Lista de comprobación de seguridad de Dispatcher the-dispatcher-security-checklist
Adobe recomienda completar la siguiente lista de comprobación antes de continuar con la producción.
Utilice la última versión de Dispatcher use-the-latest-version-of-dispatcher
Instale la versión más reciente disponible para su plataforma. Actualice la instancia de Dispatcher para utilizar la última versión y aprovechar las mejoras del producto y la seguridad. Consulte Instalación de Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
.Restrinja clientes que puedan vaciar la caché restrict-clients-that-can-flush-your-cache
Adobe recomienda que limite los clientes que pueden vaciar la caché.
Habilite HTTPS para la seguridad de la capa de transporte enable-https-for-transport-layer-security
Adobe recomienda habilitar la capa de transporte HTTPS en las instancias de autor y publicación.
Restrinja el acceso restrict-access
Al configurar Dispatcher, restrinja el acceso externo en la medida de lo posible. Consulte Ejemplo de sección /filter en la documentación de Dispatcher.
Asegúrese de que se deniegue el acceso a las direcciones URL administrativas make-sure-access-to-administrative-urls-is-denied
Asegúrese de utilizar filtros para bloquear el acceso externo a cualquier dirección URL administrativa, como la consola web.
Consulte la Prueba de seguridad de Dispatcher para obtener una lista de las direcciones URL que deben bloquearse.
Utilice Listas de permitidos en lugar de Listas de bloqueados use-allowlists-instead-of-blocklists
Las listas de permitidos son una mejor manera de controlar el acceso, ya que suponen inherentemente que todas las solicitudes de acceso deben denegarse a menos que formen parte explícita de la lista de permitidos. Este modelo proporciona un control más restrictivo sobre las nuevas solicitudes que pueden no haberse revisado aún o tenido en cuenta durante una determinada fase de configuración.
Ejecute Dispatcher con un usuario del sistema dedicado run-dispatcher-with-a-dedicated-system-user
Al configurar Dispatcher, debe asegurarse de que al servidor web lo ejecute un usuario específico con menos privilegios. Se recomienda conceder el acceso de escritura únicamente a la carpeta de caché de Dispatcher.
Además, los usuarios de IIS deben configurar su sitio web de la siguiente manera:
- En la configuración de ruta física del sitio web, seleccione Conectar como usuario específico.
- Configure el usuario.
Evite ataques de denegación de servicio (DoS) prevent-denial-of-service-dos-attacks
Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios a los que va destinado.
En el nivel de Dispatcher, existen dos métodos de configuración para evitar ataques DoS: Filtros
-
Utilice el módulo mod_rewrite (por ejemplo, Apache 2.4) para validar la URL (si las reglas de patrones de la URL no son demasiado complejas).
-
Impida que Dispatcher almacene en caché las direcciones URL con extensiones falsas mediante filtros.
Por ejemplo, cambie las reglas de almacenamiento en caché para limitar el almacenamiento en caché a los tipos de MIME esperados:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
Se puede ver un ejemplo de archivo de configuración para restringir el acceso externo. Incluye restricciones para los tipos MIME.
Para habilitar la funcionalidad completa en las instancias de publicación, configure filtros para evitar el acceso a los siguientes nodos:
/etc/
/libs/
A continuación, configure filtros para permitir el acceso a las siguientes rutas de nodos:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS, CSS y JSON) -
/libs/cq/security/userinfo.json
(Información de usuario de CQ) -
/libs/granite/security/currentuser.json
(los datos no deben almacenarse en caché) -
/libs/cq/i18n/*
(Internalización)
Configure Dispatcher para prevenir ataques de tipo CSRF configure-dispatcher-to-prevent-csrf-attacks
AEM ofrece un marco de trabajo para evitar los ataques de falsificación de solicitudes entre sitios. Para hacer un uso adecuado de este marco de trabajo, admita el token CSRF de la lista de permitidos en Dispatcher haciendo lo siguiente:
- Crear un filtro para permitir la ruta
/libs/granite/csrf/token.json
; - Agregue el encabezado
CSRF-Token
a la secciónclientheaders
de la configuración de Dispatcher.
Impedir el clickjacking prevent-clickjacking
Para evitar los ataques de clickjacking, Adobe recomienda que configure su servidor web para que proporcione el encabezado X-FRAME-OPTIONS
HTTP establecido en SAMEORIGIN
.
Para obtener más información sobre los ataques de clickjacking, consulte el sitio de OWASP.
Realizar una prueba de penetración perform-a-penetration-test
Adobe recomienda encarecidamente realizar una prueba de penetración de su infraestructura de AEM antes de continuar con la producción.