Zugriff auf Server/Website schützen

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Root-2k, 11. April 2010 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 11. April 2010
    Hi,

    ich bin auf der Suche nach Möglichkeiten den Zugriff auf einen Server (bzw. eine Website) durch unbefugte Personen zu schützen!

    Eingesetztes System / Ablaufbeschreibung:

    Mehrere mobile Endgeräte (PDA/Handys/etc.) sollen über WLAN auf einen Server (mittels Router) und hier auf eine Website (HTML/PHP/CSS) zugreifen dürfen. Allerdings soll ein maximal 4-stelliges Passwort (ohne Benutzername) für den Login bei der Website verwendet werden, damit sich die Leute schnell einloggen können.

    Geplante Sicherheitsvorkehrungen:

    • Eintrag der MAC- Adresse des mobilen Endgerätes um Netzwerk sichtbar zu machen
    • WPA2 + PSK
    • 4-stelliges (individuelles) Passwort für den Login bei der Website (wird beim Server in einen Hash-Code umgewandelt und mit Eintrag in der Datenbank verglichen)

    Habt Ihr noch Ideen wie ich den Zugriff durch unbefugte Personen noch erschweren kann, ohne ein langes Passwort eingeben zu müssen? Die Daten die über die Website abgefragt werden sind nämlich streng vertraulich und dürfen auf keinen Fall geklaut werden. Für meinen Arbeitgeber sind die bereits geplanten Sicherheitsvorkehrungen nicht ausreichend... deswegen bin ich nun auf der Suche nach zusätzlichen Möglichkeiten.

    Es soll also z.B. selbst durch einen Klau eines mobilen Endgerätes nicht so einfach möglich sein den Zugriff auf den Server zu erlangen.

    Bw für sinnvolle Beiträge ist selbstverständlich!
     
  3. 11. April 2010
    AW: Zugriff auf Server/Website schützen

    Da du so kurze Passwörter verwendest, würde ich den Zugang nach 3 falschen Passwörtern sperren. Wenn du das nicht machst, läufst du Gefahr, dass jemand die Zugänge durch Brute-Force errät. 4 Zeichen sind nämlich definitiv zu kurz, um gegen Brute-Force geschützt zu sein.

    Aber ich würde mal ein Wort mit deinem Arbeitgeber reden. Meiner Meinung nach ist es bei "streng vertraulichen" Daten unverantwortlich, ein 4-stelliges Passwort zu benutzen. Das schwächste Glied in der Kette ist das Passwort. Ich würde deinen Arbeitgeber mal fragen, ob ihm die "Schnelligkeit" wichtiger ist als die Sicherheit. Meiner Meinung nach wären mindestens 10-12 Stellen angebracht.
     
  4. 11. April 2010
    AW: Zugriff auf Server/Website schützen

    Ich würde evtl. noch versuchen bestimmte Browser-Einstellungen auszulesen und beim Login zu überprüfen. Ich weiß nicht, ob es bei PDAs geht, aber evtl. kann man einen eigenen User-Agent oder etwas ähnliches setzen.

    Und dass es keinen Sinn macht, ein super-sicheres System mit einem 4-stelligen Passwort abzusichern solltest du deinem Arbeitgeber auf jeden Fall sagen.
     
  5. 11. April 2010
    AW: Zugriff auf Server/Website schützen

    Ist diese Website nur in deinem Netzwerk, oder auch im Internet verfügbar?
     
  6. 11. April 2010
    AW: Zugriff auf Server/Website schützen

    Erstmal danke für eure schnellen Antworten. BW habt ihr schon mal!

    Da hast du natürlich Recht. Werde ich auch so einrichten!

    Das Problem ist dann nur dass die Mitarbeiter das System dann vermutlich nicht nutzen werden. Für die ist es nämlich wichtig dass sie sich schnell authentifizieren können.
    Deswegen muss der Zugriff irgendwie anders abgesichert werden.

