Show Menu
TOPICS×

Die Dispatcher-Sicherheitscheckliste

Der Dispatcher bietet als Front-End-System zusätzliche Sicherheit für Ihre Adobe Experience Manager-Infrastruktur. Adobe empfiehlt, vor dem Einsatz in einer Produktionsumgebung unbedingt die folgende Checkliste abzuarbeiten.
Sie müssen vor dem Produktivstart auch die Sicherheitscheckliste für Ihre AEM-Version abarbeiten. Weitere Informationen finden Sie in der entsprechenden Adobe Experience Manager-Dokumentation .

Verwenden der neuesten Version des Dispatchers

Sie sollten die neueste Version installieren, die für Ihre Plattform verfügbar ist. Sie sollten Ihre Dispatcher-Instanz aktualisieren, um die neueste Version zu verwenden und von Produkt- und Sicherheitsverbesserungen zu profitieren. Weitere Informationen finden Sie unter Installieren des Dispatchers .
Die Version Ihrer Dispatcher-Installation können Sie der Dispatcher-Protokolldatei entnehmen.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Um die Protokolldatei zu finden, überprüfen Sie die Dispatcher-Konfiguration in der Datei
httpd.conf
.

Einschränken von Clients, die den Cache leeren können

Aktivieren von HTTPS für Transport Layer Security

Adobe empfiehlt, die HTTPS-Transportschicht auf Autoren- und Veröffentlichungsinstanzen zu aktivieren.

Restrict Access

Wenn Sie den Dispatcher konfigurieren, sollten Sie externe Zugriffe so weit wie möglich einschränken. Siehe Abschnitt „Beispiel/Filter“ in der Dispatcher-Dokumentation.

Verweigern des Zugriffs auf administrative URLs

Stellen Sie sicher, dass Sie Filter verwenden, um den externen Zugriff auf sämtliche administrative URLs wie die Web-Konsole zu blockieren.
Unter Testen der Dispatcher-Sicherheit finden Sie eine Liste der URLs, die blockiert werden müssen.

Verwenden von Whitelists anstelle von Blacklists

Whitelists eignen sich besser zur Zugriffskontrolle, da sie grundsätzlich voraussetzen, dass alle Zugriffsanforderungen verweigert werden sollten, sofern sie nicht ausdrücklich Teil der Whitelist sind. Dieses Modell ermöglicht eine strengere Kontrolle über neue Anforderungen, die während einer Konfigurationsphase möglicherweise noch nicht überprüft oder in Betracht gezogen wurden.

Ausführen des Dispatchers mit einem dedizierten Systembenutzer

Beim Konfigurieren des Dispatchers sollten Sie sicherstellen, dass der Webserver von einem dedizierten Benutzer mit den geringsten Rechten ausgeführt wird. Es empfiehlt sich, nur Schreibrechte für den Dispatcher-Cacheordner zu erteilen.
Darüber hinaus müssen IIS-Benutzer ihre Website folgendermaßen konfigurieren:
  1. Wählen Sie in den Einstellungen für den physischen Pfad für Ihre Website die Option zum Verbinden als bestimmter Benutzer .
  2. Legen Sie den Benutzer fest.

Vermeiden von Denial-of-Service-Angriffen

Ein Denial-of-Service-Angriff (DoS) zielt darauf ab, eine Computerressource für die vorgesehenen Benutzer unzugänglich zu machen.
Auf Dispatcher-Ebene gibt es zwei Konfigurationsmöglichkeiten, um DoS-Angriffe zu verhindern: filter
  • Verwenden Sie das mod_rewrite-Modul (beispielsweise Apache 2.4 ), um URL-Überprüfungen durchzuführen (sofern die Regeln für das URL-Muster nicht zu komplex sind).
  • Hindern Sie den Dispatcher daran, URLs mit falschen Erweiterungen zwischenzuspeichern, indem Sie Filter verwenden. Ändern Sie beispielsweise die Cachingregeln, um die Zwischenspeicherung auf die erwarteten MIME-Typen zu begrenzen. Dazu zählen unter anderem:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt
      Sie können eine Beispielkonfigurationsdatei zum Einschränken des externen Zugriffs einsehen, diese beinhaltet die Einschränkungen für MIME-Typen.
Um sicher den vollen Funktionsumfang für die Veröffentlichungsinstanzen zu aktivieren, konfigurieren Sie Filter, um den Zugriff auf die folgenden Knoten zu verhindern:
  • /etc/
  • /libs/
Konfigurieren Sie anschließend Filter, um den Zugriff auf die folgenden Knotenpfade zuzulassen:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/*
    (JS, CSS und JSON)
  • /libs/cq/security/userinfo.json
    (CQ-Benutzerinformationen)
  • /libs/granite/security/currentuser.json
    (
    Daten dürfen nicht zwischengespeichert werden
    )
  • /libs/cq/i18n/*
    (Internalisierung)

Konfigurieren des Dispatchers zum Verhindern von CSRF-Angriffen

AEM bietet ein Framework , mit dem CSRF-Angriffe (Cross Site Request Forgery) verhindert werden können. Um dieses Framework ordnungsgemäß zu verwenden, müssen Sie in den Dispatcher die CSRF-Token-Unterstützung in die Whitelist aufnehmen. Sie können dies durch folgende Maßnahmen erreichen:
  1. Erstellen Sie einen Filter, um den Pfad
    /libs/granite/csrf/token.json
    zuzulassen.
  2. Fügen Sie die Kopfzeile
    CSRF-Token
    dem Abschnitt
    clientheaders
    der Dispatcher-Konfiguration hinzu.

Verhindern von Clickjacking

Um Clickjacking zu verhindern, sollten Sie Ihren Webserver so konfigurieren, dass er die HTTP-Kopfzeile
X-FRAME-OPTIONS
bereitstellt, die auf
SAMEORIGIN
festgelegt ist.

Durchführen eines Penetrationstests

Adobe empfiehlt dringend, Ihre AEM-Infrastruktur vor dem Einsatz in einer Produktionsumgebung einem Penetrationstest zu unterziehen.