Wir schicken beuser_iprange in die Rente

Vor vielen Jahren haben wir unsere TYPO3 Extension beuser_iprange ins Leben gerufen, mit dem Ziel, das TYPO3 Backend sicherer zu machen: Ein Login sollte nur von definierten IP-Adressen möglich sein. Was 2008 technisch eine gute Idee war, ist heutzutage einfach nicht mehr state of the art. Ehrlich gesagt, nutzen wir die Extension selbst schon lange nicht mehr. Daher haben wir uns entschieden, die Weiterentwicklung einzustellen.

Wir sind 2008 mit der Idee gestartet, den Zugriff für Nutzer auf das TYPO3 Backend über die IPv4 -Adresse oder ein IPv4-Netz zu beschränken: In der TYPO3 Konfiguration konnten IP-Bereiche hinterlegt werden, aus denen sich Nutzer im Backend einloggen können. Dabei konnten getrennte Bereiche für Redakteure und Administratoren festgelegt werden. Damals waren Internetzugänge noch relativ einfach strukturiert, und man konnte so schnell eine zusätzliche Sicherheit für die TYPO3 Instanz herstellen.

Statische Netze mit festen IPv4-Adressen werden heutzutage kaum noch vergeben bzw. genutzt. Zudem setzen Unternehmen auf eine redundante Internetanbindung mit mehreren (weltweit verteilten) Providern. Es gibt nicht mehr den einen einzelnen Bereich, den wir freigeben können. Vielmehr muss die Konfiguration relativ oft angepasst werden, um den Änderungen in den Unternehmensnetzen zu entsprechen.

Mitarbeiter, die mobil arbeiten, erhalten je nach ihrem Standort dynamische IP-Adressen. Eine Festlegung auf eine IP-Adresse oder einen Bereich ist gar nicht mehr möglich. Über Unternehmens-VPNs wäre zwar technisch wiederum eine Einschränkung auf den Unternehmens-IP-Bereich möglich – aber nach unserer Erfahrung wird das sehr selten gemacht, und wenn, dann sind wir wieder bei dem oben beschriebenen Problem.

Sich heutzutage allein auf IPv4-Adressbereiche zu verlassen, um den Zugriff auf ein System zu beschränken, ist schlichtweg überholt. Mit der zunehmenden Verbreitung von IPv6, der parallelen Nutzung beider Protokolle im Dual-Stack-Betrieb und Mechanismen wie Happy Eyeballs, das stets die schnellste Verbindung priorisiert, greift eine reine IPv4-Beschränkung viel zu kurz. Sie ignoriert nicht nur einen wachsenden Teil des Internets, der bereits auf IPv6 setzt, sondern kann auch bei Nutzern mit Dual-Stack-Anbindung unnötige Hürden schaffen oder sogar die Konnektivität verhindern. Eine moderne Sicherheitsstrategie muss IPv6 zwingend berücksichtigen, um umfassenden Schutz zu gewährleisten und die Erreichbarkeit für alle Nutzer sicherzustellen.

Kurz: Man kann sich heutzutage nicht mehr auf IP-Adressen als Identifikator einer Nutzergruppe verlassen.

Eine Aufgabe der Extension ist ja das Vermeiden von unbefugten Login-Versuchen. Brute-Force-Login-Attacken aus dem anonymen Internet auf das Backend sind mit der Extension nicht mehr möglich. TYPO3 hat seit Version 11.3 ein eigenes Rate-Limit – Brute-Force-Login-Attacken werden somit deutlich erschwert. Diese Aufgabe hat der Core übernommen. Mit derselben TYPO3-Version ist übrigens auch die Unterstützung für eine 2-Faktor-Authentifizierung aufgenommen worden. Damit kann man unbefugte Logins verhindern und das TYPO3 Backend noch sicherer machen.

Im Unternehmenskontext sollte man über die Anbindung an ein vorhandenes System via OAuth2 oder andere Systeme nachdenken – da haben wir übrigens schon die passende Extension… 😉

Und wer unbedingt eine Absicherung auf IP-Ebene haben möchte: Bei aktuellen TYPO3-Versionen kann man den Zugriff auf das Backend auch mittels einer Konfiguration im Webserver auf IP-Ebene beschränken. Das ist dann auch direkt im richtigen Layer und belastet TYPO3 nicht zusätzlich.

Durch den Wegfall der Extension und die Beschränkung auf TYPO3-Corefunktionen ist die Instanz einfacher zu warten - wir können mehr Zeit damit verbringen, unsere Kunden voranzubringen. 

Die vorhandenen Versionen bleiben im TER und auf GitHub. Wir werden keine neuen Fassungen mehr veröffentlichen. Falls Interesse besteht, übergeben wir die Extension auch gerne in neue Hände. Quasi als Altersteilzeit.