| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версияСледующая версияСледующая версия справа и слева |
| web_security [2017/04/19 08:10] – [DDoS атака] kuld | web_security [2023/01/15 14:51] – [Использование подписанных сертификатов сервера] kuld |
|---|
| - Заблокировать дверь, делая невозможным доступ к шкафу для всех | - Заблокировать дверь, делая невозможным доступ к шкафу для всех |
| |
| Насколько серьезны эти угрозы зависит конечно же от того, какую именно информационную базу Вы публикуете. А вот насколько легко эти угрозы осуществить и насколько серьезными могут быть их последствия зависит от "замков", которые Вы установите на дверях. | Насколько серьезны эти угрозы зависит конечно же от того, какую именно информационную базу Вы публикуете. А вот насколько легко эти угрозы осуществить и какие будут последствия зависит от "замков", которые Вы установите на дверях. |
| |
| В этой статье мы собрали базовые рекомендации по организации безопасного онлайн доступа к информационным базам 1С:Предприятие с использованием свободного программного обеспечения. | В этой статье мы собрали базовые рекомендации по организации безопасного онлайн доступа к информационным базам 1С:Предприятие с использованием свободного программного обеспечения. |
| |
| На практике используется метод метод перебора по словарю, он отличается от метода полного перебора тем, что в нем перебираются не все возможные пароли, а наиболее часто используемые в порядке убывания популярности. И начинается этот словарь с самых популярных паролей ''12345678'' и ''qwerty''. | На практике используется метод метод перебора по словарю, он отличается от метода полного перебора тем, что в нем перебираются не все возможные пароли, а наиболее часто используемые в порядке убывания популярности. И начинается этот словарь с самых популярных паролей ''12345678'' и ''qwerty''. |
| | |
| | <note important>Необходимость использования безопасных паролей даже не обсуждается. В прикладных решениях 1С есть настройки безопасности входа, задействуйте их. Не показывайте пользователей в списке выбора. Не называйте пользователя с полными правами "Администратор", "Админ" и т.п.</note> |
| | |
| | {{ :1c_seqlogin.png }} |
| |
| Разработано множество способов противостояния атаке грубой силы, но, к сожалению, большинство их недоступно для 1С:Предприятия, по крайней мере на уровне платформы. | Разработано множество способов противостояния атаке грубой силы, но, к сожалению, большинство их недоступно для 1С:Предприятия, по крайней мере на уровне платформы. |
| |
| Самый популярный инструмент защиты - капча, увы, отсутствует в платформе 1С. Автоматический таймаут после нескольких неудачных попыток ввода пароля - так же нам не доступен. Самый надежный способ - двухфакторная авторизация, увы, в платформе 1С:Предприятие тоже отсутствует. | Самый популярный инструмент защиты - капча, увы, отсутствует в платформе 1С. Автоматический таймаут после нескольких неудачных попыток ввода пароля - так же нам не доступен. Самый надежный способ - двухэтапная аутентификация, увы, в платформе 1С:Предприятие тоже отсутствует. <note tip>Двухэтапную аутентификацию можно реализовать на уровне прикладного решения. Пользователь сначала проходит аутентификацию в платформе, затем, уже в конфигурации его встречает Google Authenticator или просят ввести код, отправленный SMS.</note> |
| <note>Двухфакторную аутентификацию можно реализовать на уровне прикладного решения. Пользователь сначала проходит авторизацию в платформе, затем, уже в конфигурации его встречает Google Authenticator или просят ввести код, отправленный SMS.</note> | |
| |
| Если Вы точно знаете откуда внешние пользователи будут подключаться к Вашей информационной базе и знаете их IP адреса, например, это может быть Ваш удаленный офис, [[:web_security#ограничение_доступа_по_ip_адресам|просто ограничьте доступ]] к опубликованной информационной базе. Запретите его всем, кроме известных Вам адресов удаленного офиса. | Если Вы точно знаете откуда внешние пользователи будут подключаться к Вашей информационной базе и знаете их IP адреса, например, это может быть Ваш удаленный офис, [[:web_security#ограничение_доступа_по_ip_адресам|просто ограничьте доступ]] к опубликованной информационной базе. Запретите его всем, кроме известных Вам адресов удаленного офиса. |
| ==== Атака посредника ==== | ==== Атака посредника ==== |
| |
