Какие файлы проверяет модуль проактивной защиты
Безопасность веб-сайта - один из важнейших аспектов, который нельзя игнорировать и пускать на самотек. Компания Битрикс очень серьезно относится к проблемам безопасности и предлагает ряд эффективных инструментов для защиты сайта от вирусов и взлома.
Ниже мы рассмотрим встроенные инструменты безопасности 1С-Битрикс, а также расскажем как с ними работать для получения максимальной эффективности.
Проактивная защита Битрикс
Все инструменты безопасности в Битрикс объединены под общим названием "Проактивная защита":
- Проактивный фильтр
- Сканер безопасности веб-сайта
- Веб-антивирус
- Аудит безопасности PHP-кода
- Защита от DDoS
- Стоп-лист
- Контроль активности
- Защита административного раздела
- Контроль целостности файлов
- Защита сессий
- Панель безопасности
- Безопасная авторизация без SSL
- Журнал вторжений
- Двухэтапная авторизация и одноразовые пароли
- Защита редиректов от фишинга
- Защита от фреймов
- Хосты/домены
Все инструменты доступны начиная с редакции 1С-Битрикс "Стандарт". Для некоторых потребуется установить модуль "Веб-аналитика".
Рассмотрим каждый инструмент подробнее.
Проактивный фильтр
Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.
Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).
Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.
Сканер безопасности веб-сайта
Администрирование - Настройки - Проактивная защита - сканер безопасности
Сканер безопасности — это сервис для мониторинга уязвимостей сайта. Вместе с модулем Проактивная защита сервис Сканер безопасности выполняет полную диагностику угроз безопасности веб-ресурса и своевременно их предотвращает.
Сканер проверяет окружение проекта, настройки всех систем безопасности находит, а также находит потенциальные уязвимости в коде.
Запустить сканирование можно одной кнопкой "Запустить сканирование".
После проверки выводятся результаты со списком всех угроз безопасности, найденных на сайте. Обратите внимание, что не все из найденного является угрозой, но по возможности стоит выполнить рекомендации.
Возможности сканера безопасности Битрикс:
- Выполняет внутреннее сканирование окружения проекта. Например, насколько безопасно хранятся сессии.
- Выполняет проверку настроек сайта. Например, включен ли WAF, установлен ли пароль к БД и т. д.
- Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
- Запускает внешнее сканирование.
В результатах проверки сайта на уязвимости даются также рекомендации по их устранению. Особо важные пункты красным цветом и обозначены восклицательным знаком.
Веб-антивирус
Администрирование - Настройки - Проактивная защита - Веб-антивирус
Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта.
Веб-антивирус также уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.
В настройках этого инструмента можно добавить исключения, чтобы Веб-антивирус не срабатывал на безопасные, но подозрительные части кода.
Аудит безопасности PHP-кода
Администрирование - Настройки - Инструменты - Монитор качества
Этот удобный, точный и понятный инструмент подсказывает потенциально опасные места в безопасности кода. Он не только предотвращает эксплуатацию уязвимости, но и устраняет ее источник. Проверка показывает в отчете возможные уязвимости в коде и усиливает защиту сайта от взлома.
Защита от DDoS
DDoS-атака или иначе распределенная атака на сайт с помощью большого числа мусорных запросов. Справится с такой атакой может только специализированная защита.
Начиная с 15-й версии в Битриксе появилась возможность подключить защиту от DDoS-атак. Это можно сделать как из админки сайта, так и со специальной страницы на сайте Битрикса, если админка Битрикса на сайте будет недоступна из-за DDos-атаки. В лицензию входит защита одного сайта от DDoS-атаки в год сроком на 10 дней бесплатно.
Напомним, что на нашем хостинге для Битрикс на всех тарифах уже присутствует аппаратная и программная защита от DDoS атак.
Стоп-лист
Очень полезный инструмент, который позволяет забанить неугодных посетителей. Возможности Стоп-листа:
Контроль активности установливает защиту от слишком активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекает попытки подбора паролей перебором.
В настройках инструмента можно установить максимальную активность пользователей для сайта (например, число запросов в секунду, которые может выполнить пользователь).
Возможности инструмента Контроля активности:
- Защищает от чрезмерно активных пользователей, программных роботов и некоторых категорий DDoS-атак;
- Отсекает попытки подбора паролей перебором;
- Устанавливает максимальную активность пользователей для сайта (нормальной для человека);
- Фиксирует превышение лимита активности пользователя в Журнале вторжений;
- Блокирует пользователя, превысившего количество запросов в заданный временной интервал;
- Выводит для заблокированного пользователя специальную информационную страницу.
