Нажмите "Enter", чтобы перейти к содержанию

Biztonsági kód telepítése OTP

Proaktív védelem

Biztonság «1c-Bitrix: Site Management»

  • «Proaktív védelem» modul
  • «Cloud» biztonsági szkenner
  • Független biztonsági ellenőrzés
  • Megfelelőségi tanúsítványok
  • Eldobható jelszó-hitelesítés (OTP)
  • Biztonság «1c-Bitrix: Site Management»

«Proaktív védelem» modul

A «Proaktív védelem» modul belép az «1C-Bitrix: Site Management» rendszerbe. A modul hatalmas védelmi eseményt alkalmaz a webhelyre és a harmadik féltől származó alkalmazásokra.

Csatlakoztassa a védelmet a DDOS-tól
Biztonsági panel biztonsági szintekkel
Proaktív szűrő (webes alkalmazás tűzfal)
PHP kód biztonsági eszköz
Web Antivirus
Eldobható jelszó technológia (OTP)
Eldobható jelszógenerátor (Bitrix OTP)
Az engedélyezett munkamenetek védelme
Aktivitás irányítása
Biztonságos engedély nélkül SSL
Folyóirat invázió
Az adminisztratív partíciók védelme IP-vel
Stop listák
A szkript integritásának ellenőrzése
Ajánlások a beállításhoz
Frissítési monitor
Az infosredek külső ellenőrzése
Az átirányítások védelme az adathalászatból

A «Proaktív védelem» alapvetően új megközelítés a webes biztonsági koncepcióhoz, amelyben maga a webes alkalmazás válaszának fogalma a behatolási kísérletekre változik. A «proaktív védelem» kiadása a vállalat bányászatának folytatása az internetes projektek biztonságának biztosítása érdekében. De az első alkalommal sikerült jelentős mértékben erősíteni a biztonságot oldalakat, és csökkenti a függőséget az ügyfelek a leggyakoribb hibák a webfejlesztők »

Vezérigazgató, «1c-Bitrix», Sergey Ryzhikov

A proaktív védelem egy olyan technikai és szervezeti intézkedések széles skálája, amelyek a teljes biztonsági koncepcióval kombinálódnak, és lehetővé teszik, hogy jelentősen bővítse a biztonság és a webes alkalmazási reakciók fogalmát a fenyegetésre.

Ezek számos technikai megoldás a termék biztonságának biztosítására és a webes alkalmazások biztonságára. A webes alkalmazások legismertebb támadásainak több védelme magában foglalja ezt a modulot. És minden szinten komolyan javítja az online projektek biztonságát.

A webes projekt tulajdonosainak egyik elsődleges feladata magas színvonalú és megbízható védelem a hacker támadások ellen, a hacker és a lopás a helyszínen tárolt.

A CC9 Hacker Fesztiválon egy versenyt tartottak, amelynek résztvevői megkerültek a webhely «proaktív védelmének» rendszerének megkerüléséhez, és kihasználják a különböző típusú sérülékenységeket. 25 000 Hacking kísérlet a versenyben — Kiváló stressz tesztelése mind proaktív védelemmel a waf és a teljes 1c-bitrix platform.

A proaktív védelem a szabványos termékbiztonsági politika alapvető kiegészítése. Ezért ugyanazt a modul tartalmazza az összes kiadás a termék „1C-Bitrix: Site Management” (kivéve Start) és a termék „1C-Bitrix: Vállalati Portál”. És ami fontos, és a proaktív védelem, és egy proaktív szűrő az első alkalommal a világban közvetlenül a termékbe kerül!

DDOS védelem

A vállalatok «1c-Bitrix» és Qrator biztosítja az üzleti tevékenység folytonosságát!

Az 1C-Bitrix ügyfelek számára egyedülálló közös javaslat lehetővé teszi az aktív kereskedelmi licenccel rendelkező webhelyet, hogy védelmet nyújtson a DDO-k elleni védelemben 10 napig ingyenesen!

Bármely méretű weboldal — egy kis regionális online áruházból a legnagyobb retaling hálózat online ábrázolásához — mindig elérhetőnek kell lennie a látogatóknak. Végtére is, ez a megrendelések forrása, valamint a kommunikációs csatorna az ügyfelekkel, valamint a vállalat «arcát», amely közvetlenül befolyásolja a képét.

