Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Блокировка обращений по черному списку рефереров средствами NGINX

1 5

Цель: снизить нагрузку на веб сервер заблокировав мусорные и спам обращения.
Реализация через конфигурацию NGINX.
1. Берем готовый файл конфигурации со списком плохих рефереров отсюда:

https://github.com/Stevie-Ray/referrer-spam-blocker

Примечание: Необходимо загрузить проект через git, либо в виде архива, затем использовать из него файл referral-spam.conf

Так стоит сделать, чтобы не сбилась оригинальная кодировка файла, т.к. там встречаются UTF-8 символы в названиях доменов.

2. Дополняем черный список по рекомендациям НКЦКИ
Источник: https://safe-surf.ru/specialists/news/676114/

3. Далее преобразуем список плохих рефереров в регулярные выражения, как это сделано в файле referral-spam.conf. Он получится таким:

# ukraine
"~*cyber\-yuzh\.com" 1;
"~*ukraine\.is\-great\.org" 1;
"~*stop\-russia\.rf\.gd" 1;
"~*stop\-russia\.synergize\.co" 1;
"~*fuck\-desinformation\.netlify\.app" 1;
"~*stop\-\-russian\-\-desinformation\-near\-page\.translate\.goog" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*stop\-russia\.great\-site\.net" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*slavaukraini\.000webhostapp\.com" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*fly\.freecluster\.eu" 1;
"~*ovh1\.vanagas\.tech" 1;
"~*freeanon\.xyz" 1;
"~*mwl\.vdl\.pl" 1;
"~*norussian\.tk" 1;
"~*dstat\.sorryy\.me" 1;
"~*jebacruskich\.page" 1;
"~*81g6bk\.csb\.app" 1;
"~*vug\.pl" 1;
"~*kaszaniok\.github\.io" 1;
"~*dildouslugi\.ga" 1;

Примечание: список на сайте НКЦКИ обновляется, следует брать список от туда.

Дополняем общий список нашим списком и сохраняем файл referral-spam.conf.

Добавить referral-spam.conf в /etc/nginx и включить его глобально в /etc/nginx/nginx.conf:

http {
    include referral-spam.conf;
}

Добавить следующие параметры в файлы конфигураций всех сайтов /etc/nginx/site-available/your-site.conf которые требуют защиты:

server {
    if ($bad_referer) {
        return 444;
    }
}

Т.е. кладем файл referral-spam.conf в папку /etc/nginx, подключаем его в файле /etc/nginx/nginx.conf. Далее в блоке server каждого сайта, который требуется защитить, добавляем возврат кода 444 при условии определения переменной $bad_referer.

Рекомендации к заполнению карточки:

Создать шаблон регулярной задачи на актуализацию черного списка рефереров

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Компенсирующая

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Исполнение требований

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":

п. 8

8. Кредитные организации, размер активов которых составляет 500 миллиардов рублей и более на начало текущего отчетного года в соответствии со значением статьи "Всего активов", определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 "Бухгалтерский баланс (публикуемая форма)", установленного приложением 1 к Указанию Банка России от 8 октября 2018 года N 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации", и которые являются субъектами критической информационной инфраструктуры в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ, должны выполнять требования, направленные на противодействие целевым компьютерным атакам в зависимости от уровня опасности, установленные федеральным органом исполнительной власти, уполномоченным в сфере обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

ЗИС.16 ЗИС.16 Защита от спама

ЗИС.34 ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

ЗИС.34 ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)

ЗИС.16 ЗИС.16 Защита от спама

Связанные риски

Риск	Связи
Недоступность публичных сервисов из-за возможности распределенной атаки на отказ в обслуживании (DDoS) в веб-сервере Доступность Отказ в обслуживании	1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.