Защита административного раздела
Этот инструмент позволяет строго ограничивать сети, которым разрешается доступ к административной части сайта. В нем можно задать список разрешенных IP, из которых можно управлять административной частью.
Это делает бессмысленными любые XSS/CSS атаки на компьютер администратора, а также перехват пароля, потому что доступ и авторизация с чужого компьютера будут невозможны.
В инструмент включена также защита от блокировки доступа самого администратора.
Контроль целостности файлов
Администрирование - Настройки - Проактивная защита - Контроль целостности
Контроль целостности файлов помогает быстро выяснить, вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
Система также позволяет выполнять проверку скрипта контроля на наличие изменений.
Защита сессий
Также очень полезный инструмент защиты. Цель большинства атак на сайты — получение данных об авторизованной сессии пользователя. Включение защиты сессий делает такое похищение бесполезным.
Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды.
Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
Панель безопасности
Панель безопасности позволяет установить и настроить уровень требуемой безопасности сайта: начальный, стандартный, высокий или повышенный. Система попутно дает рекомендации, какое действие необходимо установить для каждого параметра на выбранном текущем уровне.
Начальный уровень безопасности получают все проекты на базе Bitrix без установленного модуля "Проактивная защита".
Стандартный уровень безопасности — для тех проектов, где задействованы стандартные инструменты проактивной защиты продукта;
Высокий уровень безопасности — это рекомендованный уровень защиты, который получают проекты, выполнившие требования стандартного уровня, и дополнительно включающие:
- Журналирование событий главного модуля;
- Защиту административной части;
- Хранение сессий в базе данных;
- Смену идентификатора сессий.
Повышенный уровень безопасности включает специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей. В дополнение к высокому уровню сюда входит:
- Включение одноразовых паролей;
- Проверка целостности скрипта контроля.
Безопасная авторизация без SSL
Этот инструмент делает невозможным взлом паролей с формы авторизации, т.к. они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный сайт.
Безопасная авторизация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL. При этом все инструменты, которые использовались ранее для авторизации, продолжают работать.
Журнал вторжений
Журнал вторжений регистрирует все события, происходящие в системе, в том числе необычные или злонамеренные. События регистрируются в оперативном режиме, что позволяет просматривать соответствующие записи в Журнале сразу же после их генерации.
Такая оперативность позволяет обнаруживать атаки и попытки атак в момент их проведения. Это означает, что у вас есть возможность немедленно принимать ответные меры и предупреждать возможные атаки.
Двухэтапная авторизация и одноразовые пароли
Система одноразовых паролей дополняет стандартную систему авторизации и значительно усиливает систему безопасности сайта. Так реализуется двухэтапная авторизация — сначала обычный логин и пароль, а затем дополнительно еще и одноразовый пароль.
Подобную защиту можно реализовать как аппаратными средствами (аппаратные устройства-брелоки типа eToken PASS), так и программно с помощью Персонального генератора одноразовых паролей для сайта (ОТР).
Защита редиректов от фишинга
В Битриксе, как и в любой CMS, для подсчета числа кликов, есть возможность реализации ссылок через редиректы. Для безопасной работы данного функционала, чтобы исключить подмену ссылок, необходимо использовать защиту от фишинга:
Защита от фреймов
Опция позволяет разрешить/запретить загружать страницы сайта через frame за счет проставление заголовка X-Frame-Options в значение SAMEORIGIN. При активиции защиты от фреймов не будет работать Вебвизор в Яндекс.Метрике. Есть способы обойти это ограничение, если добавить блокировку iframe через Nginx, в котором можно исключить блокировку для Вебвизора, в этом вам помогут в поддержке хостинга.
Хосты/домены
Вы можете настроить блокировку таких попыток открытия сайта, или просто сделать переадресацию на нужный адрес.
Защита редиректов от фишинга
В Битриксе, как и в любой CMS, для подсчета числа кликов, есть возможность реализации ссылок через редиректы. Для безопасной работы данного функционала, чтобы исключить подмену ссылок, необходимо использовать защиту от фишинга:
Добавлять цифровую подпись к перечисленным ниже URL - при отмеченной опции к адресам, перечисленным в поле Подписываемые URLs, будет добавляться цифровая подпись.
