Инструменты пользователя

Инструменты сайта


web_security

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия
Предыдущая версия
web_security [2017/04/19 09:33] – [Безопасный доступ к 1С:Предприятие через Интернет] kuldweb_security [2023/01/15 14:57] (текущий) kuld
Строка 20: Строка 20:
  
 На практике используется метод метод перебора по словарю, он отличается от метода полного перебора тем, что в нем перебираются не все возможные пароли, а наиболее часто используемые в порядке убывания популярности. И начинается этот словарь с самых популярных паролей ''12345678'' и ''qwerty''. На практике используется метод метод перебора по словарю, он отличается от метода полного перебора тем, что в нем перебираются не все возможные пароли, а наиболее часто используемые в порядке убывания популярности. И начинается этот словарь с самых популярных паролей ''12345678'' и ''qwerty''.
 +
 +<note important>Необходимость использования безопасных паролей даже не обсуждается. В прикладных решениях 1С есть настройки безопасности входа, задействуйте их. Не показывайте пользователей в списке выбора. Не называйте пользователя с полными правами "Администратор", "Админ" и т.п.</note>
 +
 +{{  :1c_seqlogin.png  }}
  
 Разработано множество способов противостояния атаке грубой силы, но, к сожалению, большинство их недоступно для 1С:Предприятия, по крайней мере на уровне платформы. Разработано множество способов противостояния атаке грубой силы, но, к сожалению, большинство их недоступно для 1С:Предприятия, по крайней мере на уровне платформы.
  
-Самый популярный инструмент защиты - капча, увы, отсутствует в платформе 1С. Автоматический таймаут после нескольких неудачных попыток ввода пароля - так же нам не доступен. Самый надежный способ - двухфакторная авторизация, увы, в платформе 1С:Предприятие тоже отсутствует. +Самый популярный инструмент защиты - капча, увы, отсутствует в платформе 1С. Автоматический таймаут после нескольких неудачных попыток ввода пароля - так же нам не доступен. Самый надежный способ - двухэтапная аутентификация, увы, в платформе 1С:Предприятие тоже отсутствует. <note tip>Двухэтапную аутентификацию можно реализовать на уровне прикладного решения. Пользователь сначала проходит аутентификацию в платформе, затем, уже в конфигурации его встречает Google Authenticator или просят ввести код, отправленный SMS.</note>
-<note>Двухфакторную аутентификацию можно реализовать на уровне прикладного решения. Пользователь сначала проходит авторизацию в платформе, затем, уже в конфигурации его встречает Google Authenticator или просят ввести код, отправленный SMS.</note>+
  
 Если Вы точно знаете откуда внешние пользователи будут подключаться к Вашей информационной базе и знаете их IP адреса, например, это может быть Ваш удаленный офис, [[:web_security#ограничение_доступа_по_ip_адресам|просто ограничьте доступ]] к опубликованной информационной базе. Запретите его всем, кроме известных Вам адресов удаленного офиса. Если Вы точно знаете откуда внешние пользователи будут подключаться к Вашей информационной базе и знаете их IP адреса, например, это может быть Ваш удаленный офис, [[:web_security#ограничение_доступа_по_ip_адресам|просто ограничьте доступ]] к опубликованной информационной базе. Запретите его всем, кроме известных Вам адресов удаленного офиса.
Строка 35: Строка 38:
 ==== Атака посредника ==== ==== Атака посредника ====
  
-С такой атакой есть риск столкнуться в ненадежных сетях на стороне клиента. Злоумышленник в такой сети подменяет для клиента Ваш настоящий сервер своей прослойкой-ретранслятором, принимает запросы от клиента, перенаправляет их к Вам на сервер, получает ответы от Вашего сервера и возвращает их клиенту. При такой ретрансляции злоумышленник расшифрует весь трафик, который Вы пытались шифровать, настроив SSL соединение, он получит логины, пароли и любые данные, которые передаются между клиентом и сервером.+С такой атакой есть риск столкнуться в ненадежных сетях на стороне клиента. Злоумышленник подменяет в локальной сети для клиента Ваш настоящий сервер своей прослойкой-ретранслятором, принимает запросы от клиента, перенаправляет их к Вам на сервер, получает ответы от Вашего сервера и возвращает их клиенту. При такой ретрансляции злоумышленник расшифрует весь трафик, который Вы пытались шифровать, настроив SSL соединение, он получит логины, пароли и любые данные, которые передаются между клиентом и сервером.
  