| С такой атакой есть риск столкнуться в ненадежных сетях на стороне клиента. Злоумышленник в такой сети подменяет для клиента Ваш настоящий сервер своей прослойкой-ретранслятором, принимает запросы от клиента, перенаправляет их к Вам на сервер, получает ответы от Вашего сервера и возвращает их клиенту. При такой ретрансляции злоумышленник расшифрует весь трафик, который Вы пытались шифровать, настроив SSL соединение, он получит логины, пароли и любые данные, которые передаются между клиентом и сервером. | С такой атакой есть риск столкнуться в ненадежных сетях на стороне клиента. Злоумышленник подменяет в локальной сети для клиента Ваш настоящий сервер своей прослойкой-ретранслятором, принимает запросы от клиента, перенаправляет их к Вам на сервер, получает ответы от Вашего сервера и возвращает их клиенту. При такой ретрансляции злоумышленник расшифрует весь трафик, который Вы пытались шифровать, настроив SSL соединение, он получит логины, пароли и любые данные, которые передаются между клиентом и сервером. |
| |
| С такой угрозой можно столкнуться не только в бесплатной WiFi сети, но и практически в любой коммерческой сети, где вопросам безопасности уделяется мало внимания, например, в сетях микро-провайдеров, монопольно работающих в офисных и торговых центрах, в локальной сети арендованного склада, в любой сети, которую Вы не контролируете. | С такой угрозой можно столкнуться не только в бесплатной WiFi сети, но и практически в любой коммерческой сети, где вопросам безопасности уделяется мало внимания, например, в сетях микро-провайдеров, монопольно работающих в офисных и торговых центрах, в локальной сети арендованного склада, в любой сети, которую Вы не контролируете. |
| - Никогда, ни при каких обстоятельствах не публикуйте информационные базы в Интернет на том же сервере, на котором работает сервер приложений. | - Никогда, ни при каких обстоятельствах не публикуйте информационные базы в Интернет на том же сервере, на котором работает сервер приложений. |
| - Если можно обойтись без публикации информационной базы непосредственно в Интернет, лучше обойтись [[:web_security#построение_виртуальной_частной_сети|VPN]]. | - Если можно обойтись без публикации информационной базы непосредственно в Интернет, лучше обойтись [[:web_security#построение_виртуальной_частной_сети|VPN]]. |
| - Никогда не подключайте сервер напрямую к Интернет, только через Firewall, используйте профессиональные роутеры, например, Cisco и квалифицированных специалистов для их настройки. | - Не подключайте сервер напрямую к Интернет, только через Firewall. Используйте профессиональные роутеры, например, Cisco и квалифицированных специалистов для их настройки. |
| - Организуйте DMZ, разместите Apache публикующий информационные базы в DMZ, а перед Apache установите проксирующий Nginx. | - Организуйте DMZ, разместите Apache публикующий информационные базы в DMZ, а перед Apache установите проксирующий Nginx. |
| |
| Если мы хотим, что бы пользователи могли удостовериться, что они имеют дело именно с нашим сервером, сертификат сервера нужно заверить в CA. | Если мы хотим, что бы пользователи могли удостовериться, что они имеют дело именно с нашим сервером, сертификат сервера нужно заверить в CA. |
| |
| Важный вопрос безопасности: можно ли доверять документу, на котором стоит простая подпись человека, может даже и синяя печать какого-нибудь ООО, или все-таки можно доверять только документу, заверенному у нотариуса? В жизни бывает так и так, в интернете тоже. | Важный вопрос безопасности: можно ли доверять документу, на котором стоит простая подпись человека, может даже и синяя печать какого-нибудь ООО, или все-таки можно доверять только документу, заверенному у нотариуса? В жизни бывает так и так, в Интернете тоже. |
| |
| Вы можете сделать [[http://forum.ubuntu.ru/index.php?topic=194259.0|свой собственный CA]], раздать его корневой сертификат Вашим пользователям и договориться, что этим сертификатом они будут проверять, действительно ли они подключаются к Вашему серверу, а не к злоумышленнику, имитирующему его в целях хищения конфиденциальной информации. Если пользователей устроит такой вариант - отлично, на OpenSSL собственный CA делается совершенно бесплатно. | Вы можете сделать [[http://forum.ubuntu.ru/index.php?topic=194259.0|свой собственный CA]], раздать его корневой сертификат Вашим пользователям и договориться, что этим сертификатом они будут проверять, действительно ли они подключаются к Вашему серверу, а не к злоумышленнику, имитирующему его в целях хищения конфиденциальной информации. Если пользователей устроит такой вариант - отлично, на OpenSSL собственный CA делается совершенно бесплатно. |
| </note> | </note> |
| |
| Если остались вопросы, или Вы хотите получить дополнительную консультацию, [[https://lineris.bitrix24.ru/pub/form/4_obratnaya_svyaz/c4960i/|обращайтесь]], будем рады помочь. | |
| |
| ~~socialite~~ | |
