Witam,
postanowiłem zebrać kilka dobrych i polecanych praktyk, aby usprawnić mechanizmy bezpieczeństwa XenForo, a także jego obsługę, np. kiedy z forum korzysta więcej niż tylko jeden administrator.
Zacznijmy jednak od początku. XenForo zawiera zestaw podstawowych narzędzi, które mogą okazać się przydatne, kiedy mówimy o bezpieczeństwie forum. Te narzędzia to:
Mechanizm 2FA odgrywa tu więc znaczącą rolę, bowiem wyciek hasła administratora może utrudnić atakującemu dostęp do konta, gdyż ten musi wykonać dodatkowy krok, aby sukcesywnie zalogować się na forum. W znacznych przypadkach krok ten może utrudnić, a często uniemożliwić logowanie, ponieważ atakującego czeka kolejne wyzwanie, które ostatecznie może doprowadzić do rezygnacji z chęci ataku.
Ochrona, czy też weryfikacja dwuetapowa w XenForo jest aktywna domyślnie, jednak to w interesie użytkownika, a tym bardziej administratora, leży jej konfiguracja. Aby dostać się do niej, należy odwiedzić swój profil, a dokładniej zakładkę hasło i bezpieczeństwo.
Klikamy w opcję Zmień, a następnie wprowadzamy hasło do naszego konta.
Domyślnie XenForo oferuje weryfikację dzięki aplikacjom i/lub wiadomościom e-mail. Różnice:
- weryfikacja za pośrednictwem aplikacji wymaga na zewnętrznym urządzeniu, np. smartfonie, instalacji aplikacji np. Authy albo Google Authenticator, a następnie zeskanowania, poprzez wybraną aplikację, kodu QR, który spowoduje utworzenie specjalnego wpisu, który cyklicznie, zwykle co kilkadziesiąt sekund, będzie generować kody służące do uwierzytelnienia. W praktyce oznacza to to, że atakujący, który loguje się z innego komputera, będzie musiał wprowadzić wygenerowany kod, więc tym samym, musi mieć fizyczny dostęp do Twojego smartfona, który zwykle też zabezpieczony jest hasłem lub blokadą biometryczną.
- weryfikacja za pomocą wiadomości email oznacza, że po próbie zalogowania, atakujący będzie musiał również zalogować się na Twoje konto mailowe, aby odebrać wiadomość z prośbą o potwierdzenie logowania. Ochrona ta nie jest polecana z uwagi na to, że wiele skrzynek mailowych zwykle nie jest zabezpieczona lub użytkownicy lubią mieć te same hasła na wielu stronach co skutkuje tym, że dostęp do skrzynki pocztowej administratora może zostać ułatwiony.
Istnieje również możliwość zabezpieczenia konta za pomocą jednorazowych kluczy bezpieczeństwa. Klucze te generowane są na stronie w profilu użytkownika i te należy zachować w bezpiecznym miejscu. Podczas logowania, użytkownik będzie proszony o wprowadzenie takie klucza, dlatego jest to ważne, aby mieć je pod ręką jednocześnie w bezpiecznym miejscu.
Po wybraniu jednej lub kilku z powyższych metod, przeglądarka/urządzenie, z którego dokonano logowania i pomyślnej weryfikacji, zapamiętywane jest na okres 30 dni. Po ponownym odwiedzeniu panelu użytkownika, pojawi się uproszczone podsumowanie zaufanych urządzeń:
Gdybyśmy logowali się z komputera publicznego (co nie jest zalecane), do którego dostęp ma niejedna osoba, moglibyśmy zechcieć przestać ufać temu komputerowi w taki sposób, aby zapomniał o weryfikacji co spowoduje, że kolejna próba logowania wymagać będzie uwierzytelnienia. To samo, choć w przeciwną stronę, gdybyśmy zauważyli na koncie podejrzaną aktywność, możemy przestać ufać wszystkim innym urządzeniom, na którym dokonano logowania, a zostawić to, z którego obecnie korzystamy. Do rozbudowanej 2FA wrócimy jeszcze później.
