Help! Ik kan niet meer inloggen

cloud lockout login

20 Okt Help! Ik kan niet meer inloggen

Heeft u binnen uw organisatie wel eens last van accounts die zomaar uit het niets blokkeren? Met de komst van cloud computing is het een steeds vaker voorkomend probleem. Dit is de reden van het plotseling ongewenst blokkeren van toegang.

Extranet Lockout
De cloud omgeving is meestal ook van buitenaf te benaderen voor gebruikers. In veel gevallen is deze inlog gekoppeld aan lokale systemen waar een zogenaamde lock-out policy is ingesteld. Zo’n policy kan ervoor zorgen dat wanneer een gebruiker bijvoorbeeld vijf keer een verkeerd wachtwoord invoert, het betreffende account uit veiligheidsoverwegingen blokkeert. Nu gebruikers van buitenaf ook kunnen inloggen is het voor kwaadwillende personen of instanties interessant om door middel van een specifieke aanval allerlei combinaties van gebruikersnamen en wachtwoorden geautomatiseerd los te laten op de omgeving. Als voor elk account vijf foutieve pogingen worden gedaan, worden deze accounts geblokkeerd door de eerder genoemde policy.

Koppeling van cloud aan interne systemen
De meeste cloud omgevingen (zoals bijvoorbeeld Microsoft Office 365) zijn gekoppeld aan de interne systemen (Active Directory) door middel van een Active Directory Federation Services (ADFS)-omgeving. Deze omgeving zorgt ervoor dat gebruikers overal met dezelfde gebruikersnamen en wachtwoorden kunnen inloggen op basis van de accounts in de lokale omgeving. Ofwel, met je gebruikersnaam en wachtwoord voor het interne netwerk óók inloggen op je cloud omgeving. Daar zit ook direct het ‘probleem’; Omdat gebruik wordt gemaakt van de lokale gebruikersnamen en wachtwoorden en dit account wordt geblokkeerd na te veel foutieve inlogpogingen van buitenaf, zal de gebruiker nergens meer kunnen inloggen. Niet op de cloud omgeving, niet op het interne netwerk.

cloud extranet lockout configuratie

Een schematische weergave van de configuratie

De oplossing
Binnen ADFS is een oplossing beschikbaar: Extranet Lockout. Dit mechanisme zorgt ervoor dat bij het extern inloggen -waarbij een gebruiker via een Web Application Proxy server wordt doorgestuurd naar ADFS- alleen de externe toegang wordt geblokkeerd en de gebruiker lokaal gewoon verder kan werken.

Let op: Het aanzetten van deze functionaliteit is vrij eenvoudig, toch zijn er een aantal haken en ogen. De instellingen van de Extranet Lockout dienen altijd in harmonie te zijn met de instellingen binnen de Active Directory. Een voorbeeld: Als de huidige lockout policy binnen Active Directory is ingesteld dat na 10 keer verkeerd inloggen het betreffende AD account wordt geblokkeerd, dan zou de Extranet Lockout functie ingesteld moeten worden op 9 (of lager indien gewenst) voordat dit effect heeft. Als deze namelijk gelijk of hoger is ingesteld, kan je alsnog van buitenaf een intern account blokkeren en kunnen uw gebruiker nog steeds verrast worden met een onbedoelde en ongewenste ‘uitsluiting’ van uw systemen.

Wilt u meer weten over Extranet Lockout of dit goed, veilig en functioneel laten implementeren binnen uw IT omgeving? Neem dan contact op met de cloud specialisten van Caase.com.

Mark Hammink
Senior Cloud Consultant

No Comments

Post A Comment