server korrekt gesetzt sind.

Erweiterte Aufgaben

Anpassen des Authentifizierungsschutzes

Auf der Seite Authentifizierung können Sie die Authentifizierungsschutzfunktion anpassen. Die Einstellungen werden in System-Properties des Moduls cmas-core-security geschrieben.

  • Authentifizierungsschutz für Benutzer aktivieren: Setzen Sie den Wert auf True, um die Authentifizierungsschutzfunktion für Benutzer zu aktivieren (Web-Client und Web Admin Suite); System-Property brute.force.engineer.blocking.active
  • Authentifizierungsschutz für Kontakte aktivieren: Setzen Sie den Wert auf True, um die Authentifizierungsschutzfunktion für Kontakte zu aktivieren (CM/Track und REST-API); System-Property brute.force.unit.blocking.active.
  • Authentifizierungsschutz für Webhooks aktivieren: Setzen Sie den Wert auf True, um die Authentifizierungsschutzfunktion für Webhooks zu aktivieren; System-Property brute.force.endpoint.blocking.active.
  • Anzahl fehlgeschlagener Versuche zum Blockieren eines Kontos: Die Anzahl der erfolglosen Authentifizierungsversuche, nach deren Erreichen ein Konto gesperrt wird; System-Property brute.force.attempts.to.block.
  • Zeitraum zum Zählen fehlgeschlagener Versuche: Der Zeitraum (in Minuten), in dem auf fehlgeschlagene Authentifizierungsversuche geprüft wird. Wenn in diesem Zeitraum mehr fehlgeschlagene Authentifizierungsversuche auftreten als unter Anzahl fehlgeschlagener Versuche zum Blockieren eines Kontos definiert, wird der Benutzer oder Endpunkt gesperrt; System-Property brute.force.period.between.attempts.to.block.
  • Konten automatisch entsperren: Setzen Sie diesen Wert auf True, um ein Konto nach Ablauf einer bestimmten Zeitspanne automatisch zu entsperren; System-Property brute.force.auto.unblock.active.
  • Zeitraum für automatische Entsperrung: Der Zeitraum (in Minuten), nach dessen Ablauf ein Konto automatisch entsperrt wird; System-Property brute.force.auto.unblock.period.
  • Benutzerbenachrichtigungen für blockierte Konten aktivieren: Setzen Sie diesen Wert auf True, wenn Benutzer und Kontakte, deren Konten gesperrt wurden, eine E-Mail mit einem Link zum Entsperren ihrer Konten erhalten sollen; System-Property brute.force.user.mail.notification.active.
  • Administratorbenachrichtigungen für blockierte Konten aktivieren: Setzen Sie den Wert auf True, wenn der Administrator eine E-Mail mit Details zum gesperrten Konto und dem Code zur Entsperrung erhalten soll; System-Property brute.force.admin.mail.notification.active.
  • Anzahl der fehlgeschlagenen Versuche für Administratorbenachrichtigung: Die Anzahl der erfolglosen Authentifizierungsversuche, nach deren Ablauf der Administrator benachrichtigt wird; System-Property brute.force.admin.auth.failures.notify.amount.
  • Zeitraum für Administratorbenachrichtigungen: Der Zeitraum (in Minuten), in dem auf fehlgeschlagene Authentifizierungsversuche geprüft wird, um den Administrator zu informieren. Wenn in diesem Zeitraum mehr fehlgeschlagene Authentifizierungsversuche auftreten als unter Anzahl der fehlgeschlagenen Versuche für Administratorbenachrichtigung definiert, wird der Administrator per E-Mail darüber informiert. System-Property brute.force.admin.auth.failures.notify.period.
  • Ablaufzeitraum des Entsperrcodes: Der Zeitraum (in Stunden), nach dessen Ablauf der Entsperrcode seine Gültigkeit verliert; System-Property brute.force.unblock.code.expiration.period.