Дополнительная защита 1С-Битрикс
Резервное копирование
В идеале это первое, о чем нужно позаботиться владельцу сайта. Резервное копирование позволяет восстановить рабочую версию сайта после каких-либо поломок или вторжения извне.
На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.
И, тем не менее, пользователям рекомендуется самостоятельно создавать резервные копии. Особенно перед какими-либо важными изменениями или обновлениями на сайте. Сделать это можно как на нашем хостинге, так и непосредственно в самом Битриксе.
Курс предназначен для базовой подготовки администраторов сайтов, созданных на "1С-Битрикс: Управление сайтом". Изучив курс, вы освоите основные методы администрирования системы, а также пополните знания по темам, изученным в курсе Контент-менеджер.
Если вы добросовестно изучите курс, то научитесь:
- управлять доступом к системе, сайтами, пользователями, группами пользователей;
- работать с инструментами системы;
- использовать возможности интерфейса по управлению системой;
- работать с модулями "1С-Битрикс: Управление сайтом", связанными с оптимизацией и безопасностью работы сайта;
- выполнять работу по конфигурированию веб-системы для оптимальной работы.
Если вам предстоит самостоятельная установка системы или перенос сайта на хостинг, то без курса Установка и настройка Курс Установка и настройка предназначен для специалистов устанавливающих "1С-Битрикс: Управление сайтом" или "Битрикс24 в коробке".
Начальные требования
Необходимый минимум знаний для изучения курса:
- базовые навыки компьютерной грамотности и навыки работы с ОС Windows;
- базовые знания о WWW и организации доступа к веб-серверу;
- знание системы в рамках курса Контент-менеджер Мы считаем, что вы этот курс уже прошли и знаете многое о Битриксе. Поэтому подсказок во всплывающих окнах будет намного меньше, чем в курсе Контент-менеджер. , чтобы банально не путаться в интерфейсе.
Неплохо было бы иметь базовые навыки установки и администрирования *nix-систем.
У нас часто спрашивают, сколько нужно заплатить
Курс полностью бесплатен. Изучение курса, прохождение итоговых тестов и получение сертификатов - ничего из этого оплачивать не нужно.
Ещё у нас есть Академия 1С-Битрикс, где можно обучиться на платной основе на курсах нашей компании либо наших партнёров.
Баллы опыта
В конце каждого урока есть кнопка Прочитано! . При клике на неё в Вашу итоговую таблицу опыта добавляется то количество баллов, которое указано в прочитанном После нажатия кнопки Прочитано! появится
окно подтверждения:
уроке.
Периодически мы заново оцениваем сложность уроков, увеличивая/уменьшая число баллов, поэтому итоговое количество набранных Вами баллов может отличаться от максимально возможного. Не переживайте! Отличный результат - это если общее число набранных Вами баллов отличается от максимального на 1-2%.
Тесты и сертификат
После изучения курса пройдите тесты на сертификацию. При успешной сдаче последовательности тестов на странице Моё обучение вы увидите результат обучения и там же - ваш сертификат в формате PDF.
Иконка успешно сданного вами курса отображается в вашем профиле на Freelance, если вы укажите ссылку на ваш профиль на сайте компании 1С-Битрикс.
Комментарии к урокам
Для преподавания офлайн
Если данный курс берётся в качестве основы для офлайнового преподавания, то рекомендуемая продолжительность: 3 дня (24 академических часа).
Если нет интернета
iPhone:
FBReader
CoolReader
iBook
Bookmate
Windows:
Calibre
FBReader
Icecream Ebook Reader
Плагины для браузеров:
EpuBReader – для Firefox
Readium – для Google Chrome
iOS
Marvin for iOS
ShortBook
обновляются периодически, поэтому возможно некоторое отставание их от онлайновой версии курса. Версия файла - от 11.04.2022.
Как проходить учебный курс?
Все инструменты безопасности в Битрикс объединены под общим названием "Проактивная защита".
Все инструменты доступны из редакции 1С-Битрикс "Стандарт". Для некоторых потребуется установить модуль "Веб-аналитика".
Расскажем подробнее про каждый раздел:
Журнал вторжений
В журнал вторжений записываются все события, происходящие в системе, в том числе необычные или злонамеренные. События регистрируются в онлайн-режиме, что позволяет просматривать соответствующие записи журнала сразу же после их создания.
