DocumentaciónAEMGuía de Dispatcher

Lista de comprobación de seguridad de Dispatcher the-dispatcher-security-checklist

Last update: Thu Jul 31 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Creado para:

  • Administrador

Adobe recomienda completar la siguiente lista de comprobación antes de continuar con la producción.

CAUTION
Complete la lista de comprobación de seguridad de su versión de AEM antes de empezar. Consulte la correspondiente Documentación de Adobe Experience Manager.

Uso de la última versión de Dispatcher use-the-latest-version-of-dispatcher

Instale la versión más reciente disponible para su plataforma. Actualice la instancia de Dispatcher para utilizar la última versión y aprovechar las mejoras del producto y la seguridad. Consulte Instalación de Dispatcher.

NOTE
Puede comprobar la versión actual de la instalación de Dispatcher mirando el archivo de registro de Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Para encontrar el archivo de registro, revise la configuración de Dispatcher en su httpd.conf.

Restringir a los clientes que pueden vaciar la caché restrict-clients-that-can-flush-your-cache

Adobe recomienda que limite los clientes que pueden vaciar la caché.

Habilite HTTPS para la seguridad de la capa de transporte enable-https-for-transport-layer-security

Adobe recomienda habilitar la capa de transporte HTTPS en las instancias de autor y publicación.

Restringir el acceso restrict-access

Al configurar Dispatcher, restrinja el acceso externo en la medida de lo posible. Consulte la sección ejemplo /filtro en la documentación de Dispatcher.

Asegurarse de que se deniega el acceso a las direcciones URL administrativas make-sure-access-to-administrative-urls-is-denied

Asegúrese de utilizar filtros para bloquear el acceso externo a cualquier dirección URL administrativa, como la consola web.

Consulte la Prueba de seguridad de Dispatcher para obtener una lista de las direcciones URL que deben bloquearse.

Utilizar listas de permitidos en lugar de listas de bloqueados use-allowlists-instead-of-blocklists

Las listas de permitidos son una mejor manera de control de acceso, ya que suponen inherentemente que todas las solicitudes de acceso deben denegarse a menos que formen parte explícita de la lista de permitidos. Este modelo proporciona un control más restrictivo sobre las nuevas solicitudes que pueden no haberse revisado aún o tenido en cuenta durante una determinada fase de configuración.

Ejecutar Dispatcher con un usuario del sistema dedicado run-dispatcher-with-a-dedicated-system-user

Configure Dispatcher para que una cuenta de usuario dedicada y con menos privilegios ejecute el servidor web. Se recomienda conceder el acceso de escritura únicamente a la carpeta de caché de Dispatcher.

Además, los usuarios de IIS deben configurar su sitio web de la siguiente manera:

  1. En la configuración de ruta física del sitio web, seleccione Conectar como usuario específico.
  2. Configure el usuario.

Evitar ataques de denegación de servicio (DoS) prevent-denial-of-service-dos-attacks

Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios a los que va destinado.

En el nivel de Dispatcher, existen dos métodos de configuración para evitar ataques DoS: Filtros

  • Utilice el módulo mod_rewrite (por ejemplo, Apache 2.4) para validar la URL (si las reglas de patrones de la URL no son demasiado complejas).

  • Impida que Dispatcher almacene en caché las direcciones URL con extensiones falsas mediante filtros.
    Por ejemplo, cambie las reglas de almacenamiento en caché para limitar el almacenamiento en caché a los tipos de MIME esperados:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Se puede ver un ejemplo de archivo de configuración para restringir el acceso externo. Incluye restricciones para los tipos MIME.

Para habilitar la funcionalidad completa en las instancias de publicación, configure filtros para evitar el acceso a los siguientes nodos:

  • /etc/
  • /libs/

A continuación, configure filtros para permitir el acceso a las siguientes rutas de nodos:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS y JSON)

  • /libs/cq/security/userinfo.json (Información de usuario de CQ)

  • /libs/granite/security/currentuser.json (los datos no deben almacenarse en caché)

  • /libs/cq/i18n/* (Internalización)

Configurar Dispatcher para prevenir ataques de tipo CSRF configure-dispatcher-to-prevent-csrf-attacks

AEM ofrece un marco de trabajo para evitar los ataques de falsificación de solicitud en sitios múltiples. Para hacer un uso adecuado de este marco de trabajo, admita el token CSRF de la lista de permitidos en Dispatcher haciendo lo siguiente:

  1. Crear un filtro para permitir la ruta /libs/granite/csrf/token.json;
  2. Agregue el encabezado CSRF-Token a la sección clientheaders de la configuración de Dispatcher.

Impedir el clickjacking prevent-clickjacking

Para evitar los ataques de clickjacking, Adobe recomienda que configure su servidor web para que proporcione el encabezado X-FRAME-OPTIONSHTTP establecido en SAMEORIGIN.

Para obtener más información sobre los ataques de clickjacking, consulte el sitio de OWASP.

Realizar una prueba de penetración perform-a-penetration-test

Adobe recomienda realizar una prueba de penetración de su infraestructura de AEM antes de continuar con la producción.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5