Lista de comprobación de seguridad de Dispatcher the-dispatcher-security-checklist

Adobe recomienda completar la siguiente lista de comprobación antes de continuar con la producción.

CAUTION
También debe completar la lista de comprobación de seguridad de su versión de AEM antes de empezar. Consulte la documentación de Adobe Experience Manager correspondiente.

Utilice la última versión de Dispatcher use-the-latest-version-of-dispatcher

Debe instalar la versión más reciente disponible para su plataforma. Debe actualizar la instancia de Dispatcher para utilizar la versión más reciente y aprovechar las mejoras del producto y de la seguridad. Consulte Instalación de Dispatcher.

NOTE
Puede comprobar la versión actual de la instalación de Dispatcher mirando el archivo de registro de Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Para encontrar el archivo de registro, revise la configuración de Dispatcher en su httpd.conf.

Restrinja clientes que puedan vaciar la caché restrict-clients-that-can-flush-your-cache

Adobe recomienda que limite los clientes que pueden vaciar la caché.

Habilite HTTPS para la seguridad de la capa de transporte enable-https-for-transport-layer-security

Adobe recomienda habilitar la capa de transporte HTTPS en las instancias de autor y publicación.

Restrinja el acceso restrict-access

Al configurar Dispatcher, debe restringir el acceso externo en la medida de lo posible. Consulte Ejemplo de sección /filter en la documentación de Dispatcher.

Asegúrese de que se deniegue el acceso a las direcciones URL administrativas make-sure-access-to-administrative-urls-is-denied

Asegúrese de utilizar filtros para bloquear el acceso externo a cualquier dirección URL administrativa, como la consola web.

Consulte la Prueba de seguridad de Dispatcher para obtener una lista de las direcciones URL que deben bloquearse.

Utilice Listas de permitidos en lugar de Listas de bloqueados use-allowlists-instead-of-blocklists

Las listas de permitidos son una mejor manera de controlar el acceso, ya que suponen inherentemente que todas las solicitudes de acceso deben denegarse a menos que formen parte explícita de la lista de permitidos. Este modelo proporciona un control más restrictivo sobre las nuevas solicitudes que pueden no haberse revisado aún o tenido en cuenta durante una determinada fase de configuración.

Ejecute Dispatcher con un usuario del sistema dedicado run-dispatcher-with-a-dedicated-system-user

Al configurar Dispatcher, debe asegurarse de que el servidor web lo ejecute un usuario dedicado con menos privilegios. Se recomienda conceder acceso de escritura únicamente a la carpeta de caché de Dispatcher.

Además, los usuarios de IIS deben configurar su sitio web de la siguiente manera:

  1. En la configuración de ruta física del sitio web, seleccione Conectar como usuario específico.
  2. Configure el usuario.

Evite ataques de denegación de servicio (DoS) prevent-denial-of-service-dos-attacks

Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios a los que va destinado.

En el nivel de Dispatcher, existen dos métodos de configuración para evitar ataques DoS:

  • Utilice el módulo mod_rewrite (por ejemplo, Apache 2.4) para validar URL (si las reglas de patrones de URL no son demasiado complejas).

  • Impida que Dispatcher almacene en caché las direcciones URL con extensiones falsas mediante filtros.
    Por ejemplo, cambie las reglas de almacenamiento en caché para limitar el almacenamiento en caché a los tipos de MIME esperados, como:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Se puede ver un archivo de configuración de ejemplo para restringir el acceso externo, que incluye restricciones para tipos de MIME.

Para habilitar de forma segura la funcionalidad completa en las instancias de publicación, configure filtros para evitar el acceso a los siguientes nodos:

  • /etc/
  • /libs/

A continuación, configure filtros para permitir el acceso a las siguientes rutas de nodos:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS y JSON)

  • /libs/cq/security/userinfo.json (Información de usuario de CQ)

  • /libs/granite/security/currentuser.json (los datos no deben almacenarse en caché)

  • /libs/cq/i18n/* (Internalización)

Configure Dispatcher para prevenir ataques de tipo CSRF configure-dispatcher-to-prevent-csrf-attacks

AEM ofrece un marco de trabajo para evitar los ataques de falsificación de solicitudes entre sitios. Para utilizar correctamente este marco, necesita permitir el soporte de tokens CSRF en Dispatcher. Para ello:

  1. Crear un filtro para permitir la ruta /libs/granite/csrf/token.json;
  2. Agregue el encabezado CSRF-Token a la sección clientheaders de la configuración de Dispatcher.

Impedir el clickjacking prevent-clickjacking

Para evitar el clickjacking, le recomendamos que configure su servidor web para que proporcione el encabezado X-FRAME-OPTIONS HTTP establecido en SAMEORIGIN.

Para obtener más información sobre el clickjacking, consulte el sitio de OWASP.

Realizar una prueba de penetración perform-a-penetration-test

Adobe recomienda encarecidamente realizar una prueba de penetración de su infraestructura de AEM antes de continuar con la producción.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5