Beveiligingszones definiëren (op locatie) defining-security-zones
Elke exploitant moet met een streek worden verbonden om aan een geval te login en exploitant IP moet in de adressen of adresreeksen worden omvat die in de veiligheidsstreek worden bepaald. Configuratie van de beveiligingszone wordt uitgevoerd in het configuratiebestand van de Adobe Campaign-server.
De exploitanten worden verbonden met een veiligheidsstreek van zijn profiel in de console, die in Administration > Access management > Operators knooppunt. Meer informatie.
Beveiligingszones maken creating-security-zones
Een zone wordt gedefinieerd door:
- één of meerdere waaiers van IP adressen (IPv4 en IPv6)
- een technische naam verbonden aan elke waaier van IP adressen
Beveiligingszones zijn onderling vergrendeld, wat betekent dat het definiëren van een nieuwe zone binnen een andere zone het aantal operatoren verlaagt dat zich daarop kan aanmelden, terwijl de rechten die aan elke operator zijn toegewezen, worden vergroot.
Zones moeten tijdens de serverconfiguratie worden gedefinieerd, in de serverConf.xml bestand. Alle parameters die beschikbaar zijn in het dialoogvenster serverConf.xml zijn vermeld in deze sectie.
Elke zone definieert rechten, zoals:
- HTTP-verbinding in plaats van HTTPS
- Foutweergave (Java-fouten, JavaScript, C++, enz.)
- Voorvertoning van rapport en webApp
- Verificatie via inlognaam/wachtwoord
- Niet-beveiligde verbindingsmodus
Het IP van de exploitant adres kan in verscheidene streken worden bepaald. In dit geval ontvangt de exploitant de set van de beschikbare rechten voor elke zone.
De out-of-the-box serverConf.xml bestand bevat drie zones: public, VPN en LAN.
Voorbeeld van het definiëren van een zone in het deelvenster serverConf.xml bestand:
<securityZone allowDebug="false" allowHTTP="false" label="Public Network" name="public">
<subNetwork label="All addresses" mask="*" name="all"/>
<securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)"
name="vpn" showErrors="true">
<securityZone allowDebug="true" allowEmptyPassword="true" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)" name="lan"
sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
<subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
<subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
<subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
<subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
<subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
</securityZone>
</securityZone>
</securityZone>
Alle rechten die een zone definiëren, zijn als volgt:
- allowDebug: hiermee kan een webApp worden uitgevoerd in de modus "foutopsporing"
- allowEmptyPassword: hiermee wordt een verbinding met een instantie zonder wachtwoord toegestaan
- allowHTTP: een sessie kan worden gemaakt zonder het HTTPS-protocol te gebruiken
- allowUserPassword: de sessietoken kan de volgende vorm hebben "
<login>/<password>
" - sessionTokenOnly: het beveiligingstoken is niet vereist in de verbindings-URL
- showErrors: fouten aan de serverzijde worden doorgestuurd en weergegeven
Wanneer het gebruiken van het Centrum van het Bericht, als er verscheidene uitvoeringsinstanties zijn, moet u een extra veiligheidsstreek met tot stand brengen sessionTokenOnly kenmerk gedefinieerd als true, waarbij alleen de noodzakelijke IP-adressen moeten worden toegevoegd. Raadpleeg voor meer informatie over het configureren van instanties dit document.
Aanbevolen procedures voor beveiligingszones best-practices-for-security-zones
In de definitie van lan veiligheidszone, is het mogelijk om een IP adresmasker toe te voegen dat technische toegang bepaalt. Hierdoor wordt toegang mogelijk tot alle instanties die op de server worden gehost.
<securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)" name="lan"
sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
<subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
<subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
<subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
<subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
<subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
<!-- Customer internal IPs -->
<subNetwork id="internalNetwork" mask="a.b.c.d/xx"/>
</securityZone>
Wij adviseren direct bepalend IP adreswaaiers in het configuratiedossier dat aan de instantie voor exploitanten wordt gewijd die tot slechts een specifieke instantie toegang hebben.
In de config-<instance>.xml
bestand:
<securityZone name="public">
...
<securityZone name="vpn">
<subNetwork id="cus1" mask="a.b.c.d/xx"/>
Subnetwerken en proxy's in een beveiligingszone sub-networks-and-proxies-in-a-security-zone
De proxy parameter kan in een subNetwork -element om het proxygebruik in een beveiligingszone op te geven.
Wanneer naar een proxy wordt verwezen en een verbinding via deze proxy wordt ingeschakeld (zichtbaar via de HTTP X-Forwarded-For-header), is de geverifieerde zone die van de clients van de proxy en niet die van de proxy.
<subnetwork label="Lan 1" mask="192.168.0.0/16" name="lan1" proxy="127.0.0.1,10.100.2.135" />
".Er kunnen verschillende gevallen optreden:
-
Er wordt rechtstreeks verwezen naar een subnetwerk in de beveiligingszone en er wordt geen proxy geconfigureerd: gebruikers van het subnetwerk kunnen rechtstreeks verbinding maken met de Adobe Campaign-server.
