Служба Security

Рассмотрим каждый пункт подробнее.

Блокировка по IP

Одной из самых популярных и востребованных услуг во всей системе безопасности WebMoney является блокировка по IP. Это простой и удобный способ защиты. Простой - потому что требуется всего пара минут, чтобы настроить и включить блокировку. Удобный - потому что, будучи активированным один раз, он всегда стоит на страже, словно невидимый сторож, и не требует от пользователя каких-либо последующих регулярных манипуляций.

Суть услуги состоит в том, что вы можете запретить доступ к своему WMID со всех IP-адресов кроме списка разрешенных. В этот список, естественно, нужно включить те IP, с которых вы обычно выходите в Интернет.

Давайте посмотрим, как это делать. На сайте службы Security кликнем по ссылке "Журнал IP - Блокировка по IP" (прямой линк: https://security.webmoney.ru/asp/setallyip.asp) и авторизуем Keeper. На открывшейся странице мы видим несколько полей, которые нам предстоит заполнить.

Прежде чем включать блокировку, необходимо произвести два действия: установить список разрешенных IP (рис.1) и указать "страховочный" Email.

Кстати!
IP-адрес - это адрес компьютера в Сети. Каждая машина, подключенная в данный момент времени к Интернету, имеет свой уникальный IP. Любой IP - это 32-битное число, которое представляется в виде четырех чисел (от 0 до 255), разделенных точками: ХХХ.ХХХ.ХХХ.ХХХ.
Каждому интернет-провайдеру выделен блок IP-адресов. Именно из этого блока он и выделяет один адрес вам, когда вы выходите в Сеть. При этом за выделенным соединением обычно закрепляется постоянный IP-адрес, а при dialup-доступе IP назначается провайдером всякий раз автоматически, из числа адресов, свободных на данный момент.

Рассмотрим для начала самый простой случай: вы выходите в Интернет по выделенной линии и имеете фиксированный IP. Тогда просто ставим переключатель "Тип новой позиции" в положение "IP-адрес", вводим свой IP в поле "Значение новой позиции" и нажимаем кнопку для добавления. После этого указанный адрес появится в списке разрешенных. Если вы теперь включите блокировку, то доступ к WMID будет возможен только с него. Обратите внимание, что поле "Маска" в данном случае не заполняется.

Если вы пользуетесь (или планируете пользоваться) Keeper'ом с нескольких разных адресов (например, из дому и с работы) - внесите все эти адреса в список.

Вопрос!
Как узнать свой текущий IP?
Независимо от способа подключения к Интернету, узнать свой текущий IP можно, воспользовавшись специальными программами, командой ipconfig или "Журналом подключений" WebMoney (о нем мы расскажем позже). К тому же, на той странице, где мы сейчас находимся (https://security.webmoney.ru/asp/setallyip.asp), сервер WebMoney определяет наш текущий IP и сообщает его нам.

Во всех остальных случаях, когда ваш IP непостоянен или когда вы выходите в Интернет из локальной сети, манипуляции будут немного сложнее. При таком варианте необходимо поставить переключатель в положение "IP-подсеть" и заполнить поля "Значение новой позиции" и "Маска". При этом в "Значение новой позиции" заносится не текущий IP-адрес, а адрес подсети. О том, как определять маску и адрес подсети, будет сказано ниже.

Вопрос!
Что такое IP-подсеть и что такое маска?
IP-подсеть - это блок идущих подряд IP-адресов, например, 193.125.149.128, 193.125.149.129, 193.125.149.130 и т.д. IP-подсеть ограничивается младшим и старшим адресом. При этом младший адрес называется адресом данной подсети.
Кроме того, подсеть характеризуется маской. Маска, фактически, показывает размер подсети, то есть количество адресов в ней. Например, маска 255.255.255.192 означает, что в подсети существует 64 адреса (именно столько адресов не хватает до полного заполнения: 255.255.255.255). Маска 255.255.255.0 означает, что в подсети 256 адресов. Маска 255.255.0.0 - что в сети 256*256=65536 адресов.

