WordPress und 2FA (Zwei-Faktor-Authentisierung)

Heute ist Samstag Abend und mir spinnt schon die ganze Tag das Thema 2FA durch den Kopf. Konkret muss ich den Google Authenticator bei einem Kunden auf dem Webserver installieren und könnte dies auch direkt bei meinem WordPress Blog durchführen.

Zunächst würde ich gerne das Thema 2FA etwas in Einklang bringen, Wikipedia beschreibt dies relativ einfach in ein paar kurzen Sätzen:

Die Zwei-Faktor-Authentisierung (2FA), häufig auch als Zwei-Faktor-Authentifizierung bezeichnet, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, sowie Passphrase und TAN beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.


Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für sicherheitskritische Anwendungsbereiche die Zwei-Faktor-Authentisierung in seinen IT-Grundschutz-Katalogen.

https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung

Das Thema 2FA finden wir in unterschiedlichen Bereichen wieder. Mittlerweile unterstützen viele Anbieter das 2FA Verfahren (z.B. Paypal, AMAZON & Co), wobei die Auswahl des zweiten Faktors oft das Mobiltelefon (z.B. SMS) oder auch eine App sein kann. Bei der Auswahl der App empfehle ich Authy, welches viele nützliche Funktionen bietet. Neben Fingerprint Authentication sind auch Cloud Backups möglich.

2FA für WordPress

Um 2FA für WordPress zu aktivieren, ist zunächst ein Plugin notwendig. Um einen einzelnen Admin Account abzusichern, ist das Plugin Google Authenticator – WordPress Two Factor Authentication (2FA) von miniOrange eine gute Lösung. Das Plugin wird normal hinzugefügt und anschließend aktiviert.

Nach der Installation findet man links im Menü das Item miniOrange 2 Faktor, in welchem dann der Google Authenticator konfiguriert werden kann.

Die nächsten Schritte sind jetzt relativ einfach: Es wird ein QR Code erzeugt, der mit Authy gescannt wird (1) . Anschließend wird der erzeugte OTP rechts eingetragen, um das ganze zu verifizieren (2). Nun muss noch Enable 2FA prompt on the WP Login Page aktiviert werden. Es empfiehlt sich außerdem seinen Token zu testen, bevor man sich abmeldet und erneut anmeldet (Test Authentication Method).

Wenn alles funktioniert hat, kann man sich abmelden und erneut anmelden. Nun wird man nach einem Benutzernamen, Kennwort und dem OTP Token gefragt.
.

Fertig – Zwei-Faktor-Authentisierung

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

E-Mail Benachrichtigung bei SSH Login

Wer gerne über einen SSH Login per E-Mail informiert werden möchte, kann dies über ein recht einfaches Script erledigen. Hierzu muss zunächst unter Centos mailx installiert werden, damit der mail command funktioniert. Ob der Mail command vorhanden ist, lässt sich einfach mit

ausfindig machen. Alternativ kann man sich auch einfach eine Testmail senden lassen:

Zur Installation unter Centos verwenden wir yum:

Anschließend muss die Datei /etc/bashrc so verändert werden, das der folgende Code direkt am Anfang ausgeführt wird:

Nach einem erfolgreichem SSH Login bekommt der Benutzer dann eine E-Mail: Login on web29.stefan-eggert.de Sa 20. Apr 10:13:31 CEST 2019 root pts/0 2019-04-20 10:13 (xxx)

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de

WPS und AVM Fritzbox Gäste WLAN

Am Wochenende habe ich eine sehr amüsante Geschichte erlebt. Eigentlich war diese schon so trivial, das ich diesen Artikel gar nicht schreiben wollte, aber vielleicht gibt es ja doch den ein oder anderen Leser der hier nutzen finden kann.

Mir wurde ein Fritzbox Gästewlan zur Verfügung gestellt. Leider stellte sich jedoch heraus, das im Gästenetz nur Port 80 und Port 443 erlaubt wurden. Aus dem Nutzungsvertrag des Betreibers konnte ich entnehmen, das man anscheinend P2P Dienste ausschliessen wollte. Mein Problem: Ich musste Port 440 erreichen, da mein Kunde SSL VPN auf genau diesen Port laufen hatte. Im übrigen ein guter Grund, VPN auf Port TCP 443 laufen zu lassen um dies dann auch aus z.B. Hotels oder anderen Hotspots erreichen zu können.

Zugriff auf WPS Taste

Wi-Fi Protected Setup (WPS) ist ein von der Wi-Fi Alliance entwickelter Standard zum einfachen Aufbau eines drahtlosen lokalen Netzwerkes mit Verschlüsselung, welcher seit 2007 zur Verfügung steht. Das Ziel von WPS ist es, das Hinzufügen von Geräten in ein bestehendes Netzwerk zu vereinfachen.

https://de.wikipedia.org/wiki/Wi-Fi_Protected_Setup

Falsch umgesetzt bringt WPS natürlich einige Gefahren mit sich, hierzu werde ich nochmal separat etwas zu schreiben. Im konkreten Fall hatte der Betreiber nämlich die „Push Button Configuration“ in seiner Fritzbox aktiviert. Durch physikalischen Zugriff auf die Box konnte ich mit der WPS Taste das Hauptnetz erreichen, was Datenverkehr ungefiltert zugelassen hat. Natürlich hätte ich mir auch einfach einen LAN Port abgreifen können, aber leider hatte ich meinen USB LAN Adapter nicht dabei. Auch der Irrglaube, das Kennwort der FritzBox nicht ändern zu müssen (die Weboberfläche lässt sich aus dem GästeWlan nämlich nicht erreichen) war fatal: Nachdem ich per WPS mit dem normalen WLAN verbunden wurde, konnte ich natürlich auch die Weboberfläche erreichen und das aufgedruckte Kennwort der FritzBox verwenden.


Zusammengefasst

WPS gehört deaktiviert und das aufgedruckte Kennwort muss geändert werden. Außerdem sollte man hinterfragen, ob man die Geräte zugänglich machen muss. Moderne AccessPoints können sich gegen externe Brute-Force-Angriffe durch „wash“ und „reaver“ relativ gut schützen, jedoch handelte es sich bei meinem Beispiel einfach nur um einen einfachen Konfigurationsfehler, der am Ende schwere Folgen hätte haben können da ich physikalischen Zugriff auf das Gerät hatte (ohne erst meinen Koffer mit der WIFI PINEAPPLE auspacken zu müssen).

Das Vorgehen wurde natürlich mit dem Betreiber vorab abgestimmt.

Über den Autor

Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit. Beruflich bin ich erreichbar unter www.stefan-eggert.de