Az egyik oka annak, hogy a webhelyed megállíthatja a munkát — DDos-támadást (leggyakrabban — elosztott támadás a webhelyén, nagyszámú «szemét» kéréssel). A támadások forrásai és technikai megvalósítása lehet a legkülönbözőbb (célzott támadás a versenytársakból, a Botnet hálózat automatikus támadása; nagy számú HTTP-kérés, szin-árvíz támadások és t.D.)

Még egy támadás egy kis intenzitású lesz szükség a tudás egy hozzáértő szakember számára a gondolkodás. Lehetetlen megbirkózni a speciális védelem nélküli súlyosabb támadásokkal.

Proaktív szűrő (webes alkalmazás tűzfal)

Védőszűrő (WAF — Web Application Firewal) védelmet nyújt a legismertebb támadásokról a webes alkalmazásokról. A külső felhasználói kérések folyamán a proaktív szűrő felismeri a legtöbb veszélyes fenyegetést, és blokkolja a webhely invázióját. A proaktív szűrő a leghatékonyabb módja annak, hogy megvédje az internetes projekt (XSS, SQL injekció, PHP és számos más) végrehajtása során végrehajtott lehetséges biztonsági hibák elleni védelmet. A szűrőművelet elemzésén alapulnak, és szűrés az összes adatot érkező felhasználók számára változók és a cookie-kat.

* Felhívjuk figyelmét, hogy egyes intézkedések a felhasználók, akik nem jelentenek fenyegetést is gyanúsan és hibás szűrő kiváltó.

  • Védelem a legismertebb támadásoktól a webes alkalmazásokon;
  • Az alkalmazás szűrése az alkalmazott legaktív támadásokból;
  • A szűrés (maszk) kivételek listájának létrehozása;
  • a legveszélyesebb fenyegetések elismerése;
  • blokk behatolás a helyszínen;
  • a lehetséges biztonsági hibák elleni védelem;
  • Rögzítési kísérletek támadások a folyóiratban;
  • tájékoztatja az adminisztrátort az inváziós esetekről;
  • Beállítása az aktív reakció — rendszer akciók miközben próbál betörni site:
  • Adatok biztonságossá tétele;
  • Veszélyes adatok törlése;
  • Adja hozzá a támadó IP-címét a huszadik percben a leállítási listában;
  • próbálkozzon a magazinra.
  • Frissítések a termékkel.
  • PHP kódbiztonsági ellenőrzés

    PHP kódbiztonsági eszköz — kényelmes, pontos és világos fejlesztői eszköz, amely «sugallja» szűk keresztmetszetet a kódbiztonságban. A szerszám nemcsak a sebezhetőség használatát megakadályozza, hanem a forrás megszüntetését is. Ellenőrizze a Jelentésben a potenciális sebezhetőségeket a kódban, és fokozza a webhely védelmét a hackelésből.

    Indítsa el az autottstot
    Megtalálhatja és tesztelheti ezt az eszközt a webhely adminisztratív részében: Beállítások — Eszközök — «Minőségi monitor» — Válassza ki a teszt «menstrust, hogy biztosítsa a projekt biztonságát a webfejlesztési szinten» a «Biztonság» szakaszban. A teszt rúgása, részletes jelentést láthatunk munkájáról (a talált problémákra is figyelemmel).

    A «Quality Monitor» ellenőrzési rendszer a webes alkalmazás könyvtárában is működik a webhelyek és vállalati portálok «1c-Bitrix: Marksles» .

    Web Antivirus

    A webes víruskereső közvetlenül a termékbe épül — helyszíni menedzsment rendszer. Ez a védelmi komponens teljes mértékben megfelel a teljes rendszer biztonsági koncepciójának, és jelentősen növeli a webes alkalmazás reakciójának biztonságát és sebességét egy internetes fenyegetésre.

    «Web AntiVirus» megakadályozza a rosszindulatú kód beültetését közvetlenül a webes alkalmazásban. És ez az alábbiak szerint történik. «Web AntiVirus» felfedi a HTML-kód potenciálisan veszélyes területeken, és a «Cuts» gyanús objektumokat a webhelykódból. Ennek eredményeként a vírusok nem tudnak behatolni a felhasználó felhasználója számítógépére — a víruskereső megakadályozza ezt. És különösen fontos, hogy «Web AntiVirus» értesíti a portál adminisztrátort — figyelmezteti a fertőzés jelenlétét. Ehhez információt kap, az adminisztrátor rosszindulatú kódforrást keres, a számítógép «sweep» -t végez, és erősíti a megelőző intézkedéseket.

    Biztonsági panel biztonsági szintekkel

    Az «1c-Bitrix: Website Management» futó webes projekt szükségszerűen kezdeti szintű védelemmel rendelkezik. A «Proaktív védelem» modul használatával azonban jelentősen növelheti saját honlapjának biztonságát. Csak a modul egyik biztonsági szintjét kell kiválasztania és konfigurálnia kell: szabványos; magas; Megnövekedett. Ugyanakkor a rendszer kéri a javaslatokat — milyen intézkedéseket kell telepíteni minden egyes paraméterre a kiválasztott jelenlegi szinten.

    • A kezdeti biztonsági szint — megkapja alapuló projektek Bitrix keret nélkül „Proaktív védelem” modul;
    • Standard szint — A projekt szabványos termékvédelmi eszközöket tartalmaz;
    • proaktív szűrő (az egész oldalon kivétel nélkül);
    • A 7 napos invázió inváziója folyamatban van;
    • Tartalmazza a tevékenységvezérlést;
    • a rendszergazdák csoportjának fokozottabb szintje;
    • Hiba kimeneti mód (csak hibák).Magas szint — az ajánlott védelmi szint, olyan projektek fogadása, amelyek megfelelnek a szabványos szint követelményeinek, és továbbá beépülnek:
    • A főmodul eseményeinek naplózása;
    • A közigazgatási rész védelme;
    • Az ülések tárolása az adatbázisban;
    • Az ülések azonosítójának megváltoztatása.
    • Fokozott szint — speciális védelmi eszközök, kötelező helyek, amelyek bizalmas felhasználói információkat tartalmaznak, az online áruházak számára, azok számára, akik kritikus információkkal dolgoznak.Emellett magas szinten:
    • Eldobható jelszavak bevonása;
    • A vezérlőszkript integritásának ellenőrzése.

    Biztonságos engedély nélkül SSL

    A jelszavak biztonságos hitelesítésének módszereit alkalmazva az alkalmazottak engedélyezésének formájáig, lehetetlen hack, mert az RSA algoritmus titkosítása 1024 bites kulccsal, és ebben az űrlapon egy vállalati portálra kerül. Nem számít, hogy mely kapcsolatok és protokollok használják a portál felhasználóként.

    • Biztonságos jelszó titkosítási hitelesítés lehetővé teszi, hogy elkerülje az átviteli jelszót a nyílt formában SSL nélkül;
    • Minden olyan eszköz, amelyet korábban az engedélyezéshez használtak, továbbra is működnek.

    Folyóirat invázió

    A folyóirat regisztrálja a rendszerben előforduló eseményeket, beleértve a szokatlan vagy rosszindulatú. Az események nyilvántartásba vételének operatív rendszere lehetővé teszi, hogy a megfelelő bejegyzéseket közvetlenül a generáció után tekintse meg. Ezzel lehetővé teszi a támadások észlelését és a támadások végrehajtásának kísérletét a végrehajtásuk idején. Ez azt jelenti, hogy lehetősége van arra, hogy azonnal válaszoljon, és bizonyos esetekben még hivatkozik is.

    • a rendszer összes eseményének működési nyilvántartása;
    • Proaktív szűrő esetén a naplóbejegyzés a támadások egyik kategóriájában:
    • Próbálkozzon az SQL végrehajtására;
    • Rögzítés az XSS-en;
    • PHP bevezetése.
  • Rosszindulatú események kiválasztása a szűrőn;
  • a valós idejű események megtekintése és elemzése;
  • Azonnali reakció — egy eseményre adott válasz intézkedés;
  • Az események megelőzése és megelőzése az elemzésük alapján
  • Eldobható jelszavak

    A «Proaktív védelem» modul lehetővé teszi az eldobható jelszavak támogatását, és szelektíven használhatja azokat a felhasználók számára a webhelyen. Azonban nagyon ajánlott egy eldobható jelszó-rendszert használni a helyszínek adminisztrátorainak, mivel nagymértékben javítja a «Administrators» felhasználói csoport biztonsági szintjét.

    Az eldobható jelszó rendszer kiegészíti a standard engedélyezési rendszert, és lehetővé teszi, hogy jelentősen erősítse az internetes projekt biztonsági rendszerét. A rendszer engedélyezéséhez hardvereszközt kell használnia (például,

    Az eldobható jelszavak személyes generátora (OTP)

    A Bitrix OTP-vel önállóan magában foglalhatja vagy letilthatja az eldobható jelszavak használatát a fiókjában található weboldalon. Ez az OTP szoftver, amelyet az «1c-Bitrix» cég fejlesztett ki, lehetővé teszi a hardvereszközök (például az Aladdin Etoken Pass) vagy a megfelelő szoftver analógok vásárlása nélkül.

    Telepítse a Bitrix OTP-t közvetlenül az Ön webhelyéről, amely az «1C-BITRIX: Site Management» 10-en fut.0 és annál magasabb. Ehhez elegendő a mobilkészülék böngészőjére a http: // your_site / bitrix / OTP / és kövesse a képernyőn megjelenő utasításokat. Ingyenes telepítés Bitrix OTP is lehetséges az online áruház alkalmazásából.

    Telepítse az alkalmazást az «1C-BITRIX» -ról a mobiltelefonjára, és hozzárendeli az eldobható jelszavakat, hogy belépjen az OTP engedélyt támogató webhelyre. Az alkalmazás egyidejűleg több webhelyet is támogat.

    Akkor is a mobil weboldal támogatás eldobható jelszavakat, és használja őket szelektíven bármilyen felhasználók. Ez erősen ajánlott használni a rendszert egyszer jelszavak adminisztrátora oldalakat, mert nagyban növeli a biztonsági szintet a felhasználói csoport „Rendszergazdák”. Ehhez elegendő egy új webhely létrehozása a jelszógenerátorban, amely támogatja az OTP engedélyét, majd minden alkalommal, amikor beírja ezt az oldalt, kap egy eldobható jelszót. A generátor lehetővé teszi, hogy több bejegyzést hozzon létre az ilyen webhelyekhez, és a kívánt webhely közül választhat a listából.

    A fájlok integritásának ellenőrzése

    A fájl integritásának ellenőrzése szükséges ahhoz, hogy gyorsan tisztázzon — legyen a rendszerfájlok módosításai. Bármikor ellenőrizheti a kernel, a rendszer régiók, a termék nyilvános részét.

  • a fájlrendszer nyomon követése;
  • A mag integritásának ellenőrzése;
  • Ellenőrizze a rendszer régiókat;
  • A termék nyilvános részének ellenőrzése.
  • A vezérlőszkript integritásának ellenőrzése

    A rendszer integritásának ellenőrzése előtt ellenőriznie kell a vezérlési szkriptet a módosításokhoz. Amikor először indítja el a parancsfájlt, írjon be tetszőleges jelszót (latin betűkből és számokból, nem kevesebb, mint 10 karakter hosszú), valamint tetszőleges kód (kulcs) szó (eltérő a jelszótól), és kattintson a «Telepítés Új kulcs «gomb.

  • A vezérlőszkript ellenőrzése a változásokhoz;
  • Script Integrity Protection Key — szimbolikus jelszó.
  • Az adminisztratív rész védelme

    Ez a védelem lehetővé teszi a vállalatok számára, hogy szigorúan szabályozzák azokat a hálózatokat, amelyek biztonságosak, és amelyeknek az alkalmazottaknak meg kell adniuk a webhelyet. Ön egy egyszerű speciális felület, amelyben mindez megtörtént — az IP-címek listája vagy tartományai vannak beállítva, ahonnan a webhelykezelés megengedett. Ne féljen, hogy zárja be a hozzáférést a zárolás idején — ez a pillanat a rendszer ellenőrzi.

    Mi a védelem használata? A felhasználó számítógépére vonatkozó XSS / CSS támadások egyre hatástalanok, és az elfogott adatok elrablása az egyéb számítógéphez való jogosultsághoz való elrablása teljesen haszontalan.