Такая скорость позволяет обнаруживать атаки и попытки атак в момент их проведения. Это означает, что вы можете немедленно реагировать и предотвращать возможные атаки.
Защита от DDoS
DDoS-атака или иная распределенная атака на веб-сайт с использованием большого количества нежелательных запросов. Противостоять такой атаке может только специализированная защита.
Начиная с 15-й версии в Битриксе появилась возможность подключить защиту от DDoS-атак. Это можно сделать как из админки сайта, так и со специальной страницы на сайте Битрикс, если админка Битрикс на сайте недоступна из-за DDos атаки. Лицензия включает бесплатную защиту одного сайта от DDoS-атак в год сроком на 10 дней.
Напомним, что на нашем хостинге для Битрикс на всех тарифах уже присутствует аппаратная и программная защита от DDoS атак.
Веб-антивирус
Администрирование - Настройки - Проактивная защита - Веб-антивирус
Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта.
Веб-антивирус также уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.
В настройках этого инструмента можно добавить исключения, чтобы Веб-антивирус не срабатывал на безопасные, но подозрительные части кода.
Защита от фреймов
Опция позволяет разрешить/запретить загружать страницы сайта через frame за счет проставление заголовка X-Frame-Options в значение SAMEORIGIN. При активации защиты от фреймов не будет работать Вебвизор в Яндекс.Метрике. Есть способы обойти это ограничение, если добавить блокировку iframe через Nginx, в котором можно исключить блокировку для Вебвизора, в этом вам помогут в поддержке хостинга.
Защита выхода пользователя из системы от CSRF
Система 1С-Битрикс позволяет защитить сайт от межсайтовой подделки запросов буквально в один клик.
Если Портал размещен на внешнем хостинге, или у сотрудников есть доступ в Интернет, необходимо обеспечить защиту от большинства известных атак на веб-приложения. Для этого в новую версию продукта включен модуль «Проактивная защита», который позволяет повысить уровень защищенности Портала благодаря встроенному в продукт проактивному фильтру (Web Application Firewall).
Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.
Комплекс по защите веб-приложений, включенный в модуль:
Проактивный фильтр (Web Application Firewall)
Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интранет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.
Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.
Возможности Проактивный фильтра:
- защита от большинства известных атак на веб-приложения;
- экранирование приложения от наиболее активно используемых атак;
- создание списка страниц-исключений из фильтрации (по маске);
- распознавание большинства опасных угроз;
- блокировка вторжений на Портал;
- защиты от возможных ошибок безопасности;
- фиксирование попыток атак в журнале;
- информирование администратора о случаях вторжения;
- настройка активной реакции - действий системы при попытке вторжения на сайт:
- сделать данные безопасными
- очистить опасные данные;
- добавить IP адрес атакующего в стоп-лист на ХХ минут;
- занести попытку вторжения в журнал.
Инструмент для аудита безопасности PHP-кода
Инструмент для аудита безопасности PHP-кода - удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности его кода. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.
Найти и опробовать этот инструмент можно в административной части сайта: Настройки > Инструменты > «Монитор качества» > тест «Предприняты меры по обеспечению безопасности проекта на уровне веб-разработки» в разделе «Безопасность». Запустив тест, вы сможете просмотреть подробный отчет о его работе (при условии наличия найденных проблем).
Подробнее о Мониторе качества можно прочитать в специальном разделе.
Система проверки «Монитор качества» также работает в каталоге веб-приложений Маркетплейс для сайтов и корпоративных порталов Битрикс24.
Панель безопасности с уровнями защищенности
Любой проект, работающий под управлением продуктов от «1С-Битрикс», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного проекта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет – выдаст рекомендации – какое действие необходимо установить для каждого параметра на выбранном текущем уровне.
- начальный уровень – получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»;
- стандартный уровень – в проекте задействованы стандартные инструменты проактивной защиты продукта:
- проактивный фильтр (на весь Портал без исключений);
- ведется журнал вторжений за посление 7 дней;
- включен контроль активности;
- повышенный уровень безопасности для группы администраторов;
- использование CAPTCHA при регистрации;
- режим вывода ошибок (только ошибки).
- высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие:
- журналирование событий главного модуля;
- защита административной части;
- хранение сессий в базе данных;
- смена идентификатора сессий.
- повышенный уровень – специальные средства защиты, обязательные для Порталов, содержащих конфиденциальную информацию пользователей, для тех, кто работает с критичной информацией. Дополнительно к высокому уровню:
- включение одноразовых паролей;
- контроль целостности скрипта контроля.