Przed brute force można chronić się więc korzystając z limitu błędnych prób logowania. Taka opcja dostępna jest w panelu administratora w lokalizacji Konfiguracja > Opcje użytkownika.
Co prawda jej konfiguracja jest wręcz znikoma, to jednak spełnia swoją rolę i oznacza, że w przypadku błędnych prób logowań, logowanie do konta zostaje zablokowane na kolejne 15 min. Kiedy konto jest cyklicznie blokowane, taką blokadę można obejść poprzez zresetowanie hasła. Atakujący, który co chwila wprowadza błędne dane logowania, po kolejnych próbach traci okresowo dostęp do systemu, gdyż musi odczekać "karę" otrzymaną z powodu zbyt wielu prób błędnych logowań. A ponieważ łamanie haseł tą metodą jest bardzo czasochłonne i potrafi zająć kilka tygodni, a nawet miesięcy, atakujący może zrazić się znacznie wydłużonym czasem operacji i zaniechać swoich działań.
Dodatkowo możemy zrezygnować z blokady konta na rzecz mechanizmu Captcha, który może okazać się przydatny przeciwko botom, gdyż te będą musiały stanąć przed zadaniem rozwiązania konkretnego zdania, co może stanowić kolejny dla nich problem.
Do pomocy możemy posłużyć się adresami IP, które do wglądu administratorom, zapisywane są w profilach użytkowników. Jeśli użytkownik nie korzysta z VPN i nie jest na wakacjach, być może warto sprawdzić, czy jego logowanie nie nastąpiło z podejrzanego adresu IP, aby móc podjąć odpowiednie kroki w ochronie jego konta.
Mechanizm captchy w dużym uproszczeniu wprowadza proste do rozwiązania zadania, które nie powinny być problemem dla człowieka, ale dla botów. Captcha stosuje się zwykle tam, gdzie na stronach internetowych zamieszczane są formularze. Najprostszym tego przykładem jest rejestracja. Bez mechanizmów captchy może okazać się, że boty sukcesywnie zarejestrują się na naszej stronie a następnie przejdą do masowego rozsyłania niechcianych wiadomości. Captcha powinna być skonfigurowana w pierwszej kolejności. Warto jest więc przejrzeć ustawienia dostępne na wspomnianej stronie i dopasować je według uznania.
postanowiłem zebrać kilka dobrych i polecanych praktyk, aby usprawnić mechanizmy bezpieczeństwa XenForo, a także jego obsługę, np. kiedy z forum korzysta więcej niż tylko jeden administrator.
Zacznijmy jednak od początku. XenForo zawiera zestaw podstawowych narzędzi, które mogą okazać się przydatne, kiedy mówimy o bezpieczeństwie forum. Te narzędzia to:
Ochrona dwuetapowa
tzw. 2FA, czyli mechanizm sprawdzający, czy Ty, to Ty. Dlaczego jest on taki ważny? Niestety, obecnie silne hasło skojarzone z profilem administratora może okazać się tylko połowicznym sukcesem, a niekiedy klapą, kiedy zostanie przechwycone. Wtedy atakujący może je wykorzystać i w najmniej oczekiwanym momencie (np. nocą, gdy spisz a ruch na forum jest znikomy) zalogować się na forum, aby dokonać szkód.Mechanizm 2FA odgrywa tu więc znaczącą rolę, bowiem wyciek hasła administratora może utrudnić atakującemu dostęp do konta, gdyż ten musi wykonać dodatkowy krok, aby sukcesywnie zalogować się na forum. W znacznych przypadkach krok ten może utrudnić, a często uniemożliwić logowanie, ponieważ atakującego czeka kolejne wyzwanie, które ostatecznie może doprowadzić do rezygnacji z chęci ataku.