    • korlátozza az összes IP-cím adminisztratív részéhez való hozzáférést, kivéve a jelzett;
    • A felhasználó IP-címrendszerének automatikus meghatározása;
    • az engedélyezett IP-cím kézi bejegyzése;
    • Az IP-címek tartományának beállítása, amelyekkel a közigazgatási részhez való hozzáférés megengedett.

    Az ülések védelme

    A webes alkalmazások legtöbb támadása célja az engedélyezett felhasználói munkamenetre vonatkozó adatok megszerzése. A munkamenet védelme lehetővé teszi az engedélyezett munkamenet elrablását. És ha egy hivatalos adminisztrátori munkamenetről beszélünk, megbízható védelme ezzel a mechanizmussal különösen fontos feladat. Milyen eszközöket használnak ez a védőmechanizmus? A csoportbeállításokban telepített szabványos munkamenetvédő eszközök mellett a munkamenet védelmi mechanizmusa különleges — és valamilyen módon egyedülálló.

    A modul táblázatban lévő munkamenetek tárolása lehetővé teszi az adatok olvasását az ugyanazon a kiszolgáló más webhelyeinek szkriptjein keresztül, kiküszöbölve a virtuális tárhely konfigurálását, az ideiglenes könyvtárakhoz való hozzáférési jogokat és számos más működési környezetet. Ezenkívül kirakja a fájlrendszert, átviheti az adatbázis-kiszolgáló terhelését.

    • Session Protection többféleképpen:
    • az ülés élettartama (perc);
    • A munkamenet azonosítójának néhány percen át történő megváltoztatása;
    • Hálózati maszk az IP-hez kötődő munkamenethez;
    • Adathelyek tárolása a modul táblázatban.
  • A virtuális tárhely konfigurálásának hibáinak megszüntetése;
  • A hibák kiküszöbölése az ideiglenes könyvtárakhoz való hozzáférési jogok meghatározása;
  • a működési környezet beállításának problémáinak megszüntetése;
  • A fájlrendszer kirakodása;
  • A támadók által az ülések elrablása.
  • Aktivitás irányítása

    A tevékenység ellenőrzése lehetővé teszi, hogy védelmet nyújtson a túlzottan aktív felhasználóktól, a szoftver robotoktól, a DDO-támadások egyes kategóriáihoz, valamint a jelszavak kiválasztásához. A beállításokban beállíthatja a webhely maximális felhasználói tevékenységét (például a felhasználó által végrehajtott kérelmek számát).

    • túlzottan aktív felhasználók elleni védelem;
    • Szoftver robotok elleni védelem;
    • A DDOS támadások egyes kategóriáinak védelme;
    • a jelszavak kiválasztását a mellszoborral történő kivágása;
    • a webhely maximális felhasználói tevékenységének beállítása (normális az emberek számára);
    • A felhasználó tevékenységének feleslegének rögzítése az inváziós naplóban;
    • A felhasználó blokkolása meghaladta az adott időintervallum iránti kérelmek számát;
    • Következtetés egy speciális információs oldal blokkolt felhasználójához.

    A felhasználói tevékenység ellenőrzését a webes analitikai modul eszközei alapján végzik, és ezért csak a termék kiadásában érhető el, amelyben ez a modul magában foglalja.

    Leállási lista

    STOP LIST — A paramétereket tartalmazó táblázat, amely a látogatóknak a webhely tartalmának korlátozására és más oldalakra irányuló átirányításra korlátozódik. Azok a felhasználók, akik megpróbálnak menni a webhelyre az IP-címekkel, a stoplistában kerülnek blokkolva.

    • Átirányítja a látogatókat, amelyek paramétereit a stop listában tartalmazzák;
    • A felhasználók reteszelése IP-címekkel a stop-levélből;
    • A stop-lap kézi feltöltése új rekordokkal;
    • A felhasználói statisztikák elszámolása, amelyek tilosak a webhelyhez való hozzáférés;
    • Beállítása az időszakban a tilalom hozzáférést a webhely a felhasználó IP-hálózat, hálózati maszk UserAgent és a link, amelyre a felhasználó jött;
    • A változtatható üzenet, amely megjelenik a felhasználóhoz, amikor megpróbálja elérni az oldalt.

    Комментарии закрыты, но обратные ссылки и pingbacks ещё работают.