• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    1С-Бітрікс: Управління сайтом - Стандарт

    1. Захист від DDoS
    2. Проактивний фільтр (Web Application Firewall)
    3. Аудит безпеки PHP-коду
    4. Веб-антивірус
    5. Панель безпеки з рівнями захищеності
    6. Безпечна авторизація без SSL
    7. Журнал вторгнень
    8. одноразові паролі
    9. Персональний генератор одноразових паролів для сайту (OTP)
    10. Контроль цілісності файлів
    11. Перевірка цілісності скрипта контролю
    12. Захист адміністративного розділу
    13. захист сесій
    14. контроль активності
    15. стоп лист

    Модуль «Проактивний захист» входить в систему «1С-Бітрікс: Управління сайтом». Модуль реалізує потужний комплекс захисних заходів для сайту і сторонніх додатків.

    Проактивний захист - це цілий комплекс технічних і організаційних заходів, які об'єднані спільною концепцією безпеки і дозволяють значно розширити поняття захищеності і реакції веб-додатків на загрози.

    Це цілий ряд технічних рішень щодо забезпечення безпеки продукту і розроблених веб-додатків. Кілька рівнів захисту від більшості відомих атак на веб-додатки включає цей модуль. І кожен рівень серйозно підвищує безпеку розроблених вами інтернет-проектів.

    Однією з першорядних завдань для власників веб-проектів є якісна і надійний захист від хакерських атак, злому і крадіжки зберігається на сайті інформації.

    Проактивний захист є істотним доповненням до стандартної політиці безпеки продукту. Тому однойменний модуль включений в усі редакції продукту «1С-Бітрікс: Управління сайтом» (крім Старту) і в продукт «1С-Бітрікс: Корпоративний портал». Причому, що важливо, і Проактивний захист, і проактивний фільтр вперше в світі включені безпосередньо в сам продукт!

    Захист від DDoS

    Компанії «1С-Бітрікс» і Qrator забезпечать безперервність вашого бізнесу Компанії «1С-Бітрікс» і Qrator забезпечать безперервність вашого бізнесу!

    Унікальне спільну пропозицію для клієнтів «1С-Бітрікс» дозволяє будь-якому сайту з активною комерційною ліцензією отримати захист від DDoS до 10 днів безкоштовно!

    Веб-сайт будь-якого масштабу - від невеликого регіонального інтернет-магазину до онлайн-представництва найбільшої Рітейлінговая мережі - завжди повинен бути доступний для відвідувачів. Адже це і джерело замовлень, і канал комунікації з клієнтами, і «обличчя» компанії в Інтернеті, безпосередньо впливає на її імідж.

    Одна з причин, за якими ваш сайт може перестати працювати, - DDoS-атака (найчастіше - розподілена атака на ваш сайт за допомогою великого числа «сміттєвих» запитів). Джерела атак і її технічні реалізації можуть бути найрізноманітнішими (цільова атака від конкурентів, автоматична атака від ботнет-мережі, значна кількість HTTP-запитів, SYN-флуд атаки і т.д.)

    Навіть атака невеликої інтенсивності зажадає знань грамотного технічного фахівця для її відображення. Справитися ж з більш серйозними атаками неможливо без спеціалізованої захисту.

    Проактивний фільтр (Web Application Firewall)

    Проактивний фільтр (WAF - Web Application Firewal) забезпечує захист від більшості відомих атак на веб-додатки. У потоці зовнішніх запитів користувачів проактивний фільтр розпізнає більшість небезпечних загроз і блокує вторгнення на сайт. Проактивний фільтр - найбільш ефективний спосіб захисту від можливих помилок безпеки, допущених при реалізації інтернет-проекту (XSS, SQL Injection, PHP Including і ряду інших). Дія фільтра засноване на аналізі і фільтрації всіх даних, що надходять від користувачів через змінні і куки.

    Включення проактивного фільтру
    Включення проактивного фільтру

    * Зверніть увагу, що деякі дії користувачів, які не становлять загрози, теж можуть виглядати підозріло і викликати помилкове спрацьовування фільтра.

    • захист від більшості відомих атак на веб-додатки;
    • екранування додатки від найбільш активно використовуваних атак;
    • створення списку сторінок-винятків з фільтрації (по масці);
    • розпізнавання більшості небезпечних загроз;
    • блокування вторгнень на сайт;
    • захисту від можливих помилок безпеки;
    • фіксування спроб атак в журналі;
    • інформування адміністратора про випадки вторгнення;
    • настройка активної реакції - дій системи при спробі вторгнення на сайт:
      • зробити дані безпечними;
      • очистити небезпечні дані;
      • додати IP адреса атакуючого в стоп-лист на ХХ хвилин;
      • занести спробу вторгнення в журнал.
    • поновлення разом з продуктом.

