1 / 35

Взлом и защита 1С

Взлом и защита 1С. Обзор взлома и защиты 1С : Предприятия Владимир Иванов ivanov-soft@inbox.ru. Что это за демонстрация ?. Это пример заказного семинара тренинга по безопасности для 1С : Предприятия

wyanet
Télécharger la présentation

Взлом и защита 1С

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Взлом и защита 1С Обзор взлома и защиты1С: Предприятия Владимир Иванов ivanov-soft@inbox.ru

  2. Что это за демонстрация? • Это пример заказного семинара тренинга по безопасности для 1С: Предприятия • Вы увидите демонстрациюпродуктов:«Инсайдер Сканнер», «Бизнес Сканнер», «RLS-Защита» и др. • Вы можете заказать такой семинар(цены на услуги в конце)

  3. Программа семинара • Методика инсайдерского взлома • Взлом и защита DBF-версии • Взлом и защита 1С под Терминалом • Взлом и защита 1С для MS SQL • Мифические защиты 1С • «Бизнес Сканнер» (OLAP-защита) • «RLS-Защита 1С для MS SQL» • «Инсайдер Сканнер» (Сканнер для 1С)

  4. Инсайдерский взлом • В 80% взлом БД происходит при участии сотрудников компании • Сотрудники компании знают, как можно извлечь деньги из информации • Типичная «команда» взлома:«заказчик-сотрудник-студент/хакер»

  5. Из какой информации можно извлечь выгоду? • Клиенты и контактные лица • Данные о доходах сотрудников • Себестоимость товаров и закупки • Данные об уступках др. клиентам • Важно! Сотрудник необязательно должен продавать секретную информацию, он может ее эффективно использовать для повышения своей ЗП и премиальных.

  6. Доступ к данным 1С в DBF • MS Query + Excel = полный анализ базы 1С в DBF • Проверки доступа к DBF не существует

  7. Защита 1С для DBF • Управление доступом через NTFS (только частичные решения) • Скрытие файлов через атрибуты hidden и system • Крипто-решения компании Аладдина:SecureDisk, iToken, iButton • Осторожно! Возможны несовместимости!

  8. Троянец Взлом «Ctrl+O» Захват DeskTop Прослушка Взлом 1С для Терминала • Копирование БД из сетевой папки • Захват DeskTop • Взлом через «Ctrl+O» • Запуск троянской конфигурации 1С • Запуск удаленной программы (Far) из 1С • Анализ «без выноса» на сервере через MS Office • Прослушивание сети

  9. Защита 1С под Терминалом • Закрытие файлового порта (возникают проблемы с печатью, нужна настройка) • Установка сервера, на котором работает только 1С (даже без MS Office). • Установка и правильная настройка терминальных сервисов для 1С - $150 • Терминал с криптографией в Windows 2000 • Установка Citrix MetaFramec включением CSG и SSL-128 (дорого $5000-$10000)

  10. Взлом 1С для SQL • Дешифрация пароля DBO из 1CV7.DBA- расшифровка программой/конфигурацией- расшифровка трассировкой 1С в Debugger VC++ • Анализ временных файлов 1С в DBF • Захват хендела ODBC-коннекции 1С (как в rainbow) • Прослушивание сети

  11. Защита 1С для SQL • Включение SSL - $150 • Запуск 1С не под sa - $30 • Разбиение на несколько БД • Настройка аудита через SQL Profiler - $150 • Лучше вместо SQL Profilerиспользовать специальныйсканнер для 1С/SQL«Инсайдер Сканнер»

  12. Мифические защиты 1С • «Второй пароль» • «Конфигурация 1С с защитой» • «Поставим терминал и все Ok!» • «Поставим MS SQL и все Ok!» • «Включим через хак Trusted Security» • «Зашифруем диски» • «У нас есть абсолютная защита»

  13. Бизнес Сканнер OLAP-защита аналитических разрезов вашей статистики

  14. MS SQLФилиал1 MS SQLФилиал2 DBFФилиал3 MS SQLЦО, DWH MS OLAPIcremental «Бизнес Сканнер» в СатурнOLAP-система на MS SQL 2000 Кластер MS SQL 2000 Дельта Готовые Итоги MS Excel XP

  15. Проблема и решение • Проблема: как ограничить доступ к отдельным группам и подгруппам товаров, контрагентов, данным по себестоимости для некоторых складов и т.д. • Решение: настоящая OLAP-система поддерживающая MS OLAP Security «Бизнес Сканнер»

  16. Что входит в Бизнес Сканнер? • Комплекс готовых OLAP-отчетов:Баланс Компании, Движение Денежных Средств, Доходы и Расходы, Прибыли и Убыткии др. • Защита всех OLAP-отчетов:через Trusted Security, фильтры доступа, контроль разрезов…

  17. Что дает Бизнес Сканнер? • Выявление бизнес-рисков через комплексный анализ • Нет инсайдерам - защита разрезов информации • Все отчеты за 1 сек • Без выгрузок! «Инерция» всего 2 мин! • Консолидация статистики с филиалов • Снижение затрат на разработку и защиту новой отчетности

