Security-Hardening Runde 10: Security-Monitoring + Alerting

Defense-in-Depth für alles, was in den ersten 9 Runden nicht durch Code verhindert wurde: zumindest gesehen + alarmiert werden. 📊 SecurityEvent-Tabelle (Prisma) - Type/Severity/IP/User/Endpoint + Indexen für Filter+Threshold-Detection - Trennt sich vom AuditLog: AuditLog ist forensisch + hash-gekettet, SecurityEvent ist optimiert für Realtime-Alerting + Aggregation. 🪝 Hooks an kritischen Stellen - Login (Success/Failed) – auth.controller - Logout, Password-Reset (Request + Confirm) – auth.controller - Rate-Limit-Hit – middleware/rateLimit - IDOR-403 – utils/accessControl (canAccessCustomer / canAccessContract) - SSRF-Block – emailProvider.controller (test-connection + test-mail-access) - JWT-Reject (alg=none, expired, manipuliert) – middleware/auth 🚨 Threshold-Detection + Alerting (securityAlert.service.ts) - Cron jede Minute: prüft Brute-Force-Patterns je IP - 10× LOGIN_FAILED in 60 min → CRITICAL Brute-Force-Verdacht - 5× ACCESS_DENIED in 5 min → CRITICAL IDOR-Probing-Verdacht - 3× SSRF_BLOCKED in 60 min → CRITICAL SSRF-Probing - 3× TOKEN_REJECTED HIGH in 5 min → CRITICAL JWT-Manipulation - CRITICAL-Events: Sofort-Alert per E-Mail (debounced) - Cron stündlich: Digest mit HIGH+MEDIUM-Events (wenn aktiviert) - Sofort-Alert + Digest laufen über System-E-Mail-Provider (gleicher Pfad wie Geburtstagsgrüße, Passwort-Reset) 🖥 Frontend: Settings → "Sicherheits-Monitoring" - Alert-E-Mail-Adresse + Digest-Toggle - Test-Alert-Button + Digest-jetzt-Button - Stats-Cards pro Severity (CRITICAL/HIGH/MEDIUM/LOW/INFO) - Filter (Type/Severity/Search/IP) + Pagination - Auto-Refresh alle 30 s - Verlinkt aus Settings-Übersicht (settings:read Permission) 🧪 Live-verifiziert - Login-Fehlversuch → LOGIN_FAILED Event - Portal probt 4× fremde Customer-IDs → 4× ACCESS_DENIED - SSRF-Probe (169.254.169.254) → SSRF_BLOCKED Event - 12× LOGIN_FAILED simuliert → Cron erzeugt CRITICAL nach ≤60s - CRITICAL-Sofort-Alert binnen 30s zugestellt - Test-Alert-Button: E-Mail zugestellt - Hourly-Digest mit 5 Events: E-Mail mit Tabelle zugestellt Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-01 09:25:47 +02:00
parent 45fe270a38
commit 0cf3dd6a7b
17 changed files with 1188 additions and 8 deletions
@@ -0,0 +1,81 @@
+/**
+ * Security-Monitor: zentrale `emit()`-Funktion für sicherheitsrelevante
+ * Events. Schreibt in die `SecurityEvent`-Tabelle (nicht im AuditLog,
+ * weil hier andere Anforderungen gelten: schnelles Filtern, Threshold-
+ * Detection, Realtime-Alerting statt forensischer Hash-Chain).
+ *
+ * Hooks für die wichtigsten Klassen:
+ *   - LOGIN_FAILED            → Login mit falschem Passwort
+ *   - LOGIN_SUCCESS           → erfolgreicher Login (informativ)
+ *   - RATE_LIMIT_HIT          → express-rate-limit hat zugeschlagen
+ *   - ACCESS_DENIED           → 403 von canAccess* (versuchter IDOR)
+ *   - SSRF_BLOCKED            → ssrfGuard hat geblockt
+ *   - PASSWORD_RESET_REQUEST  → Reset angefordert
+ *   - PASSWORD_RESET_CONFIRM  → Reset abgeschlossen
+ *   - LOGOUT                  → expliziter Logout
+ *   - TOKEN_REJECTED          → JWT verify-Failure
+ *   - PERMISSION_CHANGED      → Rolle/Permission-Update
+ *
+ * Sofort-Alert für CRITICAL+HIGH-Events (wenn `monitoringAlertEmail`
+ * konfiguriert), sonst Sammlung im stündlichen Digest.
+ */
+import prisma from '../lib/prisma.js';
+import type { SecurityEventType, SecuritySeverity } from '@prisma/client';
+
+export interface SecurityEventInput {
+  type: SecurityEventType;
+  severity: SecuritySeverity;
+  message: string;
+  ipAddress?: string | null;
+  userId?: number | null;
+  customerId?: number | null;
+  userEmail?: string | null;
+  endpoint?: string | null;
+  details?: Record<string, unknown>;
+}
+
+/**
+ * Schreibt ein SecurityEvent. Fehler beim Schreiben werden geschluckt,
+ * damit ein kaputtes Monitoring nicht den Login-Flow stoppt.
+ */
+export async function emit(event: SecurityEventInput): Promise<void> {
+  try {
+    await prisma.securityEvent.create({
+      data: {
+        type: event.type,
+        severity: event.severity,
+        message: event.message,
+        ipAddress: event.ipAddress || null,
+        userId: event.userId || null,
+        customerId: event.customerId || null,
+        userEmail: event.userEmail || null,
+        endpoint: event.endpoint || null,
+        details: event.details ? (event.details as any) : undefined,
+      },
+    });
+  } catch (err) {
+    console.error('[securityMonitor] emit failed:', err);
+  }
+}
+
+/**
+ * Helper: aus einem Express-Request die wichtigsten Kontextfelder extrahieren.
+ * Funktioniert sowohl mit AuthRequest (eingeloggt) als auch mit anonymen
+ * Requests (Login-Versuch etc.).
+ */
+export function contextFromRequest(req: any): {
+  ipAddress: string;
+  userId?: number;
+  customerId?: number;
+  userEmail?: string;
+  endpoint: string;
+} {
+  const user = req?.user;
+  return {
+    ipAddress: req?.ip || req?.socket?.remoteAddress || 'unknown',
+    userId: user?.userId,
+    customerId: user?.customerId,
+    userEmail: user?.email,
+    endpoint: `${req?.method || ''} ${req?.path || req?.originalUrl || ''}`.trim(),
+  };
+}