Регистрация
Регистрируясь, вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля

Неткэт 5.8: контур безопасности

Начинаем рассказывать о новых функциях Неткэта, появившихся в выпущенной на этой неделе версии 5.8. Первое, с чего хочется начать – Контур безопасности – вероятно, самое важное нововведение.

Контур безопасности – это набор функций и модулей Неткэта, призванных защитить ваш сайт от целого ряда угроз, в первую очередь от взломов со стороны недоброжелателей, плохих людей или просто хулиганов.

«У нас не настолько серьезный бизнес, чтобы конкуренты взламывали наш сайт» – известное и очень большое заблуждение. Дело в том, что большинство взломов сайтов происходит не адресно и не с целью украсть секретные данные. Типичный среднестатистический взлом — это массовая попытка проникновения на большое количество сайтов при помощи программы-робота, которая обходит сайты по списку и проверяет, подвержен ли сайт известным роботу уязвимостям.

Что происходит с теми сайтами, которые оказываются уязвимы? Обычно они заражаются – на них размещается:

  • чужой контент с целью поискового спама в пользу заказчика атаки (поисковые машины могут заблокировать весь сайт, если найдут такой контент)
  • вирус, который будет пытаться заразить посетителей сайта (поисковые машины среагируют так же, да и популярные браузеры тоже)
  • программы-скрипты, которые рассылают спам или пытаются взломать другой, уже конкретный сайт методом брутфорса (об этом термине ниже)
 

И теперь от подобных угроз ваш сайт будет защищать…

...веб-файрвол (фильтр входящих данных)

Чаще всего проникновение на сайт происходит одним из трех способов:

  • межсайтовый скриптинг
  • SQL-инъекция
  • PHP-инъекция
 

Мы не будем подробно описывать эти типы уязвимостей, о них можно найти много информации в интернете. Скажем только, что причина наличия таких проблем – недостаточно защищенный программный код. Это может быть и код самой CMS (системы управления сайтами), и код, написанный разработчиком сайта уже «поверх» CMS, и код в дополнительном модуле, установленном на сайт. Даже если этот код пишут программисты очень высокого класса, никто не даст 100% гарантии отсутствия подобных уязвимостей.

Если такая уязвимость есть, злоумышленник (или программа, написанная им) может «дописать» к адресу страницы параметр, который заставит сайт выполнить запрос к базе данных или программный код, написанный злоумышленником. Что дальше произойдет с вашим сайтом – на усмотрение упомянутого нехорошего человека.

Веб-файрвол не пытается найти уязвимости в коде. Он работает на опережение: проверяет подаваемые на сайт параметры на наличие зловредного кода и блокирует его работу. То есть, даже если разработчик допустил дыру в коде, злоумышленник просто не сможет ею воспользоваться. Такой подход позволяет свести к минимуму риск взлома сайта через инъекции или межсайтовый скриптинг.

Мониторинг сайта сервисом SiteSecure

Проект SiteSecure предлагает услугу мониторинга сайта на наличие вредоносного кода (вирусов), поискового спама, проверяет, не заблокирован ли он браузерами и поисковиками, проверяет на другие типовые проблемы безопасности. И если таковые он найдет – сообщит вам об этом.

Для наших пользователей услуги SiteSecure бесплатны до конца июня 2017 года. С июля мы предложим как бесплатные, так и платные пакеты.

Защита от брутфорса

Брутфорс - это массовый перебор паролей, например, на странице входа в админку вашего сайта. Для этого злоумышленнику понадобится некий сайт или сервер (а лучше много сайтов, которые он предварительно заразит - см. выше). Специальная программа будет «стучаться» к вам в админку с огромной частотой, «вводя» разные пароли. Как только пароль подойдет, злоумышленник получит полный доступ к сайту самыми обычными средствами. Как много времени понадобится на подбор пароля - вопрос к его сложности.

В Неткэте же теперь есть функция защиты от брутфорса. Если система видит попытку брутфорса, она вместе с полем ввода логина и пароля показывает капчу (например, сервис reCAPTCHA от Google) — нарисованные символы и поле для их ввода. Если символы введены неправильно, то попытка входа (то есть проверка пароля на соответствие) не будет осуществлена. Человек такие символы распознает и введет, а программа – вряд ли. И даже если предположить, что программа сможет распознавать какой-то процент символов, на это уйдет на порядки больше времени, что лишит брутфорс смысла.

Поддержка HTTPS

Об этом мы писали в отдельной статье.

Заключение

В Неткэте и раньше были инструменты защиты от злоумышленников: развесистая система разграничения прав пользователей, авторизация через USB-токены. Но инструменты, появившиеся в версии 5.8, поднимают уровень защищенности сайта на совершенно новый уровень. Призываем всех наших пользователей обновить свой Неткэт до версии 5.8: для пользователей с активной технической поддержкой это совершенно бесплатно, а если срок техподдержки прошел, её можно продлить.

Поделиться

Комментарии 0

Описание проекта