  18. OLAP-защита разрезов статистики«Бизнес Сканнер» • В MS SQL (Analysis Services) можно настроить доступ к разрезам аналитики • OLAP-кубы можнооткрыть в Excel • Используйте“Бизнес Сканнер”- от $500 • Внимание!ВсеOLAP-продуктыс «1С-совместимо»не используютMS Analysis Services

  19. Бизнес Сканнер – это бизнес-решение • Бизнес Сканнер – это готовый аналитический пакет • Примеры бизнес отчетовсмотрите в презентациина www.ivn.newmail.ru

  20. RLS-Защита 1Сдля MS SQL Row Level Security для 1С на базе restricted view

  21. Защита 1С для SQL • Интеграция безопасности 1C, Windows и MS SQL на базе Trusted Security • Включение секретности MS SQL для 1С:- пользователи работают с 1С не как DBO- управления правами через grant и view • Row Level Security. Пользователь видит только часть «Номенклатуры», «Контрагентов» и т.д. • Убыстрение работы 1С до 50% • Контроль машин, с которых входят в 1С • Простота установки на любую конфигурацию • Стойкость защиты к дешифрации паролей 1С • Открытый код аудита и модификации

  22. Row Level Security Защита справочников Row Level Security Защита журналов Trusted Security, Host, Net Add, ID-сертификат Защита 1С для SQL

  23. Создайте magic user для 1С! S2 Guest («Гость») Читатель метаданных S1 Database Owner Создает Защита 1С: Предприятия для SQL

  24. Архитектура RLS-Защиты MS SQL 1С Вход в MS SQL как S2(«гость») Представления с Row Lev. Sec. Доступ Менеджер Процессов Проверки: App? User NT? Host? Net Add? Запрос менеджеру процессовчерез ADO

  25. Защита таблиц 1С через view • Таблицы 1С закрыты через updateable view • Защита на view не «роняет» 1С, если прав нет • Применение view позволяет реализовать Row Level Security • Проверка @@spid и login_time create view DH4382 as select * from DH4382_HIDE whereivn_CheckSec()

  26. Row Level Securityразрежьте таблицы для пользователей… • Row Level Security позволяет «показать» пользователю только часть клиентов, номенклатуры, журнала документов и т.д. • «Невидимая» часть таблицы защищена RLS от просмотра и модификации пользователем create view _1SJOURN as select * from _1SJOURN_HIDE where SP1005 inivn_CheckSC1('SC13')

  27. Защита на сертификатах(опциональный вариант) • Сертификат – это файл, который если расшифровать через пароль, то можно получить доступ к ресурсу • Хваленная защита Lotus Domino построена на ID-сертификатах • Преимущества:- его нельзя запомнить,как пароль- можно закрыть через NTFS

  28. Защита ускоряет работу 1С до 50% • 1С обычно ищет/выбирает данные путем перебора всех элементов справочника или всех документов журнала • Доступность только части таблицы повышает скорость выборок/поисков на 30-40% • На сами проверки доступа расходуется около 1-2% мощности сервера.

  29. Минусы блокирующих защит • Любая защита блокирующая доступ может привести к проблемам совместимости, потребуетсянастройка «исключений» • Любая защита блокирующая доступ требует настройки «прав» • Перед внедрением блокирующей защиты на базе RLS или криптографии нужно обследование и пилотный проект

  30. Инсайдер Сканнер Активный сканнер безопасности для 1С: Предприятия для MS SQL

  31. Зачем мне «Инсайдер Сканнер»? • Выявление инсайдеров в компании • Блокирование доступа инсайдерам • Защита БД в реальных условиях(возможное наличие «дыр») • Система самообучения – Защита данных без трудоемких настроек безопасности • Как и у всех сканнеров нет проблем с совместимостью с вашей БД

  32. Инсайдер Сканнер • Trusted Security для 1С • Выявление «нетипового» поведения пользователя • Обнаружение проникновений с административным доступом • Активный аудит • «Контратака хакера»

  33. Архитектура «Инсайдер Сканнера»в основе сканирование процессов MS SQL MS SQL 1С Обычный вход в MS SQL Таблицы 1С и SQL-процессы Сканир. процессов Аутентификация 1С-Пользователя в SQL ИнсайдерСканнер Проверки: User NT=1С? Host?App?

  34. Инсайдер Сканнер в действии Результат самообучения Инсайдер Сканнер:разрешенные конфигурации доступапользователей Вы можете отредактировать их вручнуюв Ent. Manager Обратите внимание! Инсайдер Сканнер «видит» пользователей 1С в SQL-процессах Инсайдер Сканер за работой: отчет об активных пользователях 1С в Ent. Manager

  35. Услуги и продукты • Криптография от Аладдина от $150 • Настройка терминала - $150 • Настройка аудита 1C для SQL - $150 • Включение SSL - $150 • Бизнес Сканнер (OLAP)* от $500 • RLS-Защита 1С для SQL*- $500 • Инсайдер Сканнер* - $500 Не знаете что выбрать?Закажите этот семинар себе за $190! * -указана цена с внедрением

More Related