Seguridad


Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS

Bitrix Intranet proporciona la máxima protección ante las miles de amenazas que se encuentran en Internet. Cada día su página web podria ser atacado muchas veces y como consecuencia dañar la integridad de su sitio. Por eso hoy en día infinidad de empresas tienden a preocuparse por la seguridad de su sitio web.

¿Por qué debería proteger mi sitio web?

PRO+PRO™ Framework

El PRO + PRO ™es el marco de seguridad que proporciona un conjunto único de herramientas para la protección de sus proyectos web. Más importante aún, ahora viene integrado en los productos de software de Bitrix, sin costo adicional.
El marco PRO + PRO ™ incluye una serie de tecnologías de seguridad de técnicas avanzadas. Los múltiples niveles de seguridad permite detectar y combatir casi todas las técnicas conocidas de hacking y así hacer sus proyectos de Internet invulnerables a las amenazas web más modernas.

whitepaper150.jpg Aquí en Bitrix, creemos que gran parte del éxito de los códigos maliciosos se encuentra en parte por culpa de los usuarios que compran a vendedores de software que tienen ignorancia sobre las cuestiones de seguridad, junto con el descuido de seguridad básica en la web. Un simple análisis del contenido web, y de la gestión de soluciones de mercado revela una vulnerabilidad que es tan grave como la habitual. El "libro blanco de la Seguridad en la Web" está a su alcance.Las 10 maneras de mantener tu web segura y que fue escrito por Marsel Nizam, el Jefe de la Web de desarrollo de seguridad en Bitrix. Este documento está disponible en formato PDF para descargar .
El módulo ofrece las características de protección:
  • Panel de control para establecer el nivel de protección.
  • Filtro activo (Firewall de aplicaciones Web).
  • Una contraseña de tecnología de tiempo.
  • Protección de los períodos de sesiones autorizadas.
  • Control de la actividad.
  • Protección contra phishing.
  • Registro de intrusiones.
  • Protección en el Panel de Control basadas en IP.
  • Listas de detención.
  • Control de la integridad de secuencias de comandos.
Gráfico de la vulnerabilidad de la industria
Porcentaje de sitios susceptibles a las amenazas de seguridad, por la industria
Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS
Fuente: Seguridad del sombrero blanco. "Sitio Web de Seguridad de las estadísticas" por Trey Ford

PHP Más de seiscientos piratas informáticos rusos trataron de invadir el nuevo Bitrix PRO + PRO ™ con el nuevo marco de seguridad como parte de la "Competencia Real-Time Hack de Bitrix". La prueba fue organizada durante el Festival "Construcciones CC9" en agosto de 2009. Durante la competencia, más de 25.000 ataques en el mecanismo de seguridad de protección proactiva fueron rechazados, demostrando su fiabilidad excelente.

Bitrix Antivirus Web: Intranet para su seguridad personal

El PRO + PRO es un sistema que ahora incluye un nuevo elemento de protección proactiva - el antivirus web, la versión beta . El Antivirus Web lo hace más seguro para ejecutar y administrar proyectos web desarrollados utilizando a Bitrix Site Manager o Bitrix Intranet. Permite que las aplicaciones web de Bitrix tomen medidas contra las amenazas web, siete veces más rápido que la mayoría de los otros contenidos del sistema con gestión existente.

  • Un antivirus web, elaborado en su sistema;
  • Protección contra sitios web dañinos y HTML implantados;
  • Detecta el 90% de las amenazas de una posible infección;
  • Notifica a los administradores de la ubicación del código peligroso;
  • Detecta e informa sobre la incoherencia de elementos de código;
  • Incluye una "lista blanca" para reducir falsas alertas positivas.

El Bitrix Web Antivirus no puede sustituir a cualquier antivirus programas estándar instalado en su equipo. Le recomendamos que utilice el Bitrix Web Antivirus junto con el programa antivirus regular.



