Возможности BitNinja
BitNinja является комплексным решением для обеспечения безопасности серверов и веб-приложений. С его помощью администраторы могут не только защитить свои ресурсы, но и упростить управление безопасностью. Как защитить «боевой» сервер и сайт — разбираем на примере BitNinja в блоге ispmanager.
1 лицензия BitNinja защищает 1 сервер без ограничений по количеству пользователей и сайтов.
Далее кратко перечислены функции модуля BitNinja в панели ispmanager. Полный список возможностей BitNinja и их настройка описаны в документации разработчика.
Если на сервере установлен Wireguard, то функция Port Honeypot работать не будет. Это связано с включением net.ipv4.ip_forward, который является обязательным для правильной работы Wireguard.
| Название | Краткое описание | Наличие |
| IpFilter | Сравнивает IP-адреса с черными и серыми списками из миллионов записей. Если обнаруживает совпадение — ограничивает действия или блокирует их | Включено по умолчанию |
| Shogun | Передает инциденты между разными частями системы. Например, если в Captcha Http module случился инцидент, он обработается и перенаправится в другие модули: AntiFlood и IpFilter | Включено по умолчанию |
| AntiFlood | В случае множественных подключений на другие модули, например, Captcha, временно блокирует IP-адрес для снижения нагрузки | Включено по умолчанию |
| Captcha Http module | Используется для отлова ложно-положительных результатов блокировки. С помощью этой капчи пользователь может убрать себя из блок-листа | Включено по умолчанию |
| Captcha Ftp module | Проверяет наличие IP-адреса, который пытается подключиться по FTP, в блок-листах. Если IP там есть, то он симулирует подключение к FTP, без реального подключения. Всё, что загружено через эту симуляцию, попадает в карантин | Ручная настройка |
| Captcha Smtp module | Используется для отлова ложно-положительных результатов блокировки. С помощью этой капчи пользователь может убрать себя из блок-листа. Разница с Captcha Http module в том, что тут можно убрать себя, если ты подключаешься через SMTP. Убрать себя из блок-листа можно только несколько раз, поэтому лучше предупредить владельца сервера о проблеме | Включено по умолчанию |
| Database Cleaner (SQL Scanner) | Сканирует SQL DB на предмет malware. Работает только если перед этим был выполнен полный скан. Работает только с MySQL (другие СУБД не проверялись). Работает только с WordPress, Joomla, Drupal | Ручная настройка |
| DefenseRobot | Работает в связке с MalwareDetection. Когда DefenseRobot получает от него информацию, модуль пытается найти логи, связанные с загрузкой malware. Если лог найден, то сохраняется информация об инциденте, информация о злоумышленнике сохраняется предварительно в модуле Shogun. Если это повторная находка, то включает IP в список заблокированных через ChallengeList. Модуль работает с последними 30 секундами перед изменением файла malware | Включено по умолчанию |
| DefenseRobot SaveUnFilteredLoglines | Сохраняет все логи, отправляемые за последние 30 секунд перед изменением файла malware. В т.ч. API-подключения: Get, Post, Head, Put запросы. Записи в логах не вызывают инциденты | Ручная настройка |
| DefenseRobot CollectUnWatchedLogs | Сохраняет Auth, Exim, PostfixLogin и прочие логи из SenseLog. Записи в логах не вызывают инциденты | Ручная настройка |
| DosDetection | Отслеживает активные подключения. В случае более 80 подключений с 1 IP-адреса BitNinja считает это атакой и добавляет IP в блок лист на одну минуту. Ограничение по количеству подключений (threshold) можно настраивать через интерфейс. Важно: BitNinja не защищает от DDoS-атак в классическом виде. Есть возможность настроить косвенную защиту на уровне IpFilter, DosDetection и SslTerminating модулей | Включено по умолчанию |
| MalwareDetection | Модуль для обнаружения malware в файлах. После установки BitNinja запустится глубокий скан, что может временно увеличить нагрузку на сервер | Включено по умолчанию |
| AI Malware Scan | Более быстрое сканирование без нагрузки на сервер. Передает MD5 hash на серверы BitNinja, где происходит сканирование с помощью AI | Ручная настройка |
| AI Active Scan | Передает live-мониторинг на серверы BitNinja | Ручная настройка |
| Port Honeypot | Модуль размещает до 100 ловушек на случайных портах, выбранных из наиболее популярных портов. Port Honeypot увидит, если кто-то сканирует порты (кроме стелс сканов), а также поймает весь входящий в ловушки трафик и ответит на запросы. Когда злоумышленник попробует использовать ловушку, модуль сгенерирует инцидент | Включено по умолчанию |
| SenseWebHoneypot (Web Honeypot) | Модуль симулирует бэкдор. При попытке злоумышленника его использовать, модуль собирает всю доступную инфу о злоумышленнике и блокирует его. Технически выглядит как PHP файл с контентом. Файлы нужно разложить в тех местах, где ожидается атака | Ручная настройка |
| ProxyFilter (TrustedProxy) | Работает с запросами, которые приходят из доверенных сетей (CloudFlare, например). Простой анализ IP/TCP тут не подойдет, так как нужно анализировать IP, установленный в X-forwarded-for заголовке. Для полноценной работы модуля нужно не менее 2 Гб свободного места на сервере | Включено по умолчанию |
| SandboxScanner | Ищет неизвестные PHP файлы и проверяет их в безопасной локальной среде. Фактически это PHP эмулятор. Работает по умолчанию, но если отключить Malware Detection, после этого нужно включить SandboxScanner вручную | Включено по умолчанию |
| SenseLog (Log Analysis) | Анализирует логи на сервере в поисках подозрительной активности. В частности, логи Apache, NginX, логи ОС, Exim, Postfix, Dovecot, MySQL, панели ispmanager и некоторые другие | Включено по умолчанию |
| SiteProtection | Модуль, который ранее был отдельно стоящим приложением. Теперь доступен вместе с основной установкой. Призван защитить сайт (не сервер): собирает статистику, показывает ящики на сайте со скомпрометированными паролями, взаимодействует с другими модулями BitNinja. Фокусируется именно на работе с сайтами | Ручная настройка |
| Spam Detection | Помогает отлавливать ситуации, когда формы сайта используются для спам-атак. Модуль работает только с Exim. Модуль отправляет информацию об исходящей почте (заголовки, отправителя и получателя) на серверы BitNinja, где вся эта информация анализируется с помощью AI | Включено по умолчанию |
| SslTerminating | Помогает корректно работать CaptchaHTTP и WAF с HTTPS запросами. Работает на базе HAProxy 1.9.13. В ближайшее время будет заменен на Caddy Server | Включено по умолчанию |
| Vulnerability Patcher | Ищет уязвимости на сервере и предоставляет для них патчи. Речь идет о том, что модуль внедряет CVE-исправления на сервере. Автоматически ничего не подставляется, но в BitNinja подсвечивается наличие уязвимости | Ручная настройка |
| Web Application Firewall (WAF) | Работает на сканирование входящего трафика. По умолчанию работает только с HTTP запросами, для работы с HTTPS должен быть включен SSLTerminating. Для максимально корректной работы модуля помимо SSLTerminating нужно прописать IP-адреса сервера как доверенные прокси. Возможна работа с CDN, балансировщиком нагрузки или прокси, которые установлены на входе в веб-сервер | Включено по умолчанию |