Веб-антивирус
Веб-антивирус встроен непосредственно в сам продукт – систему управления порталом. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.
«Веб-антивирус» препятствует встраивания вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта - антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала - предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры.
Журнал вторжений
В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.
Возможности журнала вторжений:
- оперативная регистрация всех событий в системе;
- в случае срабатывания Проактивного фильтра запись в Журнале в одной из категорий атак:
- попытка внедрения SQL;
- попытка атаки через XSS;
- попытка внедрения PHP.
Одноразовые пароли
Для обеспечения безопасности доступа к Порталу удаленных сотрудников в новой версии реализована технология одноразовых паролей (One Time Password - OTP) на базе электронных ключей Aladdin eToken PASS для обеспечения аутентификации пользователя при доступе на Портал. Новая технология протестирована компанией Aladdin – лидирующим разработчиком средств защиты информации.
Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на Портале. Однако особо рекомендуется задействовать систему одноразовых паролей администраторам Порталов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».
Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интранет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.
Что вам дает такая технология? Однозначную уверенность, что на Портале авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на Портал.
Особенности одноразовых паролей:
- усиление системы безопасности портала;
- использование аппаратных устройств;
- использование ПО, реализующего OTP;
- расширенная аутентификация с одноразовым паролем - при авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль;
- авторизация только с использованием имени (login) и составного пароля;
- заполнение при инициализации двух последовательно сгенерированных одноразовых паролей, полученных с устройства;
- восстановление синхронизации в случае нарушения синхронизации счетчика генерации в устройстве и на сервере.
Персональный генератор одноразовых паролей для портала (OTP)
С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для своей учетной записи. Это реализующее OTP программное обеспечение, разработанное компанией «1С-Битрикс», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов.
Подробнее про генератор одноразовых паролей читайте в статье Двухэтапная авторизация
Контроль целостности файлов
Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
- отслеживание изменений в файловой системе;
- проверка целостности ядра;
- проверка системных областей;
- проверка публичной части продукта.
Проверка целостности скрипта контроля
Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта нужно будет ввести в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажать на кнопку «Установить новый ключ».
- проверка скрипта контроля на наличие изменений;
- защита целостности скрипта ключом - символьным паролем.
Безопасная авторизация без SSL
С помощью методики безопасной аутентификации пароли с формы авторизации ваших сотрудников невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный портал. При этом не важно, какие соединения и протоколы используют пользователи вашего портала.
- безопасная аутентификация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL;
- все инструменты, которые использовались ранее для авторизации, продолжат работать.
Защита административного раздела
Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать Портал. Перед вами простой специальный интерфейс, в котором все это и делается – задается список или диапазоны IP адресов, из которых как раз и позволяется управление Порталом. Не бойтесь закрыть себе доступ в момент установки блокировки – этот момент проверяется системой.
Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера – абсолютно бесполезным.
- ограничение доступа к административной части всех IP адресов, кроме указанных;
- автоматическое определение системой IP адреса пользователя;
- ручной ввод разрешенного IP адреса;
- установка диапазона IP адресов, с которых разрешен доступ к административной части.
Защита сессий
Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные – и в некотором роде уникальные.
Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других проектов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
- защита сессий несколькими способами:
- время жизни сессии (минуты);
- смена идентификатора сессии раз в несколько минут;
- маска сети для привязки сессии к IP;
- хранение данных сессий в таблице модуля.
Стоп лист
Стоп-лист – таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому Портала и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на Портал с IP адресами, включенными в стоп-лист, будут блокированы.
Контроль активности
Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего Портала (например, число запросов в секунду, которые может выполнить пользователь).
Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.
- защита от чрезмерно активных пользователей;
- защита от программных роботов;
- защита от некоторых категорий DDoS-атак;
- отсекание попыток подбора паролей перебором;
- установка максимальной активности пользователей для Портала (нормальной для человека);
- фиксирование превышения лимита активности пользователя в Журнале вторжений;
- блокирование пользователя, превысившего количество запросов в заданный временной интервал;
- вывод для заблокированного пользователя специальной информационной страницы.
Установите дополнительные веб-приложения из Маркетплейса для расширения возможностей комплекса Проактивная защита.
Рассказываем об особенностях защиты 1С-Битрикс, как ее применять в работе над онлайн-проектом.