Antivirus Web como parte del sistema PRO + PRO

El PRO + PRO es el módulo principal en repeler cualquier ataque de hackers, intrusos del sistema y hasta prevenir cualquier amenaza directa o indirecta, que son ampliamente difundidas a través de Internet.

El filtro de protección(Web Application Firewall), tiene registro de intrusiones, control de integridad de secuencia de comandos y otros componentes que pertenecen al sistema PRO + PRO que siempre ofrece el máximo nivel de seguridad Web para nuestros usuarios. El Antivirus Web recién agregada añade más características de seguridad para el sistema PRO + PRO que ahora puede sellar las compuertas de otro modo invisibles dentro de su proyecto web. No habrá más intrusos dentro del código de su sitio web

De acuerdo con el servicio de asistencia e informe de Bitrix  por el Departamento de Soporte Técnico, la mayoría de los casos donde la integridad web del proyecto se ve comprometida es por la participación de la infección de los sitios web con los códigos maliciosos, como se muestra en un escenario de ejemplo, a continuación:


Un virus troyano se inserta en un programa scumware en un equipo que es utilizado por el administrador del sitio web. El virus troyano roba las claves de acceso FTP y se integra a sí mismo en la página web. Como resultado, el código del sitio web contiene ahora oculta un IFRAME o código JavaScript que es acompañada por el virus troyano, que suponen una amenaza tanto a su proyecto web, y los usuarios que acceden al sitio web infectado.

El Antivirus Web de Bitrix identifica cualquier código de estructuras potencialmente dañinos integrados en el código HTML, en particular iframes y JavaScript - que en conjunto son las formas más comunes que los virus se propagan a través de Internet. Esta es la razón por la que por lo general es suficiente para eliminar las áreas infectadas (implantes nocivas) en el código HTML para evitar que el 90% de las infecciones web sea destructiva.

Top


Antivirus Web de Bitrix como complementario de protección

Por supuesto, el antivirus web de Bitrix no es omnipotente. No se puede controlar o filtrar el tráfico FTP con el fin de evitar que un virus troyano pueda entrometerse en su sitio web. Es por eso que le recomendamos que utilice un programa antivirus que supervise todos los procesos se ejecutan en el equipo. Sin embargo, el Antivirus Web es una gran mejora de su seguridad: se puede filtrar el código HTML y detectar los elementos redundantes, sospechosos, y nocivos e informarle antes de que algo malo le sucede a su sitio web.

El antivirus web de Bitrix no está diseñado para reemplazar los programas estándar de antivirus que se ha instalado en su computadora. No se puede controlar o filtrar el tráfico FTP y evitar que un virus troyano pueda entrometerse en su sitio web, o en la pantalla de algunos de los documentos de los contenidos en el servidor web o equipo local, y no se puede detectar cualquier virus infectados en documentos como Pdf,. Doc o flash .

Sin embargo, puede filtrar el código HTML y detectar los elementos redundantes, sospechosos, y perjudiciales, que le avise, o incluso eliminar los segmentos de código irregulares de forma automática. El Antivirus Web de Bitrix también detecta los enlaces sospechoso de descarga (que no estén cubiertas por los programas regulares de antivirus). En comparación con otros sistemas de protección antivirus, el Antivirus Web utiliza una firmas de virus menos estrictas y no muestra los nombres de virus. Es importante destacar que hay una "lista blanca" que ayuda al programa en evitar falsas alarmas y diferenciar entre los segmentos de código malo y los buenos.

Le recomendamos que utilice el Antivirus Web de Bitrix, además que regula el antivirus para mejorar el nivel de seguridad de tus proyectos web. En combinación con las características de seguridad proporcionadas por un programa antivirus instalado localmente, el Bitrix Web Antivirus mejora en gran medida el nivel de seguridad de tus proyectos web.

