Стремительный рост современных технологий имеет сильное влияние на техническую архитектуру и принципы работы с учетными компьютерными системами, такими как 1С:Предприятие. Динамика и глобализация бизнес-процессов приводит к тому, что классическая клиент-серверная архитектура в изолированной сети уступает место легким и удобным web-сервисам.
Преимущества web-клиента 1С
Описание технологии web-1С и реализация
Доступ к 1С по Web — это один из клиентских способов доступа к системе 1С:Предприятие. В отличие от привычных клиентских приложений (толстого клиента и тонкого клиента), его не нужно предварительно устанавливать на компьютер пользователя.
Для работы 1С в режиме Web требуется Web-сервер, настроенный на работу с 1С:Предприятие. Браузер клиента взаимодействует с Web-сервером по протоколу HTTP или HTTPS. А Web-сервер, непосредственно взаимодействует с 1С:Предприятие в соответствующем архитектурном варианте работы.
Рисунок 1 – Схема подключения по HTTP/HTTPS
Сам Web доступ использует технологии DHTML и HTTPRequest. При его работе клиентские модули, разработанные в конфигурации, компилируются автоматически из встроенного языка 1С:Предприятия 8 и непосредственно исполняются на стороне Web-клиента.
- На сервере 1С:Предприятие требуется установить модули расширения Web-сервера.
- Устанавливаем Web-сервер Internet Information Server, который по умолчанию входит в поставку Microsoft Windows Server.
- Выполняем настройку прав доступа и разрешений безопасности для каталога inetpubwwwroot и C:Program Files1cv8
- Делаем настройку IIS для использования модуля расширения Web-сервера.
- Производим публикацию требуемой базы из Конфигуратора 1С.
Технически более детально (практически по шагам) этот вопрос описан здесь.
Еще одним вариантом является переход в облако 1С, где Web-доступ преднастроен, о том как перейти в облако читайте здесь.
Безопасность работы с Web-базой 1С
Наряду с комфортом, скоростью и преимуществами работы в опубликованной через Web базе 1С на другой чаше весов находится безопасность корпоративной информации и обеспечение конфиденциальности персональных данных. Важность этого аспекта трудно переоценить, ведь любой инцидент с повреждением, кражей, либо утерей даже самой малой части данных может повлечь за собой непоправимые последствия, вплоть до закрытия бизнеса и даже уголовной ответственности.
1. Web-браузер пользователя
Рисунок 2 – Схема возможных атак на веб-браузер
Старт работы с корпоративной базой 1С и конфиденциальной информацией начинается с Web-браузера конечного пользователя. И именно здесь, с точки зрения мировых экспертов по криптозащите, происходит до 70% перехвата важной информации, утечка которой влечет многомиллионные убытки.
- Настройте браузер под себя, запретите доступ к нежелательным элементам, таким как камера или микрофон, отслеживание геолокации, автозаполнение форм, сохраненные адреса, личные данные, номера банковских карт и т.д.
- Регулярно проводите обновления, выпускаемые разработчиками. Это крайне необходимые программные доработки, закрывающие свежие уязвимости и дыры в безопасности браузеров.
- Предельно внимательно относитесь к установке расширений браузера. Хоть большинство из них и проходит верификацию производителя (особенно в операционной среде MacOS), однако расширения – это отдельные исполняемые программы, внедренные в браузер. Они могут выполнять абсолютно любые действия с данными во время web-сессии.
- Следите за теми ресурсами, к которым подключаетесь. Сейчас очень распространен фишинг – обманные сайты-ловушки, которые маскируются под нужные ресурсы и собирают конфиденциальную личную информацию. Используйте антифишинговые расширения либо соответствующие модули антивирусной защиты.
- Обязательно контролируйте автоматическое заполнение форм с персональными данными и отключите в настройках браузера автосохранение паролей для входа в корпоративные ресурсы. Рекомендуется все пароли запоминать и вводить строго вручную.
2. Канал связи Интернет
Рисунок 3 – Схема подключения Web-клиента 1С к Web-серверу 1С
Создание защищенного канала связи между клиентом и сервером – немаловажный фактор успеха в защите ключевой корпоративной информации. Вот несколько рекомендаций:
Создание VPN-туннеля
Гарантированно защищенным вариантом является создание VPN-туннеля между внутренними сетями клиента и сервером 1С. Особенностью данного варианта является то, что весь трафик к серверу 1С закрывается в частном шифрованном туннеле, как и адрес Web-сервера 1С. Это позволяет обезопасить сервис 1С от хакеров и вирусов, использующих уязвимости и эксплоиты Web-сервера.