    Аудит безпеки PHP-коду

    Інструмент для аудиту безпеки PHP-коду - зручний, точний і зрозумілий інструмент для розробника, який «підказує» вузькі місця в безпеці його коду. Інструмент дозволяє не тільки запобігти експлуатацію вразливості, але і усунути її джерело. Перевірка показує в звіті потенційно вразливі місця в коді і підсилює захист сайту від злому.

    Інструмент для аудиту PHP-коду
    Інструмент для аудиту PHP-коду

    запустити автотест
    запустити автотест

    Знайти і випробувати цей інструмент можна в адміністративній частині сайту: Налаштування -> Інструменти -> «Монітор якості» -> вибрати тест «Вжито заходів щодо забезпечення безпеки проекту на рівні веб-розробки» в розділі «Безпека». Запустивши тест, ви зможете переглянути докладний звіт про його роботу (за умови наявності знайдених проблем).

    Система перевірки «Монітор якості» також працює в каталозі веб-додатків для сайтів та корпоративних порталів «1С-Бітрікс: Маркетплейс».

    Веб-антивірус

    Веб-антивірус вбудований безпосередньо в сам продукт - систему управління сайтами Веб-антивірус вбудований безпосередньо в сам продукт - систему управління сайтами. Цей компонент захисту повністю відповідає загальній концепції безпеки системи і в рази підвищує захищеність і швидкість реакції веб-додатки на веб-загрози.

    «Веб-антивірус» перешкоджає імплантування шкідливого коду безпосередньо в веб-додатки. І відбувається це наступним чином. «Веб-антивірус» виявляє в HTML коді потенційно небезпечні ділянки і «вирізає» підозрілі об'єкти з коду сайту. У підсумку віруси не можуть потрапити до електронної пошти користувача сайту - антивірус перешкоджає цьому. І, що особливо важливо, «Веб-антивірус» повідомляє адміністратора порталу - попереджає про наявність зарази. Отримуючи інформацію про це, адміністратор шукає джерело шкідливого коду, проводить «зачистку» комп'ютера і підсилює профілактичні заходи.

    Панель безпеки з рівнями захищеності

    Будь-який веб-проект, що працює під управлінням «1С-Бітрікс: Управління сайтом», обов'язково має початковий рівень захисту. Однак за допомогою модуля «Проактивний захист» можна значно підвищити захищеність власного сайту. Потрібно всього лише вибрати і налаштувати один з рівнів безпеки модуля: стандартний; високий; підвищений. При цьому система підкаже - видасть рекомендації - яку дію необхідно встановити для кожного параметра на обраному поточному рівні.

    Безпечна авторизація без SSL

    За допомогою методики безпечної аутентифікації паролі з форми авторизації ваших співробітників неможливо зламати, оскільки вони шифруються по алгоритму RSA з ключем 1024 біт і в такому вигляді передаються на корпоративний портал. При цьому не важливо, які з'єднання і протоколи використовують користувачі вашого порталу.

    Журнал вторгнень

    У Журналі реєструються всі події, що відбуваються в системі, в тому числі незвичайні або зловмисні. Оперативний режим реєстрації цих подій дозволяє переглядати відповідні записи в Журналі відразу ж після їх генерації. У свою чергу, це дозволяє виявляти атаки і спроби атак в момент їх проведення. Це означає, у вас є можливість негайно вживати відповідних заходів, і, в деяких випадках, навіть попереджати атаки.

    одноразові паролі

    Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на сайті Модуль «Проактивний захист» дозволяє включити підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів на сайті. Однак особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори».

    Система одноразових паролів доповнює стандартну систему авторизації та дозволяє значно посилити систему безпеки інтернет-проекту Система одноразових паролів доповнює стандартну систему авторизації та дозволяє значно посилити систему безпеки інтернет-проекту. Для включення системи необхідно використовувати апаратний пристрій (наприклад, Aladdin eToken PASS) або відповідне програмне забезпечення, що реалізує OTP.

    Що вам дає така технологія? Однозначну впевненість, що на сайті авторизується саме той користувач, якому видано брелок. При цьому якесь викрадення і перехоплення паролів втрачає будь-який сенс, тому що пароль одноразовий. Брелок же фізичний, дає унікальні одноразові паролі і тільки при натисканні. А це означає, що власник брелка не зможе передати пароль іншій людині, продовжуючи користуватися входом на сайт.

