Schutz vor Brute Force Attacken: Das neue Joomla! Plugin

© Maksim Kabakou - Fotolia.com

Mitte Februar veröffentlicht die 1&1 Joomla! Community Version 3.5. des beliebten Open Source Content Management Systems. In der neuen Version des Click & Build Pakets für Joomla! wird auch ein neues Brute Force Protection Plugin enthalten sein. Es bietet Usern zusätzlichen Schutz im Backend. Viktor Vogel, leidenschaftlicher Joomla! Experte bei 1&1, nimmt dies zum Anlass, uns die Funktionen des neuen Plugins zu erklären.

Warum sollten sich User das Brute Force Protection Plugin mit dem neuen Joomla! 3.5 installieren?

Viktor VogelViktor Vogel: Das Plugin erschwert sogenannten Brute Force-Attacken den Zugang zum Backend des Systems, die darauf ausgelegt sind, Passwörter zu „erraten“. Hacker versuchen auf diese Weise, Passwörter zu knacken, indem ein Bot (ein automatisch ablaufendes Programm mit einer bestimmten Aufgabe) in rascher Abfolge unterschiedliche Zeichenkombinationen ausprobiert. Dem liegt ein Algorithmus zugrunde, der sehr einfach ist und sich darauf konzentriert, möglichst viele Kombinationen von Zeichen zu prüfen. Mit dem Plugin können User den Schutz ihrer Joomla! Software erhöhen. Die Veröffentlichung des Plugins und seine Integration in das Webhosting Portfolio von 1&1 ist für Mitte Februar geplant. Für diejenigen, die den offiziellen Launch nicht abwarten können, steht die Release Candidate Version bereits jetzt zur Verfügung – mehr dazu gibt’s auf der Webseite der 1&1 Community.

Welche Ziele haben dein Team und du bei der Entwicklung des Plugins verfolgt?

Viktor Vogel: Wir wollten ein Plugin programmieren, das einerseits dem hinreichenden Schutz des Users vor Cyber-Attacken durch Unbefugte und andererseits der Nutzerfreundlichkeit Rechnung trägt. Eine Zwei-Faktor-Analyse ist zwar als Schutzmaßnahme wesentlich sicherer, jedoch auch wesentlich aufwendiger in der Verwaltung. Dem wollten wir aus dem Weg gehen und entwickelten ein leicht und bequem bedienbares Plugin, das weder ein festes Endgerät noch einen YubiKey (separate Hardware zur Authentifizierung) benötigt.

Wie genau funktioniert das neu entwickelte Plugin?

Viktor Vogel: Das Plugin bietet dem User insgesamt drei Ebenen, die ihn vor Attacken schützen. Im Ausgangsszenario zeigt sich das Plugin als übliche Login-Maske, die die Eingabe von Benutzername, Passwort und ihre Bestätigung mit einem OK-Button verlangt, um Zugang zum System zu erhalten. Probiert das angreifende Schadprogramm wahllos eine Kombination aus, die jedoch falsch ist, erscheint im zweiten Schritt des Schutzprozesses ein zusätzliches Feld mit einer einfachen Rechenaufgabe. Selbst wenn der Angreifer die beiden im ersten Autorisierungs-Schritt verlangten Komponenten (Benutzername und Passwort) erraten haben sollte, knackt er dennoch nicht das System, denn er muss noch die Rechenaufgabe lösen. Da der Angreifer aber kein Mensch ist, sondern eine zuvor auf einen bestimmten Befehl hin programmierte Software, gelingt ihm das nicht. User können individuell festlegen, wie viele Login Versuche erlaubt sind, bis die jeweils nächste Ebene aktiviert wird. Nach dem erfolglosen Zugriff auf das System über die ersten zwei Ebenen erscheint lediglich ein leeres Fenster. Es bleibt in einem beliebig bestimmbaren Zeitrahmen eingeblendet, um nach Ablauf der Zeit wieder zurück zur Login-Maske des Ausgangsszenarios zu wechseln. Nach dem leeren Fenster wird die Bearbeitung der Anfrage durch den Bot abgebrochen, was die Last an CPU und Memory enorm eindämmt. Zusätzlich kann der User einstellen, wie die IP-Adresse der an das System anfragenden Rechner identifiziert wird. Hat er einen Proxy-Server dazwischen geschaltet, kann er sein System zudem mithilfe eines sogenannten „X-Forwarded-For Header“ (dient zur eindeutigen Identifizierung ungefährlicher Anfragen) vor unbefugtem Zugriff schützen.

Auf welche Herausforderungen seid ihr bei der Entwicklung des Brute Force Protection Plugins gestoßen?

Viktor Vogel: Die größte Herausforderung war zunächst, ein Tool zu entwickeln, das einen gewissen Grundschutz bietet und leicht zu bedienen ist. Darüber hinaus sollte das Click & Build Konzept erfüllt sein, das sich 1&1 als benutzerfreundliches Feature bei all seinen angebotenen Apps auf die Fahne schreibt. Ein weiterer Aspekt betraf die berücksichtigten IP-Adressen: In der Testphase entwickelten wir das Plugin erst einmal so, dass es nur Anfragen im IPv4 Format herausfilterte. Auf einen wertvollen Hinweis aus der Joomla! Community hin wurden wir darauf aufmerksam, dass IPs im neuen Format, IPv6, gar nicht beachtet wurden. Dieser Bug wurde selbstverständlich in der nächsten Beta-Version behoben und das Format IPv6 ebenfalls hinzugefügt. Das ist das Schöne an der Community: Alle arbeiten zusammen, um den Usern das bestmögliche Joomla!-Erlebnis bereitstellen zu können.

Weitere Infos und Neuigkeiten aus dem Joomla! Universum findet ihr in der 1&1 Community.

 

Bilder: Maksim Kabakou – Fotolia.com; 1&1

Kategorie: Server & Hosting
2 Kommentare2

Dein Kommentar

(Wenn Sie eine Frage zu Ihrem Vertrag haben oder eine Störung melden möchten, helfen Ihnen unsere Service-Mitarbeiter gerne im 1&1 Kundenforum weiter)


  1. 25. April 2016 um 13:37 | von Lex

    Hallo,
    wenn ich das richtig verstanden habe, blockt das Plugin Einwählversuche, die über das eingestellte Limit hinausgehen. Bei pausenlosen Brute-Force-Angriffen führt das möglicherweise zu einer ständigen Blockierung.
    Meine Frage: Ist die Website nur für die IP’s der Angreifer gesperrt und kann ich mich als Admin jederzeit in das System meiner Website einwählen?

    1. 4. Mai 2016 um 13:36 | von Martin

      Hallo Lex,

      das Plugin prüft natürlich auch, woher die Anfragen kommen. Das wäre ja sonst witzlos, wenn jeder durch eine Bruteforce-Attacke gesperrt wird 🙂

      Viele Grüße
      Martin, 1&1