Рекомендуются такие параметры туннеля:
- Точка-сеть или сеть-сеть.
- Аппаратная реализация крипто-протокола IPSec.
- Шифрование AES 256 или выше.
Публикация базы 1С
Вторым вариантом является открытая публикация базы 1С с подключением по шифрованному Web-протоколу HTTPS. Это расширение протокола HTTP для обеспечения шифрования с целью усиления безопасности. Он обеспечивает защиту от атак, основанных на прослушивании сетевых портов и соединений.
Данные внутри протокола HTTPS передаются поверх криптографического протокола TLS, который предусматривает три основных уровня защиты:
- Шифрование передаваемых данных во избежание их перехвата. Благодаря этому злоумышленники не смогут узнать, какой информацией обмениваются посетители сайта, а также отследить их действия на других страницах или получить доступ к их данным.
- Сохранность данных. Любое изменение или искажение передаваемых данных будет зафиксировано независимо от того, было оно сделано намеренно или нет.
- Аутентификация.Она гарантирует, что посетители попадут именно на тот сайт, который им нужен, и защищает от атаки фишинга. Пользователи больше доверяют таким сайтам, а это открывает дополнительные возможности для бизнеса.
3. Маршрутизатор серверной части – аппаратно
На надежность и безопасность аппаратных шлюзов на стороне сервера баз данных 1С влияют следующие параметры аппаратных маршрутизаторов-firewall (рекомендации автора):
Требования к маршрутизатору
Параметры и значения рассчитаны для одного сервера 1С до 50-100 Web-пользователей.
Пропускная способность шлюза
не менее 250 мбитс
Наличие встроенного Firewall с гибкой настройкой
да
Пропускная способность Firewall
не менее 75 мбитс
Максимальное количество соединений с firewall
не менее 30 тыс
Максимальное количество соединений с firewall в сек
не менее 2 тыс
Шифрование туннеля IPsec
AES256 bit
Дублирование каналов связи
один проводной, второй – радио
Рисунок 4 – Схема подключения Web-клиента к маршрутизатору
4. Порты и софт-уязвимости маршрутизатора серверной части
Помимо стабильной работы вышеуказанных компонентов и модулей роутера – важно обеспечить защиту программных протоколов и фильтрацию трафика, проходящего к серверной части 1С. Чем больше уязвимостей в программной части – тем легче злоумышленникам прервать бизнес-процессы, повлиять на стабильность работы с 1С, перехватить корпоративную информацию – в общем, нанести определенный вред компании. Это как скважина дверного замка, уязвимости шлюза обеспечивают широкий доступ внутрь системы.
Требования к портам и протоколам
- Доступ только по шифрованному каналу связи
- Извне все порты закрыты
- Доступ только по портам TCP 443
- Дополнительно открыт протокол ICMP для технического мониторинга
- Все остальные порты и протоколы закрыты
- Работа с ресурсом производится в отдельном изолированном vlan
- Доступ с сервера web-1С только по портам TCP 1540-1541, 1560-1591
- Все остальные порты и протоколы закрыты
- Работа с ресурсом производится в отдельном изолированном vlan
- Доступ только по портам TCP 443
- Дополнительно открыт протокол ICMP для технического мониторинга
- Все остальные порты и протоколы закрыты
- Работа с ресурсом производится в отдельном изолированном vlan
- Доступ только по портам TCP 443
- Дополнительно открыт протокол ICMP для технического мониторинга
- Все остальные порты и протоколы закрыты
- Работа с ресурсом производится в отдельном изолированном vlan
5. Безопасность Web-сервера и серверной части
5.1. Безопасность авторизации и учетных записей
Требования к учетным записям и рекомендации
- Пароль не может содержать имя учетной записи пользователя или какую-либо его часть.
- Пароль должен состоять не менее, чем из восьми символов.
- В пароле должны присутствовать символы трех категорий из числа следующих четырех:
- прописные буквы английского алфавита от A до Z;
- строчные буквы английского алфавита от a до z;
- десятичные цифры (от 0 до 9);
- неалфавитные символы (например, !, $, #, %).
