Host ban - zmiana - OLD Forum of Users and Developers of Epesi BIM

Host ban - zmiana

markos151

Scenariusz: Wszyscy użytkownicy logują się do systemu CRM korzystając z serwera proxy ( obowiązkowy, brak możliwości obejścia ) - 1 adres IP

Problem: Jeżeli jeden z użytkowników wpisze 3 razy źle hasło nikt z użytkowników nie może zalogować się do systemu przez 300 sekuund

Odpowiednie fragmenty kodu:
LoginInstall.php



...

Variable::set('host_ban_time',300);

...

LoginCommon_0.php



...

$fails = DB::GetOne('SELECT count(*) FROM user_login_ban WHERE failed_on>%d AND from_addr=%s',array(time()-$t,$_SERVER['REMOTE_ADDR']));

				if($fails>=3)

					location(array()); 

...

Proponowane rozwiązanie:
- umożliwić ustawienie zmiennych : $host_ban_time, i $max_fails( maksymalna liczba niepoprawnych logowań ) w pliku konfiguracyjnym
- w panelu administratora dodać opcje odblokowania systemu
- powiązać host_ban_time i $max_fails z użytkownikiem

Inne propozycje?

PS.
Liczba prób logowania do panelu administratora jest nieograniczona 🙂

ajb

Dziękuję za sugestie - faktycznie niedociągnięcie z mojej strony z tym logowaniem do panelu administracyjnego.

Uwzględnimy to na pewno. Zmianę czasu i ilości prób również.

Pozdrawiam,
Adam

markos151

a co z możliwością
[quote:3hacy84r]
- powiązać host_ban_time i $max_fails z użytkownikiem
[/quote:3hacy84r]

wczoraj zdarzyło się że jeden użytkownik zablokował cały system w trakcie szkolenia ... 🙁

ajb

To nie jest normalna sytuacja, aby wszyscy wchodzili z tego samego IP. To zabezpieczenie ma zapobiegać atakom typu brute force. I takie właśnie miało być - niezależne od nazwy użytkownika.

jasiek

Zmiana czasu blokowania jak i całkowite wyłączenie banowania jest możliwe w panelu administracyjnym: Zarządzanie użytkownikami (na samym dole tabeli).

Jedynym wyjściem przy logowaniu wielu użytkowników z jednego adresu IP jest całkowite wyłączenie banowania, albo trening użytkowników.

EPESI posiada system zabezpieczeń przed próbami ataku jak np. tzw. "dictionary attack". Adres IP z którego następuje taki atak jest zapamiętywany przez okres ustawiony przez "banned time". Dzięki temu atak jest ograniczony do kilku prób. Nie mamy możliwości banowania tylko jednego użytkownika.

markos151

[quote="ajb":1du5mmtp]To nie jest normalna sytuacja, aby wszyscy wchodzili z tego samego IP. [/quote:1du5mmtp]
Przy serwerze CRM postawionym na zewnętrznym adresie IP sytuacja jest raczej normalna, jeżeli pracownicy łączą się z sieci wewnętrznej zbudowanej na prywatnych adresach IP

ajb

[quote="markos151":3rfpx1sv]Przy serwerze CRM postawionym na zewnętrznym adresie IP sytuacja jest raczej normalna, jeżeli pracownicy łączą się z sieci wewnętrznej zbudowanej na prywatnych adresach IP[/quote:3rfpx1sv]

Ok, potwierdzam... nie pomyślałem o tym, bo dla mnie naturalne staje się postawienie EPESI wewnątrz sieci firmy, ale w przypadku kilku osobowych firm bez serwerów, to jest raczej bez sensu.

Zobaczę co da się zrobić w kwestii banowania nazw użytkowników, a nie IP.

markos151

[quote="ajb":2euqpplc]
Ok, potwierdzam... nie pomyślałem o tym, bo dla mnie naturalne staje się postawienie EPESI wewnątrz sieci firmy, ale w przypadku kilku osobowych firm bez serwerów, to jest raczej bez sensu.
[/quote:2euqpplc]

przy zdalnych oddziałach istnieje konieczność postawienia EPESI na adresie publicznym

jasiek

Dopóki będzie używany NAT (Network Address Translation) i router ma jeden IP adres z którego loguje się więcej niż jeden użytkownik - taka sytuacja będzie się zdarzać. Niestety dopiero IP v. 6 pozwoli na połączenia typu: jeden użytkownik - unikalny IP adres.