Ochrona, czy też weryfikacja dwuetapowa w XenForo jest aktywna domyślnie, jednak to w interesie użytkownika, a tym bardziej administratora, leży jej konfiguracja. Aby dostać się do niej, należy odwiedzić swój profil, a dokładniej zakładkę hasło i bezpieczeństwo.
Klikamy w opcję Zmień, a następnie wprowadzamy hasło do naszego konta.
Domyślnie XenForo oferuje weryfikację dzięki aplikacjom i/lub wiadomościom e-mail. Różnice:
- weryfikacja za pośrednictwem aplikacji wymaga na zewnętrznym urządzeniu, np. smartfonie, instalacji aplikacji np. Authy albo Google Authenticator, a następnie zeskanowania, poprzez wybraną aplikację, kodu QR, który spowoduje utworzenie specjalnego wpisu, który cyklicznie, zwykle co kilkadziesiąt sekund, będzie generować kody służące do uwierzytelnienia. W praktyce oznacza to to, że atakujący, który loguje się z innego komputera, będzie musiał wprowadzić wygenerowany kod, więc tym samym, musi mieć fizyczny dostęp do Twojego smartfona, który zwykle też zabezpieczony jest hasłem lub blokadą biometryczną.
- weryfikacja za pomocą wiadomości email oznacza, że po próbie zalogowania, atakujący będzie musiał również zalogować się na Twoje konto mailowe, aby odebrać wiadomość z prośbą o potwierdzenie logowania. Ochrona ta nie jest polecana z uwagi na to, że wiele skrzynek mailowych zwykle nie jest zabezpieczona lub użytkownicy lubią mieć te same hasła na wielu stronach co skutkuje tym, że dostęp do skrzynki pocztowej administratora może zostać ułatwiony.
Istnieje również możliwość zabezpieczenia konta za pomocą jednorazowych kluczy bezpieczeństwa. Klucze te generowane są na stronie w profilu użytkownika i te należy zachować w bezpiecznym miejscu. Podczas logowania, użytkownik będzie proszony o wprowadzenie takie klucza, dlatego jest to ważne, aby mieć je pod ręką jednocześnie w bezpiecznym miejscu.
Po wybraniu jednej lub kilku z powyższych metod, przeglądarka/urządzenie, z którego dokonano logowania i pomyślnej weryfikacji, zapamiętywane jest na okres 30 dni. Po ponownym odwiedzeniu panelu użytkownika, pojawi się uproszczone podsumowanie zaufanych urządzeń:
Gdybyśmy logowali się z komputera publicznego (co nie jest zalecane), do którego dostęp ma niejedna osoba, moglibyśmy zechcieć przestać ufać temu komputerowi w taki sposób, aby zapomniał o weryfikacji co spowoduje, że kolejna próba logowania wymagać będzie uwierzytelnienia. To samo, choć w przeciwną stronę, gdybyśmy zauważyli na koncie podejrzaną aktywność, możemy przestać ufać wszystkim innym urządzeniom, na którym dokonano logowania, a zostawić to, z którego obecnie korzystamy. Do rozbudowanej 2FA wrócimy jeszcze później.
Automatyczna blokada
tzw. auto-lock to opcja, która pozwala zabezpieczyć się przed atakiem tzw. brute force. Brute force to metoda polegająca na łamaniu haseł poprzez wpisywanie wszystkich możliwych kombinacji znaków aż do momentu odgadnięcia hasła. Im bardziej nasze hasło jest skomplikowane, tym dłużej zajmuje jego zgadnięcie. Hasła stosowane w Internecie nie powinny zawierać odniesień do konkretnych przedmiotów, czy nazw, a najlepiej powinny składać się z przypadkowych znaków. Jest to ważne, ponieważ do ataków brute force wykorzystuje się tzw. słowniki zawierające przede wszystkim popularne hasła, kombinacje, czy znane wyrażenia, najczęściej te, które już kiedyś stanowiły hasła lub ich część i wyciekły do Internetu.Przed brute force można chronić się więc korzystając z limitu błędnych prób logowania. Taka opcja dostępna jest w panelu administratora w lokalizacji Konfiguracja > Opcje użytkownika.