- Обращение к файловой системе сервера;
- Запуск COM-объектов;
- Использование внешних компонентов 1С: Предприятия;
- Запуск внешних обработок и отчётов;
- Запуск приложений, установленных на сервере;
- Обращение к ресурсам Интернета.
- Учетные данные для подключения к СУБД не должны иметь административных прав;
- Необходимо разграничить права доступа к базам СУБД. Создать для каждой информационной базы свою учетную запись, что позволит минимизировать потерю данных при взломе одной из учетных записей;
- Необходимой мерой является шифрование либо установка пароля на резервные копии данных
Рисунок 5 – Схема подключения Web-клиента
5.2. Настройки безопасности Web-сервера
В полной безопасности Web-приложения 1C можно быть уверенным, только предприняв все необходимые меры по защите от большого количества существующих уязвимостей. Даже если исходный код Web-части 1С надежно защищен и составлен толковыми программистами – злоумышленники все равно могут найти лазейку. И даже когда уязвимости отсутствуют вовсе, сервер так и или иначе взаимодействует с другими системами, что вполне может стать причиной незаконного проникновения. В конце концов, сервер обслуживают люди, которые часто не обладают достаточной компетенцией в этих вопросах.
Рекомендации по настройке web-сервера
1. Уменьшение количества пользователей и ограничение их прав
Отключите лишние гостевые учетные записи и не наделяйте пользователей, работа которых не требует административных привилегий, лишними правами.
2. Настройка доступных Internet Media Types (MIME)
Это проверка содержимого файлов, которая может защитить вас от атак типа XSS. С помощью MIME можно выбрать типы файлов, которые могут храниться и быть обработанными на сервере. Все остальные файлы, в том числе и те, которые попытается загрузить злоумышленник, не будут загружены, и система выдаст ошибку.
3. Настройка пула приложений
Пул приложений IIS обслуживает сайты и web-приложения, размещенные на вашем сервере. Выделенный пул приложений IIS обеспечивает вашим клиентам определенный уровень изоляции между сайтами. Полная изоляция пулов между собой позволяет исключить возможность влияния вредоносного сайта на соседние пулы, находящиеся на одном сервере. Если один из пулов будет скомпрометирован, другие останутся защищенными.
4. Использование IP Address and Domain Restrictions
Составьте с помощью Domain Restrictions белые списки IP-адресов для ограничения доступа к сайту. Например, для того чтобы открыть доступ к панели администратора только с определенного IP-адреса.
5. Настройка Request Filtering
Добавьте фильтрацию по заголовку, методам, URL, расширению, чтобы оградить себя от возможных методов DoS атак.
6. Dynamic IP Address Restrictions
Используя эту особенность, ограничьте частоту запросов, чтобы IIS на аномально огромное количество запросов с одного IP-адреса выдавал ошибку как результат.
7. Защита от Clickjacking атак
Для этого во вкладке «Соединения» в списке функций найдите «заголовки HTTP-ответов» и добавьте новый подпункт под названием «X-Frame-Options» со значением «SAMEORIGIN».
8. Отключение возможности просмотра каталогов
Просмотр каталога позволяет отображать содержимое каталога по запросу от web-клиента. Если просмотр каталогов включен для каталога в Internet Information Services, пользователи получают страницу, в которой перечислено содержимое каталога.
9. Логирование и аудит
Настройте ведение подробных логов, хотя бы по работе критически важных сегментов вашей инфраструктуры и регулярно инспектируйте их.
Вывод
Комфорт, мобильность и скорость работы с современной онлайн-системой никак не должны уменьшать важности защиты и сохранности корпоративных данных. Баланс этих двух аспектов и обеспечит современному предприятию требуемую эффективность и надежность в бизнесе.
Мы рекомендуем обращать самое пристальное внимание при работе с онлайн-системами на:
- безопасность интернет-браузера, хранимую в кеш информацию ПДн, сохранение паролей и регулярные обновления
- защищенность канала и протоколов соединения от Вашего устройства к онлайн-приложению
- достаточную производительность аппаратных маршрутизаторов
- необходимые настройки Firewall, рекомендуемые известными производителями систем ИТ-безопасности
- надежность паролей и соблюдение требований к учетным записям
- корректность настроек безопасности web-сервера и самого онлайн-приложения
В этом случае персональные данные и конфиденциальная информация будут находиться в должной безопасности.
