Большая проактивная "Восьмерка"

Что же за модуль появился в популярной системе для изготовления сайтов? Проактивная защита. И это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы. Заметим, что модуль этот уже сертифицирован лидерами рынка информационной безопасности Positive Technologies и Aladdin. Какой же именно комплекс по защите веб-приложений включает в себя модуль?

Включение проактивного фильтра

Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

* Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.

Уровни безопасности

Любой веб-проект, работающий под управлением "1С-Битрикс: Управление сайтом", обязательно имеет начальный уровень защиты. Однако с помощью модуля "Проактивная защита" можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный, высокий, повышенный. При этом система подскажет - выдаст рекомендации, - какое действие необходимо установить для каждого параметра на выбранном текущем уровне.

Журнал вторжений

В журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры и в некоторых случаях даже предупреждать атаки.

Модуль "Проактивная защита" позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте. Однако особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы "Администраторы".

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.

Форма ввода пароля

Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряют всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Контроль целостности файлов

Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля) и нажмите на кнопку "Установить новый ключ".

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается: задаются список или диапазоны IP-адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой.

Защита административной части

Каков эффект от использования данной защиты? Любые XSS/CSS-атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.

Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные.

Включение механизма хранения данных сессий

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Включение контроля активности

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

* Контроль активности пользователей ведется на основе средств модуля веб-аналитика и, следовательно, доступен только в тех редакциях продукта, в которые входит этот модуль.

Стоп-лист

Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP-адресами, включенными в стоп-лист, будут блокированы.

Итак, в системе "1С-Битрикс: Управление сайтом" предусмотрен модуль "Проактивная защита", с помощью которого реализуется целый комплекс защитных мероприятий для сайта и сторонних приложений. И этот комплекс решает одну из первостепенных задач для владельцев веб-проектов - обеспечение качественной и надежной защиты от хакерских атак, взлома и кражи хранящейся на сайте информации.

Проактивная защита является существенным дополнением к стандартной политике безопасности продукта. Поэтому одноименный модуль включен во все редакции "1С-Битрикс: Управление сайтом" (кроме "Старта") и в "1С-Битрикс: Корпоративный портал". Причем, что важно, мы еще раз говорим об этом - и проактивная защита, и проактивный фильтр впервые в мире включены непосредственно в сам продукт!