Lista de comprobación de seguridad de Dispatcher the-dispatcher-security-checklist
Adobe recomienda completar la siguiente lista de comprobación antes de continuar con la producción.
Utilice la última versión de Dispatcher use-the-latest-version-of-dispatcher
Debe instalar la versión más reciente disponible para su plataforma. Debe actualizar la instancia de Dispatcher para utilizar la versión más reciente y aprovechar las mejoras del producto y de la seguridad. Consulte Instalación de Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
.Restrinja clientes que puedan vaciar la caché restrict-clients-that-can-flush-your-cache
Adobe recomienda que limite los clientes que pueden vaciar la caché.
Habilite HTTPS para la seguridad de la capa de transporte enable-https-for-transport-layer-security
Adobe recomienda habilitar la capa de transporte HTTPS en las instancias de autor y publicación.
Restrinja el acceso restrict-access
Al configurar Dispatcher, debe restringir el acceso externo en la medida de lo posible. Consulte Ejemplo de sección /filter en la documentación de Dispatcher.
Asegúrese de que se deniegue el acceso a las direcciones URL administrativas make-sure-access-to-administrative-urls-is-denied
Asegúrese de utilizar filtros para bloquear el acceso externo a cualquier dirección URL administrativa, como la consola web.
Consulte la Prueba de seguridad de Dispatcher para obtener una lista de las direcciones URL que deben bloquearse.
Utilice Listas de permitidos en lugar de Listas de bloqueados use-allowlists-instead-of-blocklists
Las listas de permitidos son una mejor manera de controlar el acceso, ya que suponen inherentemente que todas las solicitudes de acceso deben denegarse a menos que formen parte explícita de la lista de permitidos. Este modelo proporciona un control más restrictivo sobre las nuevas solicitudes que pueden no haberse revisado aún o tenido en cuenta durante una determinada fase de configuración.
Ejecute Dispatcher con un usuario del sistema dedicado run-dispatcher-with-a-dedicated-system-user
Al configurar Dispatcher, debe asegurarse de que el servidor web lo ejecute un usuario dedicado con menos privilegios. Se recomienda conceder acceso de escritura únicamente a la carpeta de caché de Dispatcher.
Además, los usuarios de IIS deben configurar su sitio web de la siguiente manera:
- En la configuración de ruta física del sitio web, seleccione Conectar como usuario específico.
- Configure el usuario.
Evite ataques de denegación de servicio (DoS) prevent-denial-of-service-dos-attacks
Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios a los que va destinado.
En el nivel de Dispatcher, existen dos métodos de configuración para evitar ataques DoS:
-
Utilice el módulo mod_rewrite (por ejemplo, Apache 2.4) para validar URL (si las reglas de patrones de URL no son demasiado complejas).
-
Impida que Dispatcher almacene en caché las direcciones URL con extensiones falsas mediante filtros.
Por ejemplo, cambie las reglas de almacenamiento en caché para limitar el almacenamiento en caché a los tipos de MIME esperados, como:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
Se puede ver un archivo de configuración de ejemplo para restringir el acceso externo, que incluye restricciones para tipos de MIME.
Para habilitar de forma segura la funcionalidad completa en las instancias de publicación, configure filtros para evitar el acceso a los siguientes nodos:
/etc/
/libs/
A continuación, configure filtros para permitir el acceso a las siguientes rutas de nodos:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS, CSS y JSON) -
/libs/cq/security/userinfo.json
(Información de usuario de CQ) -
/libs/granite/security/currentuser.json
(los datos no deben almacenarse en caché) -
/libs/cq/i18n/*
(Internalización)
Configure Dispatcher para prevenir ataques de tipo CSRF configure-dispatcher-to-prevent-csrf-attacks
AEM ofrece un marco de trabajo para evitar los ataques de falsificación de solicitudes entre sitios. Para utilizar correctamente este marco, necesita permitir el soporte de tokens CSRF en Dispatcher. Para ello:
- Crear un filtro para permitir la ruta
/libs/granite/csrf/token.json
; - Agregue el encabezado
CSRF-Token
a la secciónclientheaders
de la configuración de Dispatcher.
Impedir el clickjacking prevent-clickjacking
Para evitar el clickjacking, le recomendamos que configure su servidor web para que proporcione el encabezado X-FRAME-OPTIONS
HTTP establecido en SAMEORIGIN
.
Para obtener más información sobre el clickjacking, consulte el sitio de OWASP.
Realizar una prueba de penetración perform-a-penetration-test
Adobe recomienda encarecidamente realizar una prueba de penetración de su infraestructura de AEM antes de continuar con la producción.