Top


Diferentes modos de protección

Si un peligroso código HTML se encuentra, el Bitrix Web Antivirus llevará a cabo un conjunto de operaciones en función del modo que haya escogido:

  • De forma predeterminada, el Bitrix Web Antivirus avisa al administrador del sitio web, pero no modifica ninguno de los elementos sospechosos dentro del código

  • El modo automático permite al Bitrix Web Antivirus cortar (cuarentena) todos los elementos de código potencialmente peligroso sin la confirmación del administrador, las cuestiones de informe al administrador del sitio web y esperar a que nuevas medidas con el administrador del sitio web (esta modalidad todavía no está disponible en la versión beta actual ).

Top


Código HTML enfoque de análisis

La beta actual versión de la Web Antivirus analiza Bitrix cada iframe y JavaScript bloque por separado. Además, cada bloque analiza recibe una calificación de acuerdo a su nivel de amenaza posible. La posible amenaza Nivel mecanismo utilizado por la Web Antivirus Bitrix se basa en simples "peso" reglas:

  • Los bloques de código se desmontan en elementos separados y se seleccionan a continuación, de acuerdo a normas especiales. Las reglas se agrupan en grupos de reglas, y es suficiente para que coincida con un out única regla de muchos dentro de un grupo de disparadores de alertas elemento sospechoso. Si más de una regla se corresponde, el Estado que es mayor en el "peso" se usa como argumento para el elemento sospechoso de alerta emitidos..

  • Algunas normas pueden tener un efecto negativo "peso" de valor, el sentido de que contribuyen a la safeness del bloque. Después de que el cálculo final de todos los valores se realiza, cada bloque será clasificado con un valor positivo, un valor negativo o un valor que es igual a cero. Cuanto mayor sea el valor positivo es, más probable es que el bloque contiene elementos de código irregular y peligrosa..

  • El "peso" de todas las normas que se aplican combinar las posibles amenazas de nivel de calificación del bloque de detección. Si la posible amenaza de nivel de calificación del bloque es mayor que un valor dado (predefinido), el bloque de código se considerará sospechosa..

Top


Bitrix Web Antivirus estadísticas

Para la prueba inicial, se utilizaron más de 30 virus diferentes y más de 140 secuencias de comandos legítimos y marcos. El prototipo de web, antivirus mostró resultados muy satisfactorios::

  • 100% de todos los elementos potencialmente peligrosos (los 30 virus) se detectaron;;
  • 2.3% tasa de alertas falsos positivos..

Como puede ver, el Bitrix Web Antivirus es 100% efectivo contra las amenazas reales, sin embargo, esto fue sólo una prueba, y el número de virus existente es mucho más que 30. Pero el antivirus web se mejora y mejora con cada nueva actualización. Además, los falsos alertas se parecen cada vez menos a menudo porque las normas utilizadas por el Mecanismo de Bitrix Antivirus se modifican y se amplía con cada instancia de falsos positivos. El Bitrix Web Antivirus se actualiza periódicamente a través del Sistema SiteUpdate, al igual que los otros componentes del sistema PRO + PRO..

Top


Bitrix Web Antivirus de prueba

El Bitrix Web Antivirus se puede instalar junto con la última actualización del producto Bitrix. El Bitrix Web Antivirus estarán disponibles en el marco del PRO + PRO (Protección proactiva) dentro del panel de seguridad que ofrece el nivel de seguridad de base. Puede probar la Bitrix Web Antivirus, la deja habilitada o activarlo o desactivarlo en cualquier momento posterior. Después de la beta de la versión de Bitrix Web Antivirus se convierte en una herramienta estándar de PRO + PRO Sistema, que tendrá dos modos disponibles::

  • De forma predeterminada, el Bitrix Web Antivirus avisa al administrador del sitio web, pero no modifica ninguno de los elementos sospechosos dentro del código;

  • El modo automático permite al Bitrix Web Antivirus automáticamente cortado (cuarentena) todos los elementos de código potencialmente peligroso e informar los problemas al administrador del sitio web y esperar a que nuevas medidas con el administrador del sitio web (estará disponible con la versión oficial).

