Show Menu
TEMAS×

Lista de comprobación de seguridad de Dispatcher

El despachante como sistema front-end ofrece una capa adicional de seguridad a su infraestructura de Adobe Experience Manager. Adobe recomienda encarecidamente completar la siguiente lista de comprobación antes de continuar con la producción.
También debe completar la lista de comprobación de seguridad de su versión de AEM antes de activarla. Consulte la documentación correspondiente de Adobe Experience Manager.

Usar la versión más reciente de Dispatcher

Debe instalar la versión más reciente disponible para su plataforma. Debe actualizar la instancia de Dispatcher para utilizar la versión más reciente y aprovechar las mejoras de producto y seguridad. Consulte Instalación de Dispatcher .
Puede comprobar la versión actual de la instalación del despachante consultando el archivo de registro del despachante.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Para buscar el archivo de registro, inspeccione la configuración del despachante en su httpd.conf .

Restringir clientes que pueden vaciar la caché

Habilitar HTTPS para la seguridad de capa de transporte

Adobe recomienda activar la capa de transporte HTTPS en las instancias de creación y publicación.

Restringir acceso

Al configurar Dispatcher, debe restringir el acceso externo tanto como sea posible. Consulte la sección dispatcher-configuration.translate.html#main-pars_184_1_title Ejemplo/filtro en la documentación de Dispatcher.

Asegúrese de denegar el acceso a las direcciones URL administrativas

Asegúrese de utilizar filtros para bloquear el acceso externo a cualquier dirección URL administrativa, como la consola web.
Consulte Prueba de seguridad del despachante para obtener una lista de las direcciones URL que deben bloquearse.

Usar listas blancas en lugar de listas negras

Las listas blancas son una mejor manera de proporcionar control de acceso, ya que suponen que todas las solicitudes de acceso deben denegarse a menos que formen parte explícita de la lista blanca. Este modelo proporciona un control más restrictivo sobre las nuevas solicitudes que podrían no haberse revisado aún o no haberse tenido en cuenta durante una determinada etapa de configuración.

Ejecutar Dispatcher con un usuario de sistema dedicado

Al configurar Dispatcher, debe asegurarse de que el servidor web lo ejecute un usuario dedicado con menos privilegios. Se recomienda otorgar acceso de escritura únicamente a la carpeta de caché del despachante.
Además, los usuarios de IIS deben configurar su sitio web de la siguiente manera:
  1. En la configuración de ruta física del sitio web, seleccione Conectar como usuario específico.
  2. Establezca el usuario.

Evitar ataques de denegación de servicio (DoS)

Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios previstos.
A nivel de distribuidor, existen dos métodos de configuración para evitar ataques DoS: filter
  • Utilice el módulo mod_rewrite (por ejemplo, Apache 2.4 ) para realizar validaciones de URL (si las reglas de patrón de URL no son demasiado complejas).
  • Impedir que el despachante almacene en caché las direcciones URL con extensiones falsas mediante filtros . Por ejemplo, cambie las reglas de almacenamiento en caché para limitar el almacenamiento en caché a los tipos de MIME esperados, como:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt Se puede ver un archivo de configuración de ejemplo para restringir el acceso externo, que incluye restricciones para tipos de MIME.
Para habilitar de forma segura toda la funcionalidad en las instancias de publicación, configure filtros para evitar el acceso a los siguientes nodos:
  • /etc/
  • /libs/
A continuación, configure filtros para permitir el acceso a las rutas de nodo siguientes:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS, CSS y JSON)
  • /libs/cq/security/userinfo.json (Información de usuario de CQ)
  • /libs/granite/security/currentuser.json ( los datos no deben almacenarse en caché )
  • /libs/cq/i18n/* (Internalización)

Configure Dispatcher to prevent CSRF Attacks

AEM proporciona un marco para prevenir los ataques de falsificación de solicitudes entre sitios. Para poder utilizar este marco correctamente, debe incluir la compatibilidad con tokens CSRF en la lista blanca del despachante. Puede hacerlo mediante:
  1. Creación de un filtro para permitir la /libs/granite/csrf/token.json ruta;
  2. Agregue el CSRF-Token encabezado a la clientheaders sección de la configuración de Dispatcher.

Evitar el secuestro de clics

Para evitar el "clickjacking" recomendamos configurar el servidor web para que proporcione el encabezado X-FRAME-OPTIONS HTTP definido en SAMEORIGIN .

Realizar una prueba de penetración

Adobe recomienda encarecidamente realizar una prueba de penetración de su infraestructura de AEM antes de continuar con la producción.