Проактивная защита — это комплекс решений по обеспечению дополнительной безопасности онлайн-проекта. Разберем каждую возможность.
В административном разделе перейдите в Настройки (1) → Проактивная защита (2). Раскройте список.
Сканер безопасности проверяет онлайн-проект на возможные угрозы. Критические выделяются красным цветом — рекомендуется устранить их в первую очередь.
Сканер показывает, какие ошибки есть на сайте. Проверку стоит проводить не реже 1 раз в месяц.
Панель безопасности показывает результаты сканирования и уровень безопасности сайта. Здесь вы найдете рекомендации для повышения уровня.
Проактивный фильтр защищает от XSS-атак, SQL-инъекций, вторжений через PHP.
Все вторжения отмечаются в журнале событий.
Защитить административный раздел можно с помощью ограничения доступа по IP-адресу. Однако этот способ не подходит, если вы работаете с разных IP.
Защита редиректов от фишинга поможет избежать утечки конфиденциальных данных пользователей ресурса.
Стоп-лист поможет заблокировать доступ к сайту или его разделам выбранных IP-адресов на время или бессрочно.
Теперь вы знаете, сколько возможностей есть у проактивной защиты 1С-Битрикс. Подключите необходимые и обеспечьте безопасность своему проекту!
Начните мощную работу вместе с Reddock – заполните форму заказа услуги, и мы свяжемся с вами в ближайшее время!
Панель безопасности
Панель безопасности позволяет установить и настроить необходимый уровень безопасности для вашего сайта: начальный, стандартный, высокий и продвинутый. Попутно система дает рекомендации, какие действия следует задать для каждого параметра на выбранном текущем уровне.
Начальный уровень безопасности получать все проекты на базе Битрикс без установленного модуля «Проактивная защита».
Стандартный уровень безопасности — для тех проектов, где задействованы стандартные средства проактивной защиты продукта.
Высокий уровень безопасности — это рекомендуемый уровень защиты, который получают проекты, соответствующие требованиям стандартного уровня, а также включают:
Журналирование событий главного модуля;
Защиту административной части;
Хранение сессий в базе данных;
Смену идентификатора сессий.
Повышенный уровень безопасности включает в себя специальные средства защиты, обязательные для веб-сайтов, содержащих конфиденциальную информацию о пользователях. Помимо высокого уровня сюда входят:
Включение одноразовых паролей;
Проверка целостности скрипта контроля.
Дополнительная защита 1С-Битрикс
Контроль целостности файлов
Администрирование - Настройки - Проактивная защита - Контроль целостности
Контроль целостности файлов поможет вам быстро узнать, были ли внесены изменения в системные файлы.В любой момент вы можете проверить целостность ядра, системных областей и публичной части продукта.
Система также позволяет выполнять проверку скрипта контроля на наличие изменений.
Стоп-лист
Очень полезный инструмент, позволяющий банить сомнительных посетителей. Возможности стоп-листа:
Перенаправляет посетителей, параметры которых содержатся в стоп-листе;
Блокирует пользователей по IP адресам;
Есть ручное пополнение стоп-листа новыми записями;
Ведется учет статистики пользователей, которым запрещен доступ к сайту;
Можно установить период действия запрета на доступ к сайту для пользователя, IP-сети, маски сети, UserAgent и ссылки, по которой пришел пользователь;
Контроль активности устанавливает защиту от сверх активных пользователей, программных ботов, отдельных категорий DDoS-атак, а также отсекает попытки подбора пароля методом перебора.
В настройках инструмента можно установить максимальную активность пользователя на сайте (например, количество запросов в секунду, которое может сделать пользователь).
Сканер безопасности веб-сайта
Администрирование - Настройки - Проактивная защита - сканер безопасности
Сканер безопасности — это служба мониторинга уязвимостей безопасности веб-сайтов. Совместно с модулем проактивной защиты сервис Security Scanner проводит полную диагностику угроз безопасности интернет-ресурсов и своевременно их предотвращает.
Сканер проверяет окружение проекта, находит настройки всех систем безопасности, а также находит потенциальные уязвимости кода.
Запустить сканирование можно по кнопке "Запустить сканирование".
После сканирования результаты отображаются со списком всех угроз безопасности, обнаруженных на веб-сайте. Обратите внимание, что не все найденное является угрозой, но по возможности стоит следовать рекомендациям.