 С такой угрозой можно столкнуться не только в бесплатной WiFi сети, но и практически в любой коммерческой сети, где вопросам безопасности уделяется мало внимания, например, в сетях микро-провайдеров, монопольно работающих в офисных и торговых центрах, в локальной сети арендованного склада, в любой сети, которую Вы не контролируете. С такой угрозой можно столкнуться не только в бесплатной WiFi сети, но и практически в любой коммерческой сети, где вопросам безопасности уделяется мало внимания, например, в сетях микро-провайдеров, монопольно работающих в офисных и торговых центрах, в локальной сети арендованного склада, в любой сети, которую Вы не контролируете.
Строка 52: Строка 55:
   - Никогда, ни при каких обстоятельствах не публикуйте информационные базы в Интернет на том же сервере, на котором работает сервер приложений.   - Никогда, ни при каких обстоятельствах не публикуйте информационные базы в Интернет на том же сервере, на котором работает сервер приложений.
   - Если можно обойтись без публикации информационной базы непосредственно в Интернет, лучше обойтись [[:web_security#построение_виртуальной_частной_сети|VPN]].   - Если можно обойтись без публикации информационной базы непосредственно в Интернет, лучше обойтись [[:web_security#построение_виртуальной_частной_сети|VPN]].
-  - Никогда не подключайте сервер напрямую к Интернет, только через Firewall, используйте профессиональные роутеры, например, Cisco и квалифицированных специалистов для их настройки. +  - Не подключайте сервер напрямую к Интернет, только через Firewall. Используйте профессиональные роутеры, например, Cisco и квалифицированных специалистов для их настройки. 
   - Организуйте DMZ, разместите Apache публикующий информационные базы в DMZ, а перед Apache установите проксирующий Nginx.   - Организуйте DMZ, разместите Apache публикующий информационные базы в DMZ, а перед Apache установите проксирующий Nginx.
  
Строка 147: Строка 150:
 Если мы хотим, что бы пользователи могли удостовериться, что они имеют дело именно с нашим сервером, сертификат сервера нужно заверить в CA.  Если мы хотим, что бы пользователи могли удостовериться, что они имеют дело именно с нашим сервером, сертификат сервера нужно заверить в CA. 
  
-Важный вопрос безопасности: можно ли доверять документу, на котором стоит простая подпись человека, может даже и синяя печать какого-нибудь ООО, или все-таки можно доверять только документу, заверенному у нотариуса? В жизни бывает так и так, в интернете тоже.+Важный вопрос безопасности: можно ли доверять документу, на котором стоит простая подпись человека, может даже и синяя печать какого-нибудь ООО, или все-таки можно доверять только документу, заверенному у нотариуса? В жизни бывает так и так, в Интернете тоже.
  
 Вы можете сделать [[http://forum.ubuntu.ru/index.php?topic=194259.0|свой собственный CA]], раздать его корневой сертификат Вашим пользователям и договориться, что этим сертификатом они будут проверять, действительно ли они подключаются к Вашему серверу, а не к злоумышленнику, имитирующему его в целях хищения конфиденциальной информации. Если пользователей устроит такой вариант - отлично, на OpenSSL собственный CA делается совершенно бесплатно. Вы можете сделать [[http://forum.ubuntu.ru/index.php?topic=194259.0|свой собственный CA]], раздать его корневой сертификат Вашим пользователям и договориться, что этим сертификатом они будут проверять, действительно ли они подключаются к Вашему серверу, а не к злоумышленнику, имитирующему его в целях хищения конфиденциальной информации. Если пользователей устроит такой вариант - отлично, на OpenSSL собственный CA делается совершенно бесплатно.
Строка 154: Строка 157:
  
 Вы можете получить такой сертификат для своего сайта. Это платная услуга, Вы подаете заявку в удостоверяющий центр, прилагаете требуемые документы, удостоверяющий центр проводит проверку, что Вы это Вы, что сайт, для которого запрашивается сертификат действительно принадлежит Вам и если не возникает никаких подозрений, Вам выдается подписанный сертификат сроком действия 1 год. Через год процедуру и оплату нужно повторить. Вы можете получить такой сертификат для своего сайта. Это платная услуга, Вы подаете заявку в удостоверяющий центр, прилагаете требуемые документы, удостоверяющий центр проводит проверку, что Вы это Вы, что сайт, для которого запрашивается сертификат действительно принадлежит Вам и если не возникает никаких подозрений, Вам выдается подписанный сертификат сроком действия 1 год. Через год процедуру и оплату нужно повторить.
 +
 +<note tip>
 +Есть и бесплатный вариант. Энтузиастами свободного программного обеспечения создан Некоммерческий Центр сертификации [[https://letsencrypt.org/ru/|Let`s Encrypt]], совершенно бесплатно выдающий сертификаты сайтам сроком на 3 месяца. А для автоматизации их обслуживания есть [[https://certbot.eff.org|свободное ПО]], автоматически и регулярно перевыпускающее эти сертификаты.
 +</note>
  
 Когда Вы установите такой сертификат себе на сервер, браузеры сразу будут считать Ваш сайт безопасным. Когда Вы установите такой сертификат себе на сервер, браузеры сразу будут считать Ваш сайт безопасным.
Строка 170: Строка 177:
 </note> </note>
  
-Если остались вопросы, или Вы хотите получить дополнительную консультацию, [[https://lineris.bitrix24.ru/pub/form/4_obratnaya_svyaz/c4960i/|обращайтесь]], будем рады помочь. 
- 
-~~socialite~~ 
web_security.1492594410.txt.gz · Последнее изменение: 2017/04/19 09:33 — kuld

Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: Public Domain
Public Domain Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki