Warum Sicherheit?
Mit 100MBit/s ist es möglich jeden Rechner im Internet in 90 Minuten auf eine spezifische Eigenschaft zu testen.
Hier gibt es spezialisierte Suchmaschinen und Tools für Hacker, mit denen sich die Suche von Lücken und deren Ausnutzen automatisieren lässt.
- Mit Shodan kann man gezielt nach Lücken suchen.
- Mit Kali-Linux fertige Distribution mit Tools für automatisierte Hacks.
- Metasploit - 4 Module für TYPO3
- Nessus versucht über automatisierte Parameteranhänge SQL-Injection
Was kann man tun?
- Server nur über http/s öffentlich erreichbar
- Securityfixes zeitnah automatisiert einspielen lassen
- Router mit fester IP, zB. UnityMedia +10 € für Zugriffe SSH
- Kein FTP, niemals
- Kunden haben kein SSH und kein MYSQL-Zugang
- Software aktuell halten (IT Sicherheitsgesetz) - Stand der Technik (also auch TYPO3 mit ELTS reicht)
- Monitoring (fortgeschritten)
Was sollte man organisatorisch tun?
- Passwortpolicy
- nur persönliche Passwörter
- sichere VPN-Zugänge
- Kundenschulung Sicherheit
- Bei Beendigung der Arbeit Kunden auffordern, meinen Zugang zu löschen
- 32 Zeichen für wichtige Passwörter
- Keine Entwicklung auf dem Livesystem
- wo möglich, 2-Faktor-Authentifizierung nutzen
- GitLab, Bitbucket etc. per 2-Faktor sichern
- von Lastpass oder GoogleAuthentifikator
- Betreuungszugriff bei Mittwald nicht mehr nutzen / kündigen
TYPO3-spezifisch
- Kein Admin für Kunden (nur wenn dauerhafte Betreuung, sonst muss er ja in der Lage sein, mich zu löschen)
- Adminzugang nur aus definiertem IP-Bereich (beuser_iprange)
- be_secure_passwords
- be_login_captcha
- Alles entfernen, was nicht benötigt wird (also nicht nur nicht installiert, nicht auf dem System
- Caretaker (wohl auch für T3 9): Interne Überwachung TYPO3-Extensions etc.
- E-Mail-Benachrichtigung für mehrfache Fehllogins aktivieren (Sperre default für BE in TYPO3 integriert)
- Lesen der Securitymeldungen
- Securityrelevante Bereiche (Login) durch Pairprogramming / 4-Augen-Prinzip entwickeln lassen