Защита административного раздела
Этот инструмент позволяет жестко ограничивать сети, которым разрешен доступ к административной части сайта. В нем можно указать список разрешенных IP, с которых можно управлять административной частью.
Это исключает любые XSS/CSS-атаки на компьютер администратора, а также перехват паролей, так как доступ и авторизация на чужом компьютере будут невозможны.
Инструмент также включает защиту от блокировки доступа администратора.
Защита сессий
Также очень полезный инструмент безопасности. Целью большинства атак на веб-сайты является получение данных об авторизованном сеансе пользователя. Включение безопасности сеанса делает такой захват невозможным.
Хранение данных сеанса в таблице модуля позволяет избежать чтения этих данных через скрипты с других сайтов на том же сервере, исключая ошибки в настройке виртуального хостинга, ошибки в настройке прав доступа во временные каталоги и ряд других проблем в конфигурации операционной среды.
Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
Дополнительная защита 1С-Битрикс
Резервное копирование
В идеале это первое, о чем нужно позаботиться владельцу сайта. Резервное копирование позволяет восстановить рабочую версию сайта после каких-либо поломок или вторжения извне.
На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.
И, тем не менее, пользователям рекомендуется самостоятельно создавать резервные копии. Особенно перед какими-либо важными изменениями или обновлениями на сайте. Сделать это можно как на нашем хостинге, так и непосредственно в самом Битриксе.
Курс предназначен для базовой подготовки администраторов сайтов, созданных на "1С-Битрикс: Управление сайтом". Изучив курс, вы освоите основные методы администрирования системы, а также пополните знания по темам, изученным в курсе Контент-менеджер.
Если вы добросовестно изучите курс, то научитесь:
- управлять доступом к системе, сайтами, пользователями, группами пользователей;
- работать с инструментами системы;
- использовать возможности интерфейса по управлению системой;
- работать с модулями "1С-Битрикс: Управление сайтом", связанными с оптимизацией и безопасностью работы сайта;
- выполнять работу по конфигурированию веб-системы для оптимальной работы.
Если вам предстоит самостоятельная установка системы или перенос сайта на хостинг, то без курса Установка и настройка Курс Установка и настройка предназначен для специалистов устанавливающих "1С-Битрикс: Управление сайтом" или "Битрикс24 в коробке".
Начальные требования
Необходимый минимум знаний для изучения курса:
- базовые навыки компьютерной грамотности и навыки работы с ОС Windows;
- базовые знания о WWW и организации доступа к веб-серверу;
- знание системы в рамках курса Контент-менеджер Мы считаем, что вы этот курс уже прошли и знаете многое о Битриксе. Поэтому подсказок во всплывающих окнах будет намного меньше, чем в курсе Контент-менеджер. , чтобы банально не путаться в интерфейсе.
Неплохо было бы иметь базовые навыки установки и администрирования *nix-систем.
У нас часто спрашивают, сколько нужно заплатить
Курс полностью бесплатен. Изучение курса, прохождение итоговых тестов и получение сертификатов - ничего из этого оплачивать не нужно.
Ещё у нас есть Академия 1С-Битрикс, где можно обучиться на платной основе на курсах нашей компании либо наших партнёров.
Баллы опыта
В конце каждого урока есть кнопка Прочитано! . При клике на неё в Вашу итоговую таблицу опыта добавляется то количество баллов, которое указано в прочитанном После нажатия кнопки Прочитано! появится
окно подтверждения:уроке.
Периодически мы заново оцениваем сложность уроков, увеличивая/уменьшая число баллов, поэтому итоговое количество набранных Вами баллов может отличаться от максимально возможного. Не переживайте! Отличный результат - это если общее число набранных Вами баллов отличается от максимального на 1-2%.
Тесты и сертификат
После изучения курса пройдите тесты на сертификацию. При успешной сдаче последовательности тестов на странице Моё обучение вы увидите результат обучения и там же - ваш сертификат в формате PDF.
Иконка успешно сданного вами курса отображается в вашем профиле на Freelance, если вы укажите ссылку на ваш профиль на сайте компании 1С-Битрикс.
Комментарии к урокам
Для преподавания офлайн
Если данный курс берётся в качестве основы для офлайнового преподавания, то рекомендуемая продолжительность: 3 дня (24 академических часа).
Если нет интернета
iPhone:
FBReader
CoolReader
iBook
BookmateWindows:
Calibre
FBReader
Icecream Ebook Reader
Плагины для браузеров:
EpuBReader – для Firefox
Readium – для Google ChromeiOS
Marvin for iOS
ShortBook
обновляются периодически, поэтому возможно некоторое отставание их от онлайновой версии курса. Версия файла - от 11.04.2022.Как проходить учебный курс?
Все инструменты безопасности в Битрикс объединены под общим названием "Проактивная защита".
Все инструменты доступны из редакции 1С-Битрикс "Стандарт". Для некоторых потребуется установить модуль "Веб-аналитика".
Расскажем подробнее про каждый раздел:
Двухэтапная авторизация и одноразовые пароли
Система одноразовых паролей дополняет стандартную систему авторизации и значительно улучшает систему безопасности сайта. Так реализована двухэтапная авторизация - сначала обычный логин и пароль, затем одноразовый пароль.
Подобную защиту можно реализовать как аппаратными средствами (аппаратные устройства-брелоки типа eToken PASS), так и программно с помощью Персонального генератора одноразовых паролей для сайта (ОТР).
Проактивный фильтр
Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.
Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).
Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.
Безопасная авторизация без SSL
Этот инструмент делает невозможным взлом паролей с формы авторизации, т.к. они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный сайт.
Безопасная авторизация с шифрованием пароля предотвращает передачу открытого текста пароля без SSL. При этом все инструменты, ранее использовавшиеся для авторизации, продолжают работать.
Резервное копирование
В идеале, это первое, о чем должен позаботиться владелец сайта. Резервное копирование позволяет восстановить рабочую версию сайта после любого сбоя или вторжения извне.
На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.
Однако пользователям рекомендуется создавать резервные копии самостоятельно. В частности, перед любыми серьезными изменениями или обновлениями на веб-сайте. Сделать это можно как на нашем хостинге, так и непосредственно в самом Битриксе.
В Битриксе резервное копирование реализовано в различных вариантах.
Полное резервное копирование. Как следует из названия, будет создана полная резервная копия сайта со всем его содержимым.
Выборочное копирование. Можно выбрать, какую часть сайта копировать — контент /ядро / база данных. Часто это удобнее, особенно если сайт занимает много места. Есть также настройка, которая позволяет отключить копирование отдельной папки или файла.
Автоматическое регулярное резервное копирование. В Битриксе можно настроить автоматическое резервное копирование по расписанию. А чтобы бакапы со временем не занимали все место, можно настроить автоматическое удаление старых копий.
Автоматический backup в облако. Еще более надежный вариант. В облаке копии хранятся независимо, поэтому надежность такого бэкапа гораздо выше.
Аудит безопасности PHP-кода
Администрирование - Настройки - Инструменты - Монитор качества
Этот удобный, точный и понятный инструмент подсказывает потенциально опасные места в безопасности кода. Он не только предотвращает эксплуатацию уязвимости, но и устраняет ее источник. Проверка показывает в отчете возможные уязвимости в коде и усиливает защиту сайта от взлома.
Возможности сканера безопасности Битрикс:
Выполняет внутреннее сканирование окружения проекта. Например, насколько безопасно хранятся сессии.
Выполняет проверку настроек сайта. Например, включен ли WAF, установлен ли пароль к БД и т. д.
Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
Запускает внешнее сканирование, что позволит определить правильно или нет сконфигурирован Nginx + php-fpm, доступность настроек PhpMyAdmin и др. Стоит помнить, что все сервисы, необходимые только сайту, не должны быть видны "наружу", данный инструмент поможет проанализировать к каким сервисам открыт доступ.
В результатах проверки сайта на уязвимости даются также рекомендации по их устранению. Особо важные пункты красным цветом и обозначены восклицательным знаком.
Если у Вас возникли ошибки в сканере безопасности и Вы самостоятельно не можете решить вопрос, обратитесь к разработчикам за помощью. Ошибки могут быть критическими.
Хосты/домены
Вы можете настроить блокировку таких попыток открытия сайта, или просто сделать переадресацию на нужный адрес.
Возможности инструмента Контроля активности:
Защищает от чрезмерно активных пользователей, программных роботов и некоторых категорий DDoS-атак;
Отсекает попытки подбора паролей перебором;
Устанавливает максимальную активность пользователей для сайта (нормальной для человека);
Фиксирует превышение лимита активности пользователя в Журнале вторжений;
Блокирует пользователя, превысившего количество запросов в заданный временной интервал;
Выводит для заблокированного пользователя специальную информационную страницу.
Читайте также: