Lista de comprobación de seguridad de Dispatcher the-dispatcher-security-checklist

Adobe recomienda completar la siguiente lista de comprobación antes de continuar con la producción.

CAUTION
Complete la lista de comprobación de seguridad de su versión de AEM antes de empezar. Consulte la correspondiente Documentación de Adobe Experience Manager.

Utilice la última versión de Dispatcher use-the-latest-version-of-dispatcher

Instale la versión más reciente disponible para su plataforma. Actualice la instancia de Dispatcher para utilizar la última versión y aprovechar las mejoras del producto y la seguridad. Consulte Instalación de Dispatcher.

NOTE
Puede comprobar la versión actual de la instalación de Dispatcher mirando el archivo de registro de Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Para encontrar el archivo de registro, revise la configuración de Dispatcher en su httpd.conf.

Restrinja clientes que puedan vaciar la caché restrict-clients-that-can-flush-your-cache

Adobe recomienda que limite los clientes que pueden vaciar la caché.

Habilite HTTPS para la seguridad de la capa de transporte enable-https-for-transport-layer-security

Adobe recomienda habilitar la capa de transporte HTTPS en las instancias de autor y publicación.

Restrinja el acceso restrict-access

Al configurar Dispatcher, restrinja el acceso externo en la medida de lo posible. Consulte Ejemplo de sección /filter en la documentación de Dispatcher.

Asegúrese de que se deniegue el acceso a las direcciones URL administrativas make-sure-access-to-administrative-urls-is-denied

Asegúrese de utilizar filtros para bloquear el acceso externo a cualquier dirección URL administrativa, como la consola web.

Consulte la Prueba de seguridad de Dispatcher para obtener una lista de las direcciones URL que deben bloquearse.

Utilice Listas de permitidos en lugar de Listas de bloqueados use-allowlists-instead-of-blocklists

Las listas de permitidos son una mejor manera de controlar el acceso, ya que suponen inherentemente que todas las solicitudes de acceso deben denegarse a menos que formen parte explícita de la lista de permitidos. Este modelo proporciona un control más restrictivo sobre las nuevas solicitudes que pueden no haberse revisado aún o tenido en cuenta durante una determinada fase de configuración.

Ejecute Dispatcher con un usuario del sistema dedicado run-dispatcher-with-a-dedicated-system-user

Al configurar Dispatcher, debe asegurarse de que al servidor web lo ejecute un usuario específico con menos privilegios. Se recomienda conceder el acceso de escritura únicamente a la carpeta de caché de Dispatcher.

Además, los usuarios de IIS deben configurar su sitio web de la siguiente manera:

  1. En la configuración de ruta física del sitio web, seleccione Conectar como usuario específico.
  2. Configure el usuario.

Evite ataques de denegación de servicio (DoS) prevent-denial-of-service-dos-attacks

Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios a los que va destinado.

En el nivel de Dispatcher, existen dos métodos de configuración para evitar ataques DoS: Filtros

  • Utilice el módulo mod_rewrite (por ejemplo, Apache 2.4) para validar la URL (si las reglas de patrones de la URL no son demasiado complejas).

  • Impida que Dispatcher almacene en caché las direcciones URL con extensiones falsas mediante filtros.
    Por ejemplo, cambie las reglas de almacenamiento en caché para limitar el almacenamiento en caché a los tipos de MIME esperados:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Se puede ver un ejemplo de archivo de configuración para restringir el acceso externo. Incluye restricciones para los tipos MIME.

Para habilitar la funcionalidad completa en las instancias de publicación, configure filtros para evitar el acceso a los siguientes nodos:

  • /etc/
  • /libs/

A continuación, configure filtros para permitir el acceso a las siguientes rutas de nodos:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS y JSON)

  • /libs/cq/security/userinfo.json (Información de usuario de CQ)

  • /libs/granite/security/currentuser.json (los datos no deben almacenarse en caché)

  • /libs/cq/i18n/* (Internalización)

Configure Dispatcher para prevenir ataques de tipo CSRF configure-dispatcher-to-prevent-csrf-attacks

AEM ofrece un marco de trabajo para evitar los ataques de falsificación de solicitudes entre sitios. Para hacer un uso adecuado de este marco de trabajo, admita el token CSRF de la lista de permitidos en Dispatcher haciendo lo siguiente:

  1. Crear un filtro para permitir la ruta /libs/granite/csrf/token.json;
  2. Agregue el encabezado CSRF-Token a la sección clientheaders de la configuración de Dispatcher.

Impedir el clickjacking prevent-clickjacking

Para evitar los ataques de clickjacking, Adobe recomienda que configure su servidor web para que proporcione el encabezado X-FRAME-OPTIONSHTTP establecido en SAMEORIGIN.

Para obtener más información sobre los ataques de clickjacking, consulte el sitio de OWASP.

Realizar una prueba de penetración perform-a-penetration-test

Adobe recomienda encarecidamente realizar una prueba de penetración de su infraestructura de AEM antes de continuar con la producción.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5