    Персональний генератор одноразових паролів для сайту (OTP)

    За допомогою Bitrix OTP ви зможете самостійно включати або відключати використання на сайті системи одноразових паролів для свого облікового запису. Це реалізує OTP програмне забезпечення, розроблене компанією «1С-Бітрікс», дозволяє обійтися без покупки апаратних пристроїв (наприклад, Aladdin eToken PASS) або відповідних програмних аналогів.

    Встановити Bitrix OTP ви можете безпосередньо з вашого сайту, що працює на «1С-Бітрікс: Управління сайтом» 10.0 і вище. Для цього достатньо перейти в браузері мобільного пристрою за адресою http: // <ваш_сайт> / bitrix / otp / і слідувати інструкціям на екрані. Безкоштовна установка Bitrix OTP також можлива з онлайн-магазину додатків.

    Встановіть додаток від «1С-Бітрікс» на ваш мобільний телефон і генеруйте одноразові паролі для входу на сайт, що підтримує авторизацію по OTP. Додаток підтримує роботу з декількома сайтами одночасно.

    Створення нового сайту
    Створення нового сайту

    отримання пароля
    отримання пароля

    Ви можете включити на мобільному сайті підтримку одноразових паролів і використовувати їх вибірково для будь-яких користувачів. Особливо рекомендується задіяти систему одноразових паролів адміністраторам сайтів, оскільки це сильно підвищує рівень безпеки для користувача групи «Адміністратори». Для цього достатньо створити в генераторі паролів новий сайт, який підтримує авторизацію по ОТП, і потім кожен раз, при вході на цей сайт, отримувати для нього одноразовий пароль. Генератор дозволяє створити безліч записів для таких сайтів, і потрібний сайт ви зможете вибрати зі списку.

    Контроль цілісності файлів

    Контроль цілісності файлів необхідний для швидкого з'ясування - чи вносилися зміни в файли системи. У будь-який момент ви можете перевірити цілісність ядра, системних областей, публічній частині продукту.

    Перевірка цілісності скрипта контролю

    Перед перевіркою цілісності системи необхідно перевірити скрипт контролю на наявність змін. При першому запуску скрипта введіть в форму довільний пароль (що складається з латинських букв і цифр, довжиною не менше 10 символів), а також довільне кодове (ключове) слово (відмінне від пароля), і натисніть на кнопку «Встановити новий ключ».

    Захист адміністративного розділу

    Цей захист дозволяє компаніям строго регламентувати мережі, які вважаються безпечними і з яких дозволяється співробітникам адмініструвати сайт. Перед вами простий спеціальний інтерфейс, в якому все це і робиться - задається список або діапазони IP адрес, з яких якраз і дозволяється управління сайтом. Не бійтеся закрити собі доступ в момент установки блокування - цей момент перевіряється системою.

    Який ефект від використання даного захисту? Будь-які XSS / CSS атаки на комп'ютер користувача стають неефективними, а викрадення перехоплених даних для авторизації з чужого комп'ютера - абсолютно марним.

    захист сесій

    Більшість атак на веб-додатки мають на меті отримати дані про авторизованої сесії користувача. Включення захисту сесій робить викрадення авторизованої сесії неефективним. І, якщо мова йде про авторизованої сесії адміністратора, то її надійний захист за допомогою даного механізму є особливо важливим завданням. Які інструменти використовує цей захисний механізм? На додаток до стандартних інструментів захисту сесій, які встановлюються в настройках групи, механізм захисту сесій включає спеціальні - і в деякому роді унікальні.

    Зберігання даних сесій в таблиці модуля дозволяє уникнути читання цих даних через скрипти інших сайтів на тому ж сервері, виключивши помилки конфігурації віртуального хостингу, помилки настройки прав доступу в тимчасових каталогах і ряд інших проблем настройки операційного середовища. Крім того, це розвантажує файлову систему, переносячи навантаження на сервер бази даних.

    контроль активності

    Контроль активності дозволяє встановити захист від надмірно активних користувачів, програмних роботів, деяких категорій DDoS-атак, а також відсікати спроби підбору паролів перебором. В налаштуваннях можна встановити максимальну активність користувачів для вашого сайту (наприклад, число запитів в секунду, які може виконати користувач).


    стоп лист

    Стоп-лист - таблиця, яка містить параметри, які використовуються для обмеження доступу відвідувачів до вмісту сайту і перенаправлення на інші сторінки. Всі користувачі, які спробують зайти на сайт з IP адресами, включеними в стоп-лист, будуть блоковані.


    Що вам дає така технологія?
    Який ефект від використання даного захисту?
    Які інструменти використовує цей захисний механізм?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua