Стандартный уровень

Урок 159 из 258
Автор: Анна Кокина
Сложность урока:
3 уровень - средняя сложность. Необходимо внимание и немного подумать.
3 из 5
Просмотров: 90428
Дата изменения: 02.12.2024
Недоступно в лицензиях:
Текущую редакцию Вашего 1С-Битрикс можно просмотреть на странице Обновление платформы (Marketplace > Обновление платформы).
Старт

Стандартный уровень

Чтобы защита веб-проекта осуществлялась на стандартном уровне безопасности, необходимо настроить должным образом все параметры данного уровня:

* для быстрого перехода к описанию настройки нужного Вам параметра кликните по одной из ссылок ниже:

Внимание: если стандартный уровень не настроен полностью, то защита сайта будет осуществляться на начальном уровне, но с учетом настроенных параметров на стандартном, высоком и повышенном уровнях.

1 , 2 Проактивный фильтр и исключения из него

Включение или отключение проактивного фильтра Проактивный фильтр (Web Application Firewall) – это набор специализированных средств, которые выполняют фильтрацию трафика. Фильтр обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. выполняется на странице Проактивный фильтр (Настройки > Проактивная защита > Проактивный фильтр) с помощью кнопки Включить проактивную защиту (или Выключить проактивную защиту).

На закладке Активная реакция настраиваются действия системы при попытке вторжения на сайт:

Выберите необходимый вам способ реакции на вторжение:

  • Сделать данные безопасными – опасные данные будут модифицированы, например, select будет заменен на sel ect.
  • Очистить опасные данные – введенные опасные данные будут удалены.
  • Оставить опасные данные как есть – с опасными данными никаких действий выполняться не будет.

Чтобы заблокировать пользователя на некоторое количество минут, отметьте опцию Добавить IP-адрес атакующего в стоп-лист. При этом период времени блокировки задается в поле На сколько минут добавлять в стоп-лист.

Примечание: при добавлении IP-адреса атакующего в стоп-лист становится возможной атака, Суть атаки:
Злоумышленник размещает у себя ссылку на сайт, содержащую данные, похожие на попытку взлома.
Пользователь кликает по этой ссылке и переходит на сайт.
Проактивная защита заносит этого пользователя в Стоп-лист. Сайтом этот пользователь больше пользоваться не сможет.
когда действия злоумышленника могут привести к блокировке посетителей сайта.

Для фиксирования попыток атаки отметьте опцию Занести попытку вторжения в журнал.

Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.


При необходимости могут быть заданы исключения из проактивного фильтра (закладка Исключения), т.е. проактивный фильтр не будет применяться на страницах, указанных на данной закладке.

Примечание: Чтобы защита сайта осуществлялась на стандартном уровне, проактивный фильтр должен быть включен и не должно быть задано ни одного исключения.

Однако при необходимости можно добавить определенные страницы или конкретных пользователей в правило исключения

Исключение для конкретных страниц

Исключение для конкретных пользователей

Примечание: Начиная с версии модуля 14.0.3, для страниц в публичной части сайта с сообщениями функционала "Защита редиректов от фишинга" и "Проактивный фильтр" добавлены теги noindex и nofollow.

3 Журнал вторжений

Журнал вторжений (Настройки > Проактивная защита > Журнал вторжений) предназначен для ведения логов событий, связанных с потенциальными угрозами безопасности сайта. Период времени, в течение которого хранятся записи, определяется настройками Главного модуля на закладке Журнал событий.

Информация о событии, которая фиксируется в журнале

В журнале фиксируются события следующих типов:

  • Со стороны модуля Веб-аналитика: превышение лимита активности.
  • Со стороны модуля Проактивная защита: попытки внедрения SQL и PHP, попытки атак через XSS, попытки заражения вирусами и фишинга через редирект.
  • Со стороны модуля Форум: операции над темами и сообщениями форумов.
  • Со стороны Главного модуля: успешный вход и выход из системы, запрос на смену и смена пароля пользователя, ошибки входа и входа при сохраненной авторизации, регистрация нового пользователя, ошибка регистрации и удаление пользователя.

Подробное описание всех полей списка смотрите на странице пользовательской документации Журнал вторжений (Настройки > Проактивная защита > Журнал вторжений) предназначен для ведения логов событий, связанных с потенциальными угрозами для безопасности сайта. Период времени, в течение которого хранятся записи, определяется настройками главного модуля.
Подробнее...
.

4 Контроль активности

Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакциях продукта, в которые входит этот модуль. Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором.

Включение или отключение контроля активности выполняется на странице Контроль активности (Настройки > Проактивная защита > Контроль активности) с помощью кнопки Включить контроль активности (или Выключить контроль активности).

На закладке Параметры задаются параметры максимальной активности пользователей вашего сайта.

Таким образом, если пользователь превысит количество запросов за указанное количество секунд, то он будет заблокирован на заданное время. При этом ему будет отображена специальная страница, шаблон которой можно отредактировать по ссылке редактировать шаблон. Для фиксирования превышения лимита активности в журнале вторжений необходимо отметить опцию Сделать запись в журнале событий.

Примечание: Контроль активности связан с работой модуля Веб-аналитика. Поэтому его настройку можно также произвести на странице настроек модуля (Настройки > Настройки продукта > Настройки модулей > Веб-аналитика, закладка Настройки, секция Ограничение активности).

5 Уровень безопасности группы администраторов

Чтобы защита веб-проекта осуществлялась на стандартном уровне, необходимо задать повышенный уровень безопасности для группы администраторов. По умолчанию данный параметр уже настроен. Если по каким-либо причинам уровень безопасности группы администраторов отличен от повышенного, то необходимо выполнить следующее:

  • На странице Панель безопасности (Настройки > Проактивная защита > Панель безопасности) нажмите ссылку Включить повышенный для опции Уровень безопасности группы администраторов. Откроется форма редактирования группы администраторов на закладке Безопасность (Настройки > Пользователи > Группы пользователей).
  • В поле Предопределенные настройки уровня безопасности укажите повышенный уровень.
  • Сохраните внесенные изменения.

6 Использовать CAPTCHA при регистрации

Необходимым условием для защиты сайта на стандартном уровне является использование CAPTCHA при регистрации новых пользователей. Данная опция включается в настройках главного модуля на закладке Авторизация.

Настройка внешнего вида CAPTCHA выполняется на странице CAPTCHA (Настройки > Настройки продукта > CAPTCHA).

7 Режим вывода ошибок

Наряду с параметром Использовать CAPTCHA при регистрации, необходимо настроить еще один параметр главного модуля – Режим вывода ошибок (error_reporting), чтобы защита сайта осуществлялась на стандартном уровне безопасности.

  • Перейдите на страницу настроек Главного модуля (Настройки > Настройки продукта > Настройки модулей > Главный модуль).
  • В поле Режим вывода ошибок (error_reporting) укажите Только ошибки или Не выводить.
  • Примечание: если выбрать режим Ошибки и предупреждения, то будет установлен начальный уровень безопасности.

  • Сохраните внесенные изменения.

8 Показ ошибочных запросов базы данных

Для осуществления защиты веб-проекта на стандартном уровне показ ошибочных данных должен быть выключен, т.е. переменная $DBDebug должна принимать значение code. Таким образом, в случае ошибки при создании соединения с базой или выполнения запроса полный текст ошибки будет отображаться только администраторам сайта. Если же переменная принимает значение true, то полный текст ошибки будет отображаться всем пользователям сайта.

Изменение значения переменной $DBDebug выполняется в файле /bitrix/php_interface/dbconn.php.

Документация по теме:


Нам жаль это слышать… Но мы постараемся быть лучше!

Мы благодарны Вам за помощь в улучшении документации.

Спасибо, мы рады что смогли помочь Вам. Ниже Вы можете оставить свой отзыв или пожелание :)
Мы стараемся сделать документацию понятнее и доступнее,
и Ваше мнение важно для нас
Курсы разработаны в компании «1С-Битрикс»