Nach wie vor ist E-Mail das wichtigste Transportmittel für schädliche Inhalte und Programme. Daher ist es wichtig, den unerlaubten Zugriff auf Messaging-Systeme zu unterbinden, so dass sich niemand fremder Konten bemächtigen kann. Außerdem müssen die Gefahren durch aktive Inhalte eingedämmt werden.*
Gelingt es einem Angreifer, sich Zugang zu einem Mail-Konto zu verschaffen, dann eröffnen sich ihm zahlreiche Möglichkeit des Missbrauchs. Dieser besteht nicht nur im Versand von Spam. Eine größere Gefahr geht von Phishing-Mails aus, wenn sie von innerhalb der Firma verschickt werden.
Funktionen zur Absicherung von Konten
Folgende neue Funktionen können Administratoren aktivieren, um für mehr Sicherheit bei der Benutzung von CommuniGate Pro zu sorgen:
Zeitliche Begrenzung der Passwort-Gültigkeit. Anwender können nun gezwungen werden, in definierten Intervallen ihr Passwort zu ändern. Dies erledigt man in den Konto-Einstellungen der betreffenden User, im Abschnitt Authentifikation.
TLS-Verbindungen für Logins erzwingen: In den User-Einstellungen unter Authentifikation können Administratoren nun auch dafür sorgen, dass Anwender sich nur über TLS-verschlüsselte Verbindungen an der Applikation anmelden dürfen. Damit wird das Mitlesen von Passwörtern durch Angreifer erschwert.
Zwei-Faktor-Authentifizierung: Mit Version 6.2 führt CommuniGate Pro die Möglichkeit zur Zwei-Faktor-Authentifizierung ein. Dieses Verfahren ist inzwischen bei zahlreichen Cloud-Anwendungen verbreitet, da es die Login-Sicherheit deutlich erhöht, weil der User dafür zwei voneinander unabhängige Mittel zur Identifikation benötigt.
Aktivieren kann man diese verstärkte Login-Prozedur unter Benutzer => Domains => BENUTZER => Einstellungen im Bereich Zwei-Faktor-Authentifizierung.
Im Konto des Users wird die dafür benötigte Mobil-Rufnummer dem Feld Alternativer Kontakt unter Benutzer => Domains => BENUTZER => Präferenzen im Abschnitt PINs entnommen. Für E-Mail verwendet die Funktion den Eintrag, der für Passwort Recovery hinterlegt wurde.
Beim Login wählt der Anwender dann zwischen einem automatischen Anruf oder einer SMS.
Administratoren von CommuniGate Pro haben durch Modifizieren des zugrundeliegenden Scripts x2auth.sppr, welches für den Versand der Auth-Codes zuständig ist, die Möglichkeit, andere Services einzubinden. Beispielsweise könnte man darüber ein externes API für das Versenden von SMS ansprechen.
Augenmerk auf Web-Sicherheit
Bei einer Web-Anwendung besteht immer die latente Gefahr, dass Angreifer Lücken ausnutzen und es ihnen gelingt, eine Webuser-Sitzung über ein Ausspähen der Session-ID in Verbindung mit Javascript-Injection zu kapern. Insbesondere HTML, Links und Bilder innerhalb von E-Mails stellen eine Gefahr dar.
Während die Schutzmechanismen gegen diese Art Angriffe in CommuniGate Pro keineswegs neu sind, so sollten Administratoren bei einem Audit der Sicherheitseinstellungen die Empfehlungen der CommuniGate-Experten beherzigen.
Um nicht komplett auf HTML und Bilder in Mails verzichten zu müssen, raten sie zu einem Kompromiss: HTML per Frame einbetten und Bilder sowie Links nur mit entsprechender Sicherheitsoption zulassen.
Die entsprechenden Einstellungen finden sich in der User-Konfiguration unter Präferenzen: Die Einstellung Sicher sorgt dabei dafür, dass an die referenzierten Websites kein Referer mit Webuser-Session-ID übermittelt wird, die einem Angreifer ein Kapern der Session ermöglichen könnte.
Eine im System verankerte Einstellung, die bereits mit Version 6.1.17 eingeführt wurde, unterdrückt übrigens den Referer-Header bei den Web-Clients automatisch. Dies verringert die Gefahr von Session-Hijacking beträchtlich.
*Dieser Text ist ein bezahlter Beitrag von CommuniGate Systems.
Weitere Beiträge von diesem Anbieter