Show Menu
TEMAS×

Lista de comprobación de seguridad de Dispatcher

Adobe recomienda encarecidamente que complete la siguiente lista de comprobación antes de continuar con la producción.
También debe completar la lista de comprobación de seguridad de su versión de AEM antes de activarse. Consulte la documentación correspondiente de Adobe Experience Manager.

Usar la versión más reciente de Dispatcher

Debe instalar la versión más reciente disponible para su plataforma. Debe actualizar la instancia de Dispatcher para utilizar la versión más reciente y aprovechar las mejoras de producto y seguridad. Consulte Instalación de Dispatcher .
Puede comprobar la versión actual de la instalación del despachante consultando el archivo de registro del despachante.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Para buscar el archivo de registro, inspeccione la configuración del despachante en su httpd.conf .

Restringir clientes que pueden vaciar la caché

Habilitar HTTPS para la seguridad de capa de transporte

Adobe recomienda activar la capa de transporte HTTPS en las instancias de creación y publicación.

Restringir acceso

Al configurar Dispatcher, debe restringir el acceso externo tanto como sea posible. Consulte la sección dispatcher-configuration.translate.html#main-pars_184_1_title Ejemplo/filtro en la documentación de Dispatcher.

Asegúrese de denegar el acceso a las direcciones URL administrativas

Asegúrese de utilizar filtros para bloquear el acceso externo a cualquier dirección URL administrativa, como la consola web.
Consulte Prueba de seguridad de Dispatcher para obtener una lista de las direcciones URL que deben bloquearse.

Usar Listas de permitidos En Lugar De Listas de bloqueados

Las listas de permitidos son una mejor manera de proporcionar controles de acceso ya que, de manera inherente, suponen que todas las solicitudes de acceso deben denegarse a menos que formen parte explícita de la lista de permitidos. Este modelo proporciona un control más restrictivo sobre las nuevas solicitudes que podrían no haberse revisado aún o no haberse tenido en cuenta durante una determinada etapa de configuración.

Ejecutar Dispatcher con un usuario de sistema dedicado

Al configurar Dispatcher, debe asegurarse de que el servidor web lo ejecute un usuario dedicado con menos privilegios. Se recomienda otorgar acceso de escritura únicamente a la carpeta de caché del despachante.
Además, los usuarios de IIS deben configurar su sitio web de la siguiente manera:
  1. En la configuración de ruta física del sitio web, seleccione Conectar como usuario específico.
  2. Establezca el usuario.

Evitar ataques de denegación de servicio (DoS)

Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios previstos.
A nivel de distribuidor, existen dos métodos de configuración para evitar ataques DoS: filter
  • Utilice el módulo mod_rewrite (por ejemplo, Apache 2.4 ) para realizar validaciones de URL (si las reglas de patrón de URL no son demasiado complejas).
  • Impedir que el despachante almacene en caché las direcciones URL con extensiones falsas mediante filtros . Por ejemplo, cambie las reglas de almacenamiento en caché para limitar el almacenamiento en caché a los tipos de MIME esperados, como:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt
    Se puede ver un archivo de configuración de ejemplo para restringir el acceso externo, que incluye restricciones para tipos de MIME.
Para habilitar de forma segura toda la funcionalidad en las instancias de publicación, configure filtros para evitar el acceso a los nodos siguientes:
  • /etc/
  • /libs/
A continuación, configure filtros para permitir el acceso a las rutas de nodo siguientes:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS, CSS y JSON)
  • /libs/cq/security/userinfo.json (Información de usuario de CQ)
  • /libs/granite/security/currentuser.json ( los datos no deben almacenarse en caché )
  • /libs/cq/i18n/* (Internalización)

Configure Dispatcher to prevent CSRF Attacks

AEM proporciona un marco para prevenir los ataques de falsificación de solicitudes entre sitios. Para poder utilizar este esquema correctamente, debe lista de permitidos de la compatibilidad de tokens CSRF en el despachante. Puede hacerlo mediante:
  1. Creación de un filtro para permitir la /libs/granite/csrf/token.json ruta;
  2. Añada el CSRF-Token encabezado a la clientheaders sección de la configuración de Dispatcher.

Evitar el secuestro de clics

Para evitar el "clickjacking" recomendamos configurar el servidor web para que proporcione el encabezado X-FRAME-OPTIONS HTTP definido en SAMEORIGIN .

Realizar una prueba de penetración

Adobe recomienda encarecidamente realizar una prueba de penetración de su infraestructura AEM antes de continuar con la producción.