Как определить маску? Во-первых, можно задать этот вопрос своему провайдеру или сетевому администратору. Во-вторых, маску можно выяснить с помощью специальных программ или команды ipconfig.

Когда маска определена, займемся выяснением адреса IP-подсети. Ее также можно узнать у провайдера. Другой вариант - спросить у провайдера, какой диапазон IP-адресов им используется, и взять из этого диапазона самый младший адрес. Он и будет адресом подсети (например, если вы выяснили, что ваш провайдер использует диапазон 193.125.149.64 - 193.125.149.127, то адресом подсети будет 193.125.149.64).

Но можно пойти и другим путем - вычислить IP подсети вручную. Это занятие потребует некоторых знаний, но зато может оказаться куда более интересным, чем простой звонок провайдеру. Для самостоятельного определения IP подсети вам понадобится знать свой текущий IP и маску.

Поскольку маска, в наиболее точном понимании этого термина, указывает, какая часть IP-адреса адресует подсеть, а какая - компьютер внутри этой подсети, то для определения адреса подсети необходимо произвести логическое умножение (логическое "И") над текущим IP-адресом и маской подсети, предварительно представив их в двоичной форме. Это и есть способ определить адрес подсети (отделить адрес сети от адреса внутри сети).

Пусть, например, мы установили, что наш текущий IP - 193.243.156.200. При этом маска - 255.255.255.128. Представим IP и маску в двоичной форме: IP - 11000001.11110011.10011100.11001000, маска - 11111111.11111111.11111111.10000000.

Теперь произведем логическое умножение. Для этого будем поразрядно умножать IP и маску: в том разряде, где 1*1, будем записывать "1", во всех же остальных случаях будем записывать "0". Результатом такого умножения будет искомый адрес подсети:

11000001.11110011.10011100.11001000 - IP
*
11111111.11111111.11111111.10000000 - маска
=
11000001.11110011.10011100.10000000 - подсеть

Полученный адрес подсети переведем обратно в привычную форму: 193.243.156.128. Это и есть искомый результат.

Еще один пример. Пусть наш адрес - 66.139.79.44, маска - 255.255.255.224. Каким будет IP подсети?

Здесь, как и в предыдущем примере, подсеть будет отличаться только в последней триаде: 66.139.79.*, поскольку маска маскирует первые три триады. Чтобы выяснить, что должно быть вместо звездочки, возьмем последнюю триаду из маски и последнюю триаду из IP-адреса, переведем их в двоичную форму и перемножим: 44 = 00101100, 224 = 11100000, 00101100 AND 11100000 = 00100000. Что равно 32.

Итак, адрес IP-подсети будет равен 66.139.79.32.

Обратите внимание, что при выходе в интернет из локальной сети WM Keeper "видит" в качестве вашего IP не внутренний (локальный), а внешний адрес. Обычно это адрес proxy-сервера или один из адресов на стороне вашего провайдера. Как правило, такой адрес постоянен, а это означает, что его смело можно вносить в список как выделенный IP-адрес (без указания маски и подсети).

После того, как список разрешенных IP сформирован, остается только указать Email для разблокировки (в верхней части страницы), поставить галочку возле слов "в данный момент блокировка ВЫКЛЮЧЕНА" и нажать на кнопку "Включить блокировку".

С этого момента блокировка по IP будет активирована и любая попытка получить доступ к вашему WMID с IP-адреса, не включенного в список, закончится неудачей (Keeper будет выдавать ошибку - см. рис.2).

