Sicherheitsoptimierungen

Einleitung

Relution ist ein mächtiges Werkzeug, mit dem Anwendende teilweise große Berechtigungen auf verwalteten Geräten haben. Daher sollte das System bestmöglich vor Fremdzugriff geschützt werden. Das Relution Portal lässt sich an verschiedenen Stellen mit eingebauten Funktionen sicherheitstechnisch optimieren. Hinzu kommt die gezielte Verteilung von notwendigen Berechtigungen.

Sicheres Kennwort verwenden

Wird ein neues Benutzerkonto in Relution angelegt, wird hier ein komplexes Kennwort vorgeschlagen. Dies kann übernommen oder auch abgeändert werden. Achten Sie auf jeden Fall darauf, sich an die Komplexitätsempfehlung des BSI → zu halten.

Zweiten Faktor zur Authentifizierung hinzufügen

Relution unterstüzt die Anmeldung mit einem zweiten Faktor. Dies müssen Benutzer:Innen für ihren eigenen Account selbst konfigurieren. Hierzu oben rechts auf den Benutzernamen > Profil klicken. Dort kann ein MFA-Token für eine Authenticator App oder eine E-Mail Verifizierung hinterlegt werden. Nutzen Sie diese Funktion auf jeden Fall!

Access Token verwenden

In Relution kann ebenfalls im Profil des Userkontos ein Access Token für die Nutzung der API hinterlegt werden. Dieses Token bietet den Vorteil, dass in Skripten keine Username/Passwort Kombination im Klartext hinterlegt werden müssen. Zudem kann das Token mit einem Ablaufdatum versehen werden, um sicherzustellen, dass es nicht länger aktiv ist als wirklich notwendig.

IP-Zugriffsregeln & Fail2Ban konfigurieren

In der Global Organisation kann unter
Einstellungen → Systemsicherheit sowohl IP-Zugriffsregeln als auch Fail2Ban konfiguriert werden.

Damit lässt sich z. B. festlegen, dass eine IP-Adresse nach einer bestimmten Anzahl fehlgeschlagener Loginversuche (z. B. 10) für einen Zeitraum gesperrt wird.

IP-Zugriffsregeln steuern grundsätzlich, von welchen IP-Adressen oder Netzwerken aus eine Anmeldung erlaubt oder blockiert wird. Dabei können sowohl einzelne IPs als auch ganze Bereiche definiert werden.

Wichtiger Hinweis
Vor der Konfiguration sollte geprüft werden, mit welcher eigenen IP-Adresse die Verbindung zum Server erfolgt, um ein versehentliches Aussperren zu vermeiden.

Bedeutung der Statuswerte

Erlaubt

  • Anmeldung ist aktuell möglich
  • Wird automatisch gesetzt, sobald ein Anmeldeversuch erfolgt (auch bei fehlgeschlagenen Versuchen)
  • Dient hauptsächlich der Übersicht und Protokollierung

Dauerhaft erlaubt

  • IP-Adresse ist explizit freigegeben
  • Hat Vorrang vor anderen Regeln
  • Bleibt dauerhaft bestehen
  • Empfohlen für vertrauenswürdige Standorte (z. B. Büro oder VPN)

Blockiert

  • IP-Adresse ist vorübergehend gesperrt
  • Kann jederzeit wieder freigegeben werden

Dauerhaft blockiert

  • IP-Adresse ist dauerhaft gesperrt
  • Keine Anmeldung mehr möglich
  • Sinnvoll bei eindeutig unerwünschten Zugriffen

Verwendung von IP-Bereichen

Mit dem sogenannten CIDR-Präfix wird festgelegt, wie groß der IP-Bereich ist, auf den sich eine Regel bezieht.

PräfixBedeutung
/32Genau eine einzelne IP-Adresse
/24Ein typisches Netzwerk (z. B. Firmennetz)

Grundregel:
Je kleiner die Zahl, desto größer der abgedeckte IP-Bereich.

Beispiele CIDR

  • 192.168.1.10/32
    → Betrifft genau ein einzelnes Gerät

  • 192.168.1.0/24
    → Betrifft alle Geräte von 192.168.1.1 bis 192.168.1.254

Beispiel Alles außer erlaubten IPs blockieren

Vertrauenswürdige IPs definieren

  • Eigene oder bekannte Netzwerke festlegen
  • Diese als „Dauerhaft erlaubt“ konfigurieren
  • Beispiele:
    • Büro-Netzwerk
    • VPN-Zugänge

Globale Blockregel erstellen

  • Regel für alle übrigen IP-Adressen anlegen
  • Beispiel: 0.0.0.0/0 (umfasst alle IPs weltweit)
  • Status: „Dauerhaft blockiert“

Wichtiger Hinweis
Vor Aktivierung der globalen Blockregel unbedingt sicherstellen, dass die eigene IP-Adresse korrekt als dauerhaft erlaubt hinterlegt ist.

Berechtigungen verwalten

Relution bietet im Standard zwölf Berechtigungsvorkonfigurationen an. Prüfen Sie, welche Funktionen in welchem Berechtigungspreset aktiv sind. Klicken Sie hierzu auf Benutzer > Berechtigungen und achten Sie auf die Einträge, die vom System angelegt wurden. Diese Rollen können nicht editiert werden. Sie können jedoch jederzeit neue Berechtigungen anlegen und dort feingranular die notwendigen Funktionen für einzelne Benutzer:Innen freischalten. Die Berechtigungen korrelieren mit den Benutzergruppen, die von Relution angelegt wurden.