Top


 

Filtro Proactivo (aplicación Firewall Web)

La aplicación Firewall Web protege el sistema de la mayoría de ataques conocidos en la web. El filtro reconoce las amenazas peligrosas en la entrada de las solicitudes y bloquea las intrusiones. El filtro Proactivo es la forma más eficaz de protegerse contra posibles defectos de seguridad en la web y en la ejecución de proyectos (XSS, inyección de SQL, PHP, etc.) El filtro analiza completamente todos los datos recibidos por el sitio,tanto los provenientes de las variables como los provenientes por las cookies.

Tenga en cuenta que algunas acciones inofensivas de los visitantes pueden considerarse sospechosas y pueden hacer que el filtro reaccione frente a ellas.

proactive_filter_sm.png
  • Protección contra la mayoría de ataques conocidos.
  • Pantallasos de la aplicación web a partir de los ataques más persistentes;
  • Filtros de exclusión (con comodines).
  • Reconoce amenazas más peligrosas.
  • Bloqueo de intrusión en el sitio.
  • Protege contra posibles errores de seguridad.
  • Guarda un registro de ataques.
  • Informa sobre intrusiones al administrador.
  • Ofrece opciones de reacción del servidor de seguridad configurables como reacción a diversos intentos de intrusión:
    • Hace que los parámetros de seguridad sean más fuertes.
    • Borra datos inseguros;
    • Añade temporalmente la dirección IP del atacante a la lista de detenidos.
  • Últimas actualizaciones.

Panel de control de niveles de protección

La configuración por defecto de cualquier sitio web o solución de intranet basado en los productos Bitrix es el nivel básico de protección. Sin embargo, puede mejorar significativamente la seguridad de su solución, seleccionando uno de los niveles de seguridad preconfigurados del módulo: estándar, alta o muy alta. El sistema le mostrará sugerencias sobre cualquier parámetro que deba configurar.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS
  • Nivel básico - asignado a todos los proyectos web por defecto o que no cuentan con el módulo de PRO+PRO;
  • Nivel standard - fija características comunes de la protección proactiva:
    • Filtro activo (sitio amplio).
    • Registro semanal de intrusos.
    • Control de Actividad.
    • Alto nivel de seguridad para Administradores.
    • Procedimiento de registros protegidos con CAPTCHA.
    • Registro de errores (sólo errores).
  • Nivel Alto - es el nivel de seguridad recomendado aplicable a cualquier proyectos sobre plataforma web conforme a los requerimientos y estándares internacionales. Este nivel añade las siguientes características:
    • Registros de sucesos en el módulo Main (Kernel);
    • Protección del Panel de Control;
    • Almacenamiento de sesiones en la base de datos.
    • Identificador de cambios en sesión.
  • Muy Alto - incluye herramientas esenciales para el mantenimiento de información en sitios de alta confidencialidad (tiendas en linea, bancos, etc.). Este nivel se caracteriza con algunas las siguientes funciones:
    • Contraseña one-time.
    • Control de integridad de scripts.

Registro de Intrusiones.

El sistema registra cualquier evento de intrusión sospechosos y/o maliciosos. El registro se actualiza en tiempo real para que pueda ver los hechos tan pronto como se hayan registrado. Esta característica le permite descubrir los ataques y los intentos de intrusión, mientras se producen, por lo que puede responder de inmediato, e incluso prevenir los ataques.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS
  • Registra inmediatamente todos los de eventos del sistema.
    • Inyecciones SQL.
    • Ataques XSS.
    • Inclusiónes PHP.
  • Filtro por eventos maliciosos;
  • Le permite ver y analizar acontecimientos en tiempo real para evitar ataques en el futuro;
  • Reacción inmediata a eventos malintencionados.