Каждый раз, когда система регистрирует такую попытку несанкционированного доступа, она отправляет на указанный Email письмо следующего содержания:

"К Вашему идентификатору осуществлена попытка доступа с IP адреса - xxx.xxx.xx.xxx, которого нет в списке IP адресов, разрешенном Вами для авторизации в системе на сайте https://securtiy.webmoney.ru. Если это Вы осуществляете доступ, то по приведенной ниже ссылке Вы сможете снять блокировку https://security.webmoney.ru/asp/unblockiplist.asp?wmid=xxxxxxxxxxxx&wmcode=xxxxxx"

Если кликнуть по ссылке в письме - блокировка будет тут же снята и ваши средства, возможно, подвергнутся опасности. Поэтому не спешите этого делать, а сначала разберитесь, что явилось причиной срабатывания защитной системы. Если это вы сами пытались подключиться к своему WMID с IP, не внесенного в список разрешенных, тогда опасности нет: нажимайте на ссылку в письме и после снятия блокировки добавляйте свой новый IP в список (не забудьте после этого снова включить блокировку).

В противном же случае, вероятно, имела место попытка несанкционированного доступа к вашему WMID. Это означает, что злоумышленники завладели вашим паролем и файлом с ключами. Проверьте компьютер антивирусной программой, смените пароль и ключи ко всем своим WMID. Кликать по ссылке в письме и снимать блокировку в этом случае, естественно, не нужно.

Вы, наверное, уже поняли, что для нормальной работы данной услуги необходим максимально надежный Email-адрес. Он обязательно должен быть действующим и находиться на сервере, обеспечивающем высокое качество его работы. Если ящик будет недоступен в момент отправления вам оповещения о несанкционированном доступе, вы рискуете не получить письмо. В этом случае снять блокировку будет возможно только через администратора сервиса. Поэтому постарайтесь избегать бесплатных почтовых служб, стабильность которых вызывает нарекания. Лучший выбор - ящик на корпоративном сервере или в личном домене. Ящик у провайдера тоже вряд ли подойдет, поскольку при смене провайдера одновременно изменятся и IP-адрес, и Email.

Журнал подключений

Здесь все просто. На странице "Журнал IP" (https://security.webmoney.ru/asp/securjournal.asp) показан лог подключений вашего WMID к серверу системы. Записи в таблице отсортированы по времени входа: вверху более поздние подключения, внизу - более ранние. С помощью простых фильтров можно сделать выборку по дате подключения и по IP, с которого были совершены входы. Даты представляются в формате "ГГГГММДД" (например, 12 марта 2004 года нужно записать как "20040312"). К сожалению, логи хранятся только за последние 30 дней, поэтому более раннюю историю просмотреть не получится.

Думаю, польза от журнала очевидна. В любой момент можно просмотреть, с каких IP-адресов и в какое время совершались подключения. Данная информация очень помогает при настройке функции блокировки по IP, а также при проведении "расследования" Арбитражем и самим пользователем в отношении несанкционированных подключений.

Установка доверенных WMID

Это третий, последний инструмент сервиса Security. Мы не будем рассматривать его подробно, поскольку он служит только для нужд web-разработчиков.

В системе WebMoney реализованы специальные xml-интерфейсы (/redir.php?url=www.webmoney.ru%2Fpfdevelxml.shtml%29%2C позволяющие торгующим интернет-ресурсам принимать оплату за товары или услуги, выписывать счета и проверять их оплату, а также совершать ряд других действий автоматически, без участия человека. Для работы с интерфейсами необходимо использовать специальный модуль WMSigner, который производит электронно-цифровую подпись (ЭЦП) каждой операции при вызове интерфейса. Проверяя ЭЦП, сервер WebMoney устанавливает, соответствует ли подпись WM-идентификатору, от имени которого она была сформирована. Это позволяет совершать операции в системе только от имени своего WMID.

Суть третьего инструмента службы Security заключается в том, что, при необходимости, можно разрешать чужим (доверенным) WM-идентификаторам подписывать запросы на выполнение тех или иных операций для своих кошельков. Указав доверенные WMID, можно будет формировать ЭЦП от их имени.

Подробнее о проведении операций в автоматическом режиме можно прочесть здесь: /redir.php?url=www.webmoney.ru%2Fpfdevelopers.shtml.%3C%2Ffont%3E%3C%2Fp%3E