W nowej wersji 1.5 postaramy się wziąć to pod uwagę:
- ustawianie przez administratora nie tylko okres banowania ale i ilość nieudanych prób (3, 5 itd.)
- banowanie po user ID a nie po adresie IP.

W obecnej wersji jedynym obejściem jest wyłączenie banowania całkowicie, a jeżeli nie jest wyłączony a system logowania zbanował dany adres IP należy ręcznie usunąć wpisy z tabeli user_login_ban przy użyciu np. phpmyadmin - jeżeli nie chcemy czekać na wygaśnięcie banowania i potrzebujemy odblokować aplikację natychmiast.

Chcę tutaj zaznaczyć, że problem taki może wystąpić gdy aplikacji używają osoby nie posiadające odpowiedniego doświadczenia - jak np. w opisywanym przypadku gdy instalacja EPESI jest używana w celach treningowych. Z doświadczenia mogę powiedzieć, że sytuacje takie zdarzają się niezwykle rzadko - nawet przy instalacjach z ponad 500 aktywnymi użytkownikami. Niemniej postaramy się znaleźć odpowiednie rozwiązanie.

Jeśli chodzi o adres publiczny dla instalacji EPESI - nie wyobrażam sobie aplikacji webowej dostępnej jedynie np. w biurze. Cała idea opiera się na możliwości dostępu do danych z dowolnego komputera z dowolnego miejsca - z domu, w podróży itd.

Dla odpowiedniego zabezpieczenia proponuję:
- włączenie HTTPS zamiast HTTP i zakup nawet najtańszego certyfikatu SSL - to pozwoli na szyfrowanie danych pomiędzy serwerem a klientem - to rozwiązanie jest mocno rekomendowane dla firm dbających o bezpieczeństwo danych.
dodatkowo można zastosować:
- łączenie się z aplikacją przez VPN (niezbyt wygodne, ale bezpieczniejsze).
- włączenie drugiego poziomu autentykacji - możliwe to jest i w serwerach Linuxa i Windows jak i na bardziej rozbudowanych routerach.

Oczywiste jest, że zwiększenie bezpieczeństwa poprzez ograniczenie dostępu wiąże się z niedogodnościami - jedynym wyjątkiem jest włączenie HTTPS, który jest obsługiwany przez każdą przeglądarkę.

markos151

Dziekuję za odpowiedź, zatem czekam.

Kiedy planowane jest udostępnienie wersji 1.5/ ?

[quote:32ddwohb]
Chcę tutaj zaznaczyć, że problem taki może wystąpić gdy aplikacji używają osoby nie posiadające odpowiedniego doświadczenia - jak np. w opisywanym przypadku gdy instalacja EPESI jest używana w celach treningowych. Z doświadczenia mogę powiedzieć, że sytuacje takie zdarzają się niezwykle rzadko - nawet przy instalacjach z ponad 500 aktywnymi użytkownikami. Niemniej postaramy się znaleźć odpowiednie rozwiązanie.
[/quote:32ddwohb]
wole raczej zdawać się na rozwiązanie systemowe, niż liczyć na użytkowników
szkoda że nie ma informacji które 'konto' spowodowało blokadę systemu

[quote:32ddwohb]
Zmiana czasu blokowania jak i całkowite wyłączenie banowania jest możliwe w panelu administracyjnym: Zarządzanie użytkownikami (na samym dole tabeli).
[/quote:32ddwohb]
nie moge tego odszukać, mam wersję 1.4.2

ajb

Potwierdzam, że tego nie ma w 1.4.2. Zmieniany był interfejs do administracji użytkownikami i zmiana ban time została źle umiejscowiona gdy mamy zainstalowany moduł CRM/Contacts. Kod odpowiedzialny za to jest w pliku modules/Base/User/Administrator/Administrator_0.php w liniach 194-200. Ale żeby działało gdy mamy Contacts to najlepiej go skopiować jeszcze w linię 131, przed return;



$qf = $this->init_module('Libs/QuickForm',null,'ban');

$qf->addElement('select','bantime',__('Ban time after 3 failed logins'),array(0=>__('Disabled'),10=>__('10 seconds'),30=>__('30 seconds'),60=>__('1 minute'),180=>__('3 minutes'),300=>__('5 minutes'),900=>__('15 minutes'),1800=>__('30 minutes'),3600=>__('1 hour'),(3600*6)=>__('6 hours'),(3600*24)=>__('1 day')),array('onChange'=>$qf->get_submit_form_js()));