Contraseña One-Time

El módulo PRO+PRO soporta la tecnología de contraseñas One-Time para cualquiera de los usuarios del sitio. Se recomienda que los administradores de la solución usen este tipo de sistema de seguridad, ya que esta mejorará significativamente la seguridad del grupo de ese grupo de usuarios.

El concepto de contraseñasOne-Time, faculta la autorización y refuerza significativamente la seguridad en el proyecto web. Cuando el sistema requiere una contraseña, lo obtendrá de un hadware(dispositivo) físico (por ejemplo, Aladdin eToken PASS) o de un software especial.

Esta tecnología le da la confianza de que sólo un usuario, a quien se le emitió una contraseña, puede autorizarse en el sitio. El robo o interceptación de una Contraseña es absolutamente inútil, ya que esta puede ser utilizada sólo una vez. Un token es un dispositivo físico que por si solo genera contraseñas únicas, las mismas que se refrescan cuando se hace clic en el botón. Esto significa que un propietario de contraseña es incapaz de decirsela a terceros ya que el mismo no sabe cual es la que el dispositivo generará.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS
  • Mejora las características de seguridad de cualquier proyecto sobre plataforma web;
  • Hardware Tockens;
  • Software OTP;
  • Control extendido de seguridad de autenticación: el usuario debe anexar una contraseña One-Time a su contraseña habitual;
  • Autorización usando nombre de usuario y contraseña compuesta;
  • Utiliza dos claves generadas en forma consecutiva por el OTP;
  • Sincroniza la señal con los generadores de contadores del servidor cuando la sincronización se ha perdido.

Control de la integridad de archivos

El Control de Integridad de Archivos ayuda a los administradores a identificar modificaciones en los archivos del sistema, aplicadas de forma malintencionadas o por error. En cualquier momento puede comprobar la integridad del núcleo del sistema, de los archivos públicos y de cualqueir otro sistema.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS
  • Seguimiento a los cambios en los archivos del sistema;
  • Verificación de la integridad del núcleo (Kernel);
  • Verificación de la integridad del área del sistema;
  • Verificación de la integridad de los archivos públicos.

Protección del Panel de Control

Este tipo de protección regula estrictamente las redes de seguridad desde las que los usuarios obtienen acceso para interactuar con el panel de control. Todo lo que usted necesita hacer es especificar que direcciones IP (o rango de ellas) pueden acceder sin problemas al panel de control.

¿Qué efecto tendrá esto en la protección? Cualquier ataque XSS/CSS se vuelve ineficas , ya que la interceptación de datos de atuorización es completamente inutil.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS

  • Restringe el acceso al Panel de Control a cualquier usuario excepto los que el administrador haya especificado en su lista blanca;
  • Reconoce automáticamente la dirección IP del usuario;
  • Usted puede suministrar un manual de usuario para el suministro de direcciones IP y los rangos de direcciones.

Protección de Sesión

La mayoría de ataques web son con el propósito de robar datos en sesiones de usuarios autorizados. Habilitando la Protección de sesiones el hackeo de estas se hace practicamente imposible y es importante tener en cuenta que la protección de las sesiones de administradores es escencial y extremadamente necesaria.

Además de las opciones de protección de sesión convencionales disponibles desde los parámetros de grupo de usuarios, el mecanismo de protección de sesión incluye algunas características especiales, incluso únicas.

El almacenamiento de datos de sesión en la base de datos evita que estos sean robados mediante la ejecución de scripts desde otros servidores virtuales eliminando errores de configuración del servicio de alojamiento, la mala configuración de permisos de la carpeta temporal y otros problemas relacionados con el sistema operativo. También reduce el estrés que causa el tener que descargar los archivos del sistema operativo al servidor de base de datos.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS
  • Diversos métodos de protección:
    • Período de sesiones de vida limitada (en minutos);
    • Relay de ID de sesiones recurrentes;
    • Máscara de red asociada a una sesión con una IP específica;
    • Almacenamiento de datos de sesión en la base de datos.
  • Elimina errores del alojamiento virtual y de configuración del sistema operativo;
  • Elimina la configuración incorrecta de los permisos de la carpeta temporal ;
  • Reduce el estres del sistema de archivos;
  • Hace imposible el hackeo de la ID de la sesión.