Co prawda jej konfiguracja jest wręcz znikoma, to jednak spełnia swoją rolę i oznacza, że w przypadku błędnych prób logowań, logowanie do konta zostaje zablokowane na kolejne 15 min. Kiedy konto jest cyklicznie blokowane, taką blokadę można obejść poprzez zresetowanie hasła. Atakujący, który co chwila wprowadza błędne dane logowania, po kolejnych próbach traci okresowo dostęp do systemu, gdyż musi odczekać "karę" otrzymaną z powodu zbyt wielu prób błędnych logowań. A ponieważ łamanie haseł tą metodą jest bardzo czasochłonne i potrafi zająć kilka tygodni, a nawet miesięcy, atakujący może zrazić się znacznie wydłużonym czasem operacji i zaniechać swoich działań.
Dodatkowo możemy zrezygnować z blokady konta na rzecz mechanizmu Captcha, który może okazać się przydatny przeciwko botom, gdyż te będą musiały stanąć przed zadaniem rozwiązania konkretnego zdania, co może stanowić kolejny dla nich problem.
Ręczna blokada
funkcja, dzięki której możemy tymczasowo zablokować konto, na którym zauważyliśmy podejrzaną aktywność, aby pomóc jemu właścicielowi w jego odzyskaniu. Efekt użycia tej opcji spowoduje, że konto zostaje zamknięte do momentu, kiedy użytkownik nie zmieni swojego hasła.Do pomocy możemy posłużyć się adresami IP, które do wglądu administratorom, zapisywane są w profilach użytkowników. Jeśli użytkownik nie korzysta z VPN i nie jest na wakacjach, być może warto sprawdzić, czy jego logowanie nie nastąpiło z podejrzanego adresu IP, aby móc podjąć odpowiednie kroki w ochronie jego konta.
Ochrona przed botami i spamem
Twórcy XenForo oddają całkiem spore narzędzia do walki z niechcianymi wiadomościami typu SPAM oraz rejestracjami tzw. botów, które ten spam mogą rozsyłać. W panelu administratora, w ustawieniach Konfiguracja -> Kontrola spamu otrzymujemy dostęp do narzędzi, które mogą ochronić nas przed tego typu treścią. Część z tych funkcji należy konfigurować uważnie, jednak na sam początek warto zwrócić uwagę na mechanizmy tzw. Captcha i od razu przejść do jej konfiguracji.Mechanizm captchy w dużym uproszczeniu wprowadza proste do rozwiązania zadania, które nie powinny być problemem dla człowieka, ale dla botów. Captcha stosuje się zwykle tam, gdzie na stronach internetowych zamieszczane są formularze. Najprostszym tego przykładem jest rejestracja. Bez mechanizmów captchy może okazać się, że boty sukcesywnie zarejestrują się na naszej stronie a następnie przejdą do masowego rozsyłania niechcianych wiadomości. Captcha powinna być skonfigurowana w pierwszej kolejności. Warto jest więc przejrzeć ustawienia dostępne na wspomnianej stronie i dopasować je według uznania.
Pozostałe
W rdzeń XenForo zaimplementowano również wiele innych funkcji odpowiedzialnych za bezpieczeństwo. Do nich zaliczamy np. szyfrowanie haseł w jedną stronę metodami sha256 lub sha1 oraz sprawdzanie autentyczności plików, gdyby okazało się, że któryś z nich został `zatruty` lub po prostu zmodyfikowany i nie jest autentyczny. Taką weryfikację spójności plików można uruchomić bezpośrednio z panelu administratora: Narzędzia -> Spójność plików.
Ostatnia edycja: