Sicherheit: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Bei der Entwicklung von sourceDESK wurde darauf geachtet, größtmögliche Sicherheit für Ihre Daten und die Ihrer Kunden zu gewährleisten. Dazu tragen einig…“) |
(kein Unterschied)
|
Version vom 4. Oktober 2018, 13:17 Uhr
Bei der Entwicklung von sourceDESK wurde darauf geachtet, größtmögliche Sicherheit für Ihre Daten und die Ihrer Kunden zu gewährleisten. Dazu tragen einige integrierte Sicherheitsfunktionen bei, Sie können aber weitere Maßnahmen ergreifen, um die Sicherheit zu erhöhen.
Inhaltsverzeichnis
- 1 Captchas
- 2 Clientseitiges Hashing
- 3 Fail2Ban
- 4 Intrusion Detection System
- 5 CSRF-Protection
- 6 Weitere Sicherheitsmaßnahmen: Whitelist
- 7 Weitere Sicherheitsmaßnahmen: SSL/HSTS
- 8 Weitere Sicherheitsmaßnahmen: Proxies blockieren
- 9 Weitere Sicherheitsmaßnahmen: Zusätzlicher Schutz für Administration
- 10 Weitere Sicherheitsmaßnahmen: Administration umbenennen
Captchas
Um sicherzustellen, dass Bots nicht automatische Aktionen ausführen können, die dem System in großer Zahl schaden könnten, bieten wir Ihnen an, unter "Einstellungen > Systemeinstellungen > Sicherheit" zwischen mehreren Captcha-Systemen zu wählen. Unterstützt wird hier übrigens auch das neue, unsichtbare Captcha von Google reCaptcha.
Clientseitiges Hashing
Wir haben alles daran gesetzt, die Passwörter Ihrer Kunden zu schützen: In der Regel werden Passwörter bereits auf dem Rechner Ihrer Kunden irreversibel gehasht, die Klartext-Passwörter erreichen Ihren Server erst gar nicht und können durch diesen daher auch nicht geleakt werden. Einzig wenn ein Kunde JavaScript nicht aktiviert hat, wird das Passwort im Klartext übertragen, um auch für diese Kunden einen Login gewährleisten zu können.
Bitte prüfen Sie, ob clientseitiges Hashing aktiviert ist ("Einstellungen > Systemeinstellungen > Sicherheit") und eine sichere Hash-Methode verwendet wird (ab SHA256).
Übrigens: Auch Administrator-Passwörter werden clientseitig gehasht.
Fail2Ban
sourceDESK bringt ein automatisches Erkennungssystem für fehlgeschlagene Logins mit, dass einen potenziellen Angreifer bei zu vielen fehlgeschlagenen Logins vorübergehend sperrt. Das System können Sie unter "Kunden > Sperrliste > Fail2Ban-Einstellungen" konfigurieren. Es ist sowohl für Kunden- als auch für Administrator-Logins aktiv und schützt Ihre sensiblen Daten.
Intrusion Detection System
sourceDESK hat ein integriertes IDS (Intrusion Detection System), das bei Anomalien den Zugriff verweigert.
CSRF-Protection
Eng mit dem IDS verbunden ist die Nutzung von CSRF-Token, um die Integrität durchgeführter Aktionen zu verifizieren.
Weitere Sicherheitsmaßnahmen: Whitelist
In der Administration können Sie unter "Einstellungen > Systemeinstellungen > Sicherheit" festlegen, dass nur bestimmte IP-Adressen oder Hosts Zugriff auf die Administration haben. Diese Sicherheitsmaßnahme kann beispielsweise mit einem VPN kombiniert werden. Sie haben sich ausgesperrt? Administrator-Whitelist aufheben
Weitere Sicherheitsmaßnahmen: SSL/HSTS
Wir halten die Nutzung von SSL für unerlässlich. Sie sollten unter "Einstellungen > Systemeinstellungen > Sicherheit" die Nutzung von SSL erzwingen. sourceDESK wird dann alle HTTP-Anfragen automatisch auf das sichere HTTPS-Pendant umleiten. Außerdem können Sie HSTS aktivieren, tun Sie dies aber nur, wenn Sie wissen was Sie tun! sourceDESK wird einen HSTS-Eintrag auch für alle Ihre Subdomains erstellen.
Weitere Sicherheitsmaßnahmen: Proxies blockieren
Betrüger und Hacker nutzen gerne Proxies oder das Tor-Netzwerk. sourceDESK weiß über bekannte Proxy-Adressen Bescheid und aktualisiert diese fortlaufend. Mit der Option "Proxies blockieren" können Sie unter "Einstellungen > Systemeinstellungen > Sicherheit" Proxies aussperren. Das hindert Proxy-Nutzer am Aufruf Ihrer Administration und Nutzung diverser Funktionen auf der Webseite, zum Beispiel ist so kein Login und keine Registrierung möglich. Der Proxy-Nutzer wird stattdessen aufgefordert, die Webseite ohne Proxy zu besuchen.
Wichtig: In diversen Ländern werden das Tor-Netzwerk oder auch andere Proxies legitim eingesetzt, um zensurfreien Zugang zum Internet zu gewährleisten. Wenn Sie Traffic und Kunden aus diesen Ländern erwarten, sollten Sie die Option nicht aktivieren.
Weitere Sicherheitsmaßnahmen: Zusätzlicher Schutz für Administration
Sie können für die Administration eine zusätzliche Sicherheitsschicht einbauen, indem Sie eine .htaccess-Datei anlegen. Unter Linux können Sie hierzu das Tool htpasswd nutzen, Anleitungen hierzu finden Sie im Internet.
Weitere Sicherheitsmaßnahmen: Administration umbenennen
Die Administration ist unter /admin zu erreichen. Das sollte auch so bleiben. Die Administration wird zwar grundsätzlich nach einer Umbenennung noch funktionieren, allerdings werden Links - beispielsweise in E-Mailbenachrichtigungen für Administratoren - nicht mehr korrekt sein. Zwar hätten wir die Umbenennung des Verzeichnisses ermöglichen können, jedoch halten wir nicht viel davon, durch eine Umbenennung durch Verzeichnisses eine trügerische Sicherheit (Security through obscurity) zu erzeugen.