Control de Actividad

El control de la actividad permite proteger el sistema de visitantes molestos, robots, algunos ataques DDoS, y evitar intentos de capturar contraseñas. Puede establecer el máximo de actividad permitida por un periodo de tiempo específico en su sitio web (por ejemplo, el número de clicks por segundo que un usuario puede realizar).
El control de Actividad de Usuario se basa en mecanismos propios del módulo Web Analytics y requiere este esté instalado.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS

  • Protege de actividad excesiva de usuarios;
  • Protege contra ataques DDoS y robots;
  • Impide intentos de robo de la contraseña;
  • Permite ajustar el cupo máximo de actividad humana permitida;
  • La violación de cupos máximos permitidos pueden ser registrados en los registros de intrusión;
  • Bloquea a los vistantes que exeden la actividad permitida;
  • Muestra una página con infromación especial a los usuarios bloqueados.

Listas de Detenidos

La Lista de Detenidos contiene parámetros usados para restringir el acceso a un sitio y, posiblemente, redirigir al usuario a una página especificada. Cualquier visitante que coincida con los criterios configurados en la Lista de Detenidos será bloqueado.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS La solución cuenta con las sigueinte características:
  • Redirecciona a visitantes que coinciden con los criterios de la Lista de Detención;
  • Bloquea a visitantes según su direcciones IP, siempre y cuando cumpla con los criterios especificados;
  • Cuenta con una página de administracion de lista de detenidos;
  • Recopila estadísticas sobre los visitantes que cumplen criterios de detención;
  • Permite especificar la duración de la detención, la dirección IP, la máscara de red, o el vínculo de referencia;
  • Muestra un mensaje personalizado al visitante bloqueado

Protección contra Phishing

Phishing es el proceso penal y fraudulento, mediante el cual se intenta adquirir información sensible como nombres de usuario, contraseñas o datos de tarjeta de crédito haciendose pasar por una entidad de confianza mediante una comunicación electrónica.

Bitrix Products: Intranet Portal, Manejador de sitios, Framework, SaaS

Existen dos métodos para evitar el phishing:

  • Detectar redirecciones maliciosas por la falta de una página de referencia en la cabecera HTTP
  • Firma vínculos con una firma digital y verificar los intentos de redirección
Lo siguiente puede se utilizado como protección:
  • Mostrar una advertencia de redirección al visitante
  • Incondicionalmente redirigir a los visitantes a un sitio conocido y seguro.

Recomendado para un nivel de seguridad alto



Certificados

Bitrix lleva a cabo la auditoría constante y prueba de los mecanismos del sistema de protección. A fin de hacer estas pruebas imparciales y objetivas, Bitrix recluta la tercera parte de empresas especializadas para la auditoría imparcial, además de las pruebas realizadas internamente por el equipo de Bitrix. Los certificados obtenidos de las compañías de auditoría de seguridad confirman la calidad de los mecanismos de protección y garantizar su conformidad con los requisitos de seguridad de la información.
Click to enlarge

Aplicaciones Web protegidas
(Bitrix Intranet 8)

Este certificado es expedido por la auditora Positive Tecnologyes que ha realizado una auditoría de las nuevas características de seguridad en Bitrix Intranet Portal. Le a incorporado características de seguridad para satisfacer plenamente los requisitos del firewall de aplicaciones Web de los criterios de evaluación establecidos por la seguridad de Aplicaciones Web Consortium. La incorporación en la calidad de los mecanismos de la web Bitrix Intranet Poratl ofrece a los usuarios la confianza no sólo en la fiabilidad del núcleo del sistema, sino también en cualquier solución desarrollada en esta plataforma, incluyendo complementos y modificaciones realizadas por los socios autorizados de Bitrix.