1С-Битрикс: Управление сайтом

Назад

Безопасность

Веб-сайт является частью корпоративной инфраструктуры и не удивительно, что компании большое внимание уделяют вопросам безопасности. По данным компании Positive Technologies: доля атак на Веб составляет более 50%; ежедневно в Рунете регистрируются десятки взломов веб-сайтов.

Проактивная защита

Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.

Для этого в системе «1С-Битрикс: Управление сайтом» предусмотрен модуль «Проактивная защита», с помощью которого реализуется целый комплекс защитных мероприятий для сайта и сторонних приложений.

Проактивная защита является существенным дополнением к стандартной политике безопасности продукта. Поэтому одноименный модуль включен во все редакции продукта «1С-Битрикс: Управления сайтом» (кроме Старта) и в продукт «1С-Битрикс: Корпоративный портал». Причем, что важно, и Проактивная защита, и Проактивный фильтр впервые в мире включены непосредственно в сам продукт!

Что представляет собой этот модуль?

Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.
Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.

Вот какой комплекс по защите веб-приложений включает в себя модуль:

Проактивный фильтр (Web Application Firewall)

Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

• защита от большинства известных атак на веб-приложения; • экранирование приложения от наиболее активно используемых атак; • создание списка страниц-исключений из фильтрации (по маске); • распознавание большинства опасных угроз; • блокировка вторжений на сайт; • защиты от возможных ошибок безопасности; • фиксирование попыток атак в журнале; • информирование администратора о случаях вторжения; • настройка активной реакции - действий системы при попытке вторжения на сайт: - сделать данные безопасными; - очистить опасные данные; - добавить IP адрес атакующего в стоп-лист на ХХ минут; - занести попытку вторжения в журнал. • обновления вместе с продуктом.

Панель безопасности с уровнями защищенности

Любой веб-проект, работающий под управлением «1С-Битрикс: Управление сайтом», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет - выдаст рекомендации - какое действие необходимо установить для каждого параметра на выбранном текущем уровне.

• начальный уровень безопасности - получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»; • стандартный уровень – в проекте задействованы стандартные инструменты проактивной защиты продукта; - проактивный фильтр (на весь сайт без исключений); - ведется журнал вторжений за посление 7 дней; - включен контроль активности; - повышенный уровень безопасности для группы администраторов; - использование CAPTCHA при регистрации; - режим вывода ошибок (только ошибки). • высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие: - журналирование событий главного модуля; - защита административной части; - хранение сессий в базе данных; - смена идентификатора сессий. • повышенный уровень – специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей, для интернет-магазинов, для тех, кто работает с критичной информацией.Дополнительно к высокому уровню: - включение одноразовых паролей; - контроль целостности скрипта контроля.

Журнал вторжений

В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.

• оперативная регистрация всех событий в системе; • в случае срабатывания Проактивного фильтра запись в Журнале в одной из категорий атак: - попытка внедрения SQL; - попытка атаки через XSS; - попытка внедрения PHP. • отбор злонамеренных событий по фильтру; • просмотр и анализ событий в реальном времени; • немедленная реакция - ответная мера на событие; • профилактика и предупреждение событий на основе их анализа;

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

• отслеживание изменений в файловой системе;
• проверка целостности ядра;
• проверка системных областей;
• проверка публичной части продукта.

Проверка целостности скрипта контроля

Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».

• проверка скрипта контроля на наличие изменений;
• защита целостности скрипта ключом - символьным паролем.

Проверка целостности скрипта контроля

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой.

Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.

• ограничение доступа к административной части всех IP адресов, кроме указанных;
• автоматическое определение системой IP адреса пользователя;
• ручной ввод разрешенного IP адреса;
• установка диапазона IP адресов, с которых разрешен доступ к административной части.

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой.

Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.

• ограничение доступа к административной части всех IP адресов, кроме указанных;
• автоматическое определение системой IP адреса пользователя;
• ручной ввод разрешенного IP адреса;
• установка диапазона IP адресов, с которых разрешен доступ к административной части.

Защита сессий

Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные.

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

• защита сессий несколькими способами:
• время жизни сессии (минуты);
• смена идентификатора сессии раз в несколько минут;
• маска сети для привязки сессии к IP;
• хранение данных сессий в таблице модуля.
• исключение ошибок конфигурирования виртуального хостинга;
• исключение ошибок настройки прав доступа во временных каталогах;
• исключение проблем настройки операционной среды;
• разгрузка файловой системы;
• бесполезность похищения сессий злоумышленниками.

Контроль активности

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

* Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.

• защита от чрезмерно активных пользователей;
• защита от программных роботов;
• защита от некоторых категорий DDoS-атак;
• отсекание попыток подбора паролей перебором;
• установка максимальной активности пользователей для сайта (нормальной для человека);
• фиксирование превышения лимита активности пользователя в Журнале вторжений;
• блокирование пользователя, превысившего количество запросов в заданный временной интервал;
• вывод для заблокированного пользователя специальной информационной страницы.

Стоп лист

Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

• перенаправление посетителей, параметры которых содержатся в стоп-листе;
• блокировка пользователей по IP адресам из стоп-листа;
• ручное пополнение стоп-листа новыми записями;
• учет статистики пользователей, которым запрещен доступ к сайту ;
• установка периода действия запрета на доступ к сайту для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь;
• изменяемое сообщение, которое будет показано пользователю при попытке доступа к сайту.

Назад

	создание сайтов Благовещенск: (4162) 59-22-59 Создание сайтов Хабаровск: (4212) 28-28-77
	Создание сайтов Благовещенск: admin@virosa.ru Создание сайтов Хабаровск: hbr@virosa.ru
	406-096-707
	дизайн сайтов
	эксклюзивный дизайн
	1С-Битрикс
	реклама в Интернете
	создание сайта в вопросах и ответах

НАШИ ВАКАНСИИ

НАШИ НОВОСТИ

Наша студия веб-дизайна осуществляет разработку сайтов и создание сайтов в Благовещенске, Хабаровске, Краснодарe, Сочи. Также возможно создание сайта или разработка дизайна сайта для клиентов из любых других регионов.



По всем вопросам касающимся разработки и создания сайта, создания эксклюзивного дизайна сайта, модернизации сайта, поддержке и продвижения сайта, рекламы сайта в Интернете, а также разработки и созданию баннеров звоните нам по телефонам в Благовещенске, Хабаровске, Краснодаре и Сочи, а также обращайтесь по ICQ или электронной почте.