$qf->setDefaults(array('bantime'=>Variable::get('host_ban_time')));

if($qf->validate()) {

    Variable::set('host_ban_time',$qf->exportValue('bantime'));

}

$qf->display();

Pozdrawiam,
Adam

markos151

[quote="ajb":1tqauykz]Potwierdzam, że tego nie ma w 1.4.2. Zmieniany był interfejs do administracji użytkownikami i zmiana ban time została źle umiejscowiona gdy mamy zainstalowany moduł CRM/Contacts. Kod odpowiedzialny za to jest w pliku modules/Base/User/Administrator/Administrator_0.php w liniach 194-200. Ale żeby działało gdy mamy Contacts to najlepiej go skopiować jeszcze w linię 131, przed return;
[/quote:1tqauykz]

Po tej poprawce ustawienia 'ban time' działa bez problemu.

dziekuję

ajb

W nowej wersji będziemy mieć dwie opcje.
Banowanie po:
- Adresie IP
- Nazwie użytkownika z danego adresu IP

Pierwsza opcja to tak jak było.
Druga jest trochę bardziej skomplikowana. Nie możemy banować tylko po nazwie użytkownika, ponieważ ktoś mógłby co chwile próbować zalogować się na nasze konto, a wtedy my byśmy nie byli w stanie tego zrobić, bo ciągle byłby ban. Dlatego biorę pod uwagę obie rzeczy - adres IP oraz nazwę użytkownika. Jeśli na dany login zostanie przekroczony limit to z tego samego adresu IP będzie można zalogować się na inne konta, oraz z innego adresu IP będzie można zalogować się na to samo zablokowane konto.

Także druga opcja jest słabszą wersją pierwszej.

Dodatkowo zmiana nieudanych prób logowania: 1,2,3,4,5,10
oraz czasu banowania tak jak było - albo i nie było 🙂

Wszystkie zmiany dopiero w nowej wersji.

Pozdrawiam,
Adam

markos151

[quote="ajb":3r2m7umv]
Druga jest trochę bardziej skomplikowana. Nie możemy banować tylko po nazwie użytkownika, ponieważ ktoś mógłby co chwile próbować zalogować się na nasze konto, a wtedy my byśmy nie byli w stanie tego zrobić, bo ciągle byłby ban. Dlatego biorę pod uwagę obie rzeczy - adres IP oraz nazwę użytkownika. Jeśli na dany login zostanie przekroczony limit to z tego samego adresu IP będzie można zalogować się na inne konta, oraz z innego adresu IP będzie można zalogować się na to samo zablokowane konto.
[/quote:3r2m7umv]
Chyba lepiej zliczać zbiorczo nieudane próby logowania dla danego użytkownika z wszystkich adresów IP. ?
Czy powstanie log nieudanych logowań ( Adres IP + Login_name)?

ajb

[quote="markos151":3i1ko8b0]Chyba lepiej zliczać zbiorczo nieudane próby logowania dla danego użytkownika z wszystkich adresów IP. ?[/quote:3i1ko8b0]
I co wtedy?

markos151

[quote="ajb":13xqya8t][quote="markos151":13xqya8t]Chyba lepiej zliczać zbiorczo nieudane próby logowania dla danego użytkownika z wszystkich adresów IP. ?[/quote:13xqya8t]
I co wtedy?[/quote:13xqya8t]

-Osobny licznik dla każdego użytkownika
-Zliczamy nieprawidłowe logowania użytkownika z dowolnego adresu IP, gdy liczba niepoprawnych logowań osiągnie dozwoloną wartość to user dostaje ban
( nie ma czegoś takiego że może próbować z innego adresu )
-Poprawne logowanie zeruje licznik

ajb

Pozwolę sobie zacytować sam siebie.
[quote="ajb":1dmmre0r]Nie możemy banować tylko po nazwie użytkownika, ponieważ ktoś mógłby co chwile próbować zalogować się na nasze konto, a wtedy my byśmy nie byli w stanie tego zrobić, bo ciągle byłby ban.[/quote:1dmmre0r]

Pozdrawiam,
Adam

Epesi ENS | Epesi Academy | epesi.cloud PaaS | GitHub

Help Me! | Download from SourceForge