2FA Absicherung

Liebe Entwickler, ich glaube es ist an der Zeit einmal über 2FA und IP-Symcon nachzudenken (Ich hoffe ich habe hier keinen früheren Funktionswunsch in diese Richtung übersehen)

Ich fände es sinnvoll für die Webseite wie auch für die Konsole eine 2FA Absicherung in Kombination mit zb. dem Google Authenticator anzubieten.

+1
Dieser Wunsch schwelt auch schon des längeren in mir

Loerdy

Das wäre was, wenn ich bedenke was an Zugangsdaten in den Skripten stehen.

Da wäre es schon super das abzusichern.

Die Konsole (beide) zu sichern ist eine gute Idee, aber 2FA nur als Option.

Es ist schon schlimm genug, dass ich für den ganzen Firmen…eiss verschiedene 2FA Applikationen, PKI und Accounts/Passwörter brauche. Bitte nicht auch noch Zuhause, da kommt man eh nur persönlich oder per VPN rein :partying_face:.

Eventuell wäre SAML eine mögliche Integration, das ist „Standard“ und unterstützen glaube ich diverse 2FA Anbieter.

2 „Gefällt mir“

Also als Option für externen Zugriff würde ich das auch für eine sinnvolle Sache halten. Der Google Authenticator wäre auch meine Präferenz.

Wenn Ihr bereits einen Reverse-Proxy im Einsatz habt, könnt Ihr den eine clientzertifikatsbasierte Authentifizierung machen lassen, bevor er die Anfrage zum IPS weiterreicht.
Das funktioniert auch mit self-signed Zertifikaten, man braucht also keine eigene PKI. Sind mehrere Clientgeräte im Einsatz, die jeweils eigene Zetifkate bekommen sollen, ist der Einsatz einer CA zu überlegen (geht mit openssl) - letzten Endes ein „Master“-Zertifikat, mit dem dann die Clientzertifikate unterzeichnet werden. Einzelne ausgestellte Zertifikate können dann zurückgezogen werden und werden damit ungültig - vorrausgesetzt, Ihr konfiguriert die resultierende CRL dann auch im Reverse-Proxy.
Auf dem Clientgerät, welches über den Reverseproxy kommt, muss dann das Zertifikat mit privatem Schlüssel installiert werden, im Reverse-Proxy wird das Zertifikat ohne private key konfiguriert (bzw. das Zertifikat der ausstellenden CA).

Erster Faktor ist dann also Besitz (man muss den privaten Schlüssel des Zertifikates besitzen), zweiter Faktor ist Wissen (IPS-Passwort).

Aber Achtung! Wer nicht weiß, wie Zertifikate und eine darauf basierende Authentifizierung funktionieren, sollte besser die Finger davon lassen!

@PowerBertl Vielen Dank für die ausführliche Hilfestellung und ich werde mir das auch näher anschauen.

Allerdings möchte ich aus einer Reihe von Gründen keinen (Reverse) Proxy einsetzen.

Ich hätte die 2FA gerne als Option vom Hersteller.

Wollte in dem Zusammenhang mal loswerden das mir allgemein der ganze Passwort Overkill schon dermaßen auf den Sack geht es ist einfach unbeschreiblich.
Nimmt einem die ganze Freude an der IT.

Zu IPS: Wenn jemand seine superwichtigen Passwörter im Klartext in ein Script schreibt dann ist wohl eher das zu hinterfragen als außen nochmals eine Mauer einzufordern.

greez
bb

2 „Gefällt mir“

Und wenn diese Scripte dann noch als IPS-Wiki aus dem Internet einsehbar sein. Top :+1: :laughing:
Dennoch wäre ich auch für ein optionales 2FA für den Fernzugriff.
Auch wenn das Passwort nicht im Script steht, bekommt man es remote über die console und ein PHP Script raus. Ebenso wie man mit PHP Zugriff auf den gesamten Host hat.
Michael

Deshalb wünsche ich mir weit vor 2FA, dass Symcon nicht mehr zwangsläufig mit Root-Rechten läuft. Das ist ein Risiko, das um Längen höher ist. Und Symcon ist mit dieser kühnen Strategie auch weitgehend einzigartig, sozusagen ein USP im negativen Sinne… :man_shrugging:

Grüße
Jürgen

Neben dem manuelle Login in die Konsole oder der Webseite gibt es ja noch die automatisierte Verbindung auf Basis von JSONRPC.

Hier wird eine 2FA naturgemäß etwas komplizierter. Bei Draytek wird das recht elegant mit Hilfe von DROIDAPP (Android) so gelöst : Teleworker VPN - SSL with mOTP 2FA - Smart VPN Client & Smartphone

Einfacher sollte es gehen mit einer Firewall mit WAF, z.B. Sophos UTM - gibt es auch als Home umsonst. Geht dann mit Google oder Sophos Authenticator.