    Kannst du das genauer erläutern? Welche Einstellungen sollen da beispielsweise überprüft werden? Schwierig ist das Ganze dann vermutlich bei Handys, da hier meist keine großen Einstellungen vorgenommen werden können.


    Die Website ist nur über das lokale Netzwerk erreichbar!


    EDIT: Eine Möglichkeit wäre ja noch die Verwendung einer Schlüsseldatei (auf dem PDA/Handy), welches die Verwendung eines "authorisierten" Gerätes notwendig macht. Allerdings hab ich kein Plan wie ich das Passwort aus der Schlüsseldatei dann an den Server versenden kann. Dann müsste aber trotzdem noch der Zugriff durch den Klau eines Gerätes verhindert werden.
     
  7. 11. April 2010
    AW: Zugriff auf Server/Website schützen

    Arbeite doch gleich mit Zertifikaten ^^
     
  8. 14. April 2010
    AW: Zugriff auf Server/Website schützen

    Hat sonst keiner mehr eine Idee?
     
  9. 15. April 2010
    AW: Zugriff auf Server/Website schützen

    Also wie Pyro sagte hast du hier ein Problem mit den kurzen Passwörtern

    Aber wie wäre es denn, wenn du zusätlich dazu auf den PDA's einen Sperrcode einrichtest, der z.b. auch vier oder achtstellig ist.
    Bei meinem iPhone z.B. geht das. Da kann ich es auch so konfigurieren, dass bei 10facher Falscheingabe das komplette Gerät gelöscht wird. Somit müsste man erstmal diesen vier stelligen Code knacken um dann überhaupt ins WLAN an die nächste identifizierung zu kommen.
    Dadurch, dass du beschränken kannst, wie oft man den Code eingibt, entsteht da auch eine meiner Meinung nach sinnvolle Sicherheit. Das wirds bestimmt auch für die PDA's geben!
     
  10. 15. April 2010
    AW: Zugriff auf Server/Website schützen

    Meinst du mit Sperrcode dass man den beim Starten des Gerätes eingeben muss? Wenn nicht bitte ich um genauere Erläuterung :]

    Das Problem ist halt auch dass ich die Anwendung Geräteunabhängig gestalten soll (deswegen auch HTML/PHP. Da wird ein Sperrcode (so wie ich den verstanden hab) wohl nicht möglich sein.

    Aber danke schon mal für die Antwort.
     
  11. 16. April 2010
    AW: Zugriff auf Server/Website schützen

    Also beim iPhone ist das eigentlich ganz Easy
    Dieser Sperrcode wird jedes mal beim aktivieren des Gerätes abgefragt.
    Also nachdem Display aus und du klickst das Handy ausm Stand-By musst du den eingeben
    10 Falsche eingaben = Daten weg!
     
  12. 16. April 2010
    AW: Zugriff auf Server/Website schützen

    Wenn es sich deinen Angaben nach wirklich um vertrauliche Daten handelt, dann brauchst du eh eine Ende-zu-Ende-Verschlüsselung und keine welche nur die Funkstrecke schützt, sodass serverseitig auf jeden Fall Zertifikate benötigt werden. Dann ist es ein leichtes auch eine Clientauthentifizierung per Zertifikat einzubauen und ein Zertifikat an den Benutzer zu binden. Sobald eine Passwort dann mehrfach falsch eingegeben wurde, wird das Zertifikat zurückgerufen und damit das Endgerät unbrauchbar...

    Ansonsten hat du noch VPNs als Möglichkeit, wobei der private Teil der Zertifikate mit Passwörtern geschützt wird, sodass hier nur spezielle Endgeräte auf spezielle Daten zugreifen können!

    Schutzmechanismen welche nicht kryptographisch gesichert werden, können vom Client immer gefälscht werden und sollten daher nicht verwendet werden!
     
  13. 20. April 2010
    AW: Zugriff auf Server/Website schützen

    Ok. Danke euch.
    Denke das reicht erstmal.

    *closed*
     
  14. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.