Чтобы защита веб-проекта осуществлялась на высоком уровне безопасности, сначала необходимо настроить стандартный уровень безопасности, а затем выполнить настройку параметров для высокого уровня:

* для быстрого перехода к описанию настройки нужного Вам параметра кликните по одной из ссылок ниже:

• 1 Журналирование событий главного модуля;
• 2 Защита административной части;
• 3 Хранение сессий в базе данных;
• 4 Смена идентификатора сессий;
• 5 Защита редиректов от фишинга.
• 6 Защита от фреймов.

1 Журналирование событий главного модуля

Параметр Журналирование событий главного модуля подразумевает целый ряд настроек Главного модуля (Настройки > Настройки продукта > Настройки модулей > Главный модуль):

Чтобы защита сайта велась на высоком уровне, должны быть отмечены все опции секции События для записи в журнал . Даже если не будет отмечена только одна опция, то считается, что параметр Журналирование событий главного модуля принимает несоответствующее значение, и защита сайта будет осуществляться на стандартном (или начальном) уровне безопасности.

2 Защита административной части

Защита административной части сайта осуществляется с помощью ограничения доступа со всех, кроме указанных в настройках IP-адресов. Включение или отключение защиты выполняется на странице Защита административного раздела (Настройки > Проактивная защита > Защита административного раздела) с помощью кнопки Включить защиту (или Выключить защиту).

Снять уже установленное ограничение по IP-адресам можно посредством создания специального файла, путь к которому задается в настройках модуля Проактивная защита. По умолчанию файл имеет имя следующего формата: ipcheck_disable_<случайный_набор_из_32_символов>.

3 , 4 Хранение сессий и смена идентификатора

Сессия пользователя – это ключевой объект атаки на веб-сайт с целью похищения сессии авторизованного пользователя и в особенности администратора. В базовой поставке продукта защита сессий настраивается в политике безопасности каждой группы пользователей с помощью параметров:

• Время жизни сессии (минут);
• Маска сети для привязки сессии.

Но такие строгие настройки не всегда получается ввести, например в силу того, что пользователи могут работать с разных IP-адресов. Модуль Проактивная защита позволяет выполнить защиту сессий с помощью следующих инструментов:

• хранение сессий в базе данных модуля безопасности;
• смена идентификатора сессий через указанное время.

Включение (или отключение) механизма хранения данных сессий пользователей в базе данных выполняется в файле bitrix/.settings.php Ядро поддерживает четыре варианта для хранения (файлы, redis, database, memcache) данных сессии. Способ хранения описывается в bitrix/.settings.php в секции 'session'.

Подробнее ... .

Хранение данных сессий в таблице модуля Проактивная защита позволяет избежать чтения этих данных через скрипты других виртуальных серверов, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Настройка механизма смены идентификатора сессий выполняется на закладке Смена идентификатора формы настройки защиты сессий.

Чтобы выполнялась смена идентификатора, необходимо:

• указать Время жизни идентификатора, в секундах, т.е. через какой промежуток времени будет изменяться идентификатор сессий;
• нажать кнопку Включить смену идентификатора.

Смена идентификатора создает дополнительную нагрузку на сервер, но позволяет сделать похищение авторизованной сессии неэффективным.

5 Защита редиректов от фишинга

Фишинг Фишинг (англ. phishing, от password — "пароль" и fishing — "рыбная ловля, выуживание") - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей (например, логинам и паролям). основан на незнании пользователями основ сетевой безопасности. Они воспринимают просьбы от якобы используемого ими сервиса сообщить свои учетные данные, пароль и др. как вполне легальные.

Такая мера получения несанкционированного доступа характерна для проектов с большой посещаемостью и большим числом пользователей, когда есть вероятность, что в общей «толпе» окажется достаточное количество некомпетентных пользователей.

Включение или отключение защиты редиректов от фишинга выполняется на странице Защита редиректов (Настройки > Проактивная защита > Защита редиректов) с помощью кнопки Включить защиту редиректов от фишинга (или Выключить защиту редиректов от фишинга).

Параметры защиты от фишинга настраиваются на закладке Параметры:

Защита редиректов от фишинга может осуществляться:

• Проверкой наличия HTTP-заголовка, описывающего страницу;
• Проверкой наличия в HTTP-заголовке записи о текущем сайте, который описывает ссылающуюся страницу;
• Добавлением цифровой подписи к ссылкам, генерируемым на сайте.

При включенной защите все системные ссылки обязательно подписываются дополнительным параметром индивидуальным для сайта и для этого перехода. Кроме того, можно защитить пользовательские ссылки перенаправлений, добавив их в поле Подписываемые URLs в секции Пользовательские (добавление полей ввода осуществляется с помощью кнопки Добавить).

Защита редиректов может выражаться одним из следующих действий:

• Перенаправлением на другой сайт с показом соответствующего сообщения и выполнением задержки на несколько секунд.
  
  Текст сообщения задается с помощью поля Сообщение, а период задержки пользователя – в поле Задержка.

• Перенаправлением на заведомо безопасный адрес, например, на главную страницу сайта.
  
  В этом случае необходимо задать адрес страницы сайта с помощью поля URL.

Для фиксирования попыток фишинга через редирект необходимо отметить опцию Занести попытку фишинга в журнал.

6 Защита от фреймов

Ограничение отображения страниц сайта во фреймах сторонних доменов позволяет защитить ресурс от Clickjacking'a (подсовывание невидимого фрейма с целевого ресурса для получения клика от пользователя), Framesniffing'а и существенно снижает риск проведения Cross-site scripting атак.

Включение или отключение ограничения отображения страниц сайта во фреймах на сторонних доменах осуществляется на странице Защита от фреймов (Настройки > Проактивная защита > Защита от фреймов), закладка Защита от фреймов.

На закладке Исключения можно указать страницы, для которых настройки ограничения применяться не будут.

Страницы можно указать по маскам (например: /bitrix/* или */news/*) как для всех сайтов, так и для конкретного.

• Защита административного раздела
• Защита сессий
• Защита редиректов
• Защита от фреймов