-
Er is een proxy opgegeven voor een subnetwerk in de beveiligingszone: gebruikers van dit subnetwerk hebben via deze proxy toegang tot de Adobe Campaign-server.
-
Een proxy is opgenomen in een subnetwerk voor een beveiligingszone: gebruikers die toegang hebben via deze proxy, ongeacht hun oorsprong, hebben toegang tot de Adobe Campaign-server.
Het IP-adres van proxy's die waarschijnlijk toegang zullen krijgen tot de Adobe Campaign-server, moet worden ingevoerd in het dialoogvenster <subnetwork>
betrokken en het eerste niveau subnetwork <subnetwork name="all"/>
. Bijvoorbeeld, hier voor een volmacht de waarvan IP adres 10.131.146.102 is:
<securityZone allowDebug="false" allowHTTP="false" label="Public Network"
name="public">
<subNetwork label="All addresses" mask="*" name="all"
proxy="10.131.146.102,127.0.0.1, ::1"/>
<securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)"
name="vpn" showErrors="true">
<securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true"
allowUserPassword="false" label="Private Network (LAN)"
name="lan" sessionTokenOnly="true" showErrors="true">
<subNetwork label="Lan proxy" mask="10.131.193.182" name="lan3"
proxy="10.131.146.102,127.0.0.1, ::1"/>
<subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"
proxy="127.0.0.1, ::1"/>
</securityZone>
</securityZone>
</securityZone>
Een beveiligingszone koppelen aan een operator linking-a-security-zone-to-an-operator
Zodra de streken worden bepaald, moet elke exploitant met één van hen worden verbonden om aan een instantie te kunnen het programma openen en het IP adres van de exploitant moet in de adressen of de waaier van adressen inbegrepen zijn die in de streek van verwijzingen worden voorzien.
De technische configuratie van de zones wordt uitgevoerd in het configuratiebestand van de Campagneserver: serverConf.xml.
Voorafgaand aan dit, moet u beginnen door uit-van-de-doos te vormen Security zone opsomming voor koppeling van een label aan de interne naam van de zone die is gedefinieerd in het dialoogvenster serverConf.xml bestand.
Deze configuratie wordt gedaan in de ontdekkingsreiziger van de Campagne:
-
Klik op de knop Administration > Platform > Enumerations knooppunt.
-
Selecteer de Security zone (securityZone) systeemopsomming.
-
Voor elke die veiligheidsstreek in het configuratiedossier van de server wordt bepaald, klik Add knop.
-
In de Internal name veld, voert u de naam in van de zone die is gedefinieerd in het dialoogvenster serverConf.xml bestand. Het komt overeen met de @name kenmerk van de
<securityzone>
element. Voer het label dat is gekoppeld aan de interne naam in het dialoogvenster Label veld. -
Klik op OK en sla de wijzigingen op.
Zodra de zones zijn gedefinieerd en de Security zone de opsomming wordt gevormd, moet u elke exploitant aan een veiligheidsstreek verbinden:
-
Klik op de knop Administration > Access management > Operators knooppunt.
-
Selecteer de operator waaraan u een beveiligingszone wilt koppelen en klik op de knop Edit tab.
-
Ga naar de Access rights en klik op de knop Edit access parameters… koppeling.
-
Selecteer een zone in het menu Authorized connection zone vervolgkeuzelijst
-
Klikken OK en sla de wijzigingen op om deze wijzigingen toe te passen.
Aanbevelingen
-
Zorg ervoor dat de reverse-proxy niet is toegestaan in subNetwork. Zo ja, alles verkeer zal worden ontdekt zoals komend van dit lokale IP, zodat zal worden vertrouwd.
-
Gebruik sessionTokenOnly="true" minimaliseren:
- Waarschuwing: als dit kenmerk is ingesteld op true, kan de operator worden blootgesteld aan een CRSF-aanval.
- Bovendien wordt het sessionToken cookie niet ingesteld met een httpOnly-markering, zodat sommige JavaScript-code aan de clientzijde deze kan lezen.
- Nochtans vereist het Centrum van het Bericht op veelvoudige uitvoeringscellen sessionTokenOnly: creeer een nieuwe veiligheidsstreek met sessionTokenOnly die aan "waar"wordt geplaatst en voeg toe alleen de benodigde IP('s) in deze zone.
-
Indien mogelijk, plaats allen allowHTTP, showErrors om vals (niet voor localhost) te zijn en hen te controleren.
- allowHTTP = "false": hiermee worden operators gedwongen HTTPS te gebruiken
- showErrors = "false": verbergt technische fouten (inclusief SQL-fouten). Het verhindert het tonen van teveel informatie, maar vermindert het vermogen voor de teller om fouten op te lossen (zonder om meer informatie van een beheerder te vragen)
-
Plaats allowDebug aan waar slechts op IPs die door marketing gebruikers/beheerders wordt gebruikt die (in feite voorproef) onderzoeken, webApps en rapporten moeten tot stand brengen. Deze vlag staat deze IPs toe om relaisregels te krijgen die worden getoond en hen te zuiveren.
-
Wanneer allowDebug is ingesteld op false, wordt de uitvoer als volgt ingesteld:
code language-none <redir status='OK' date='...' sourceIP='...'/>
-
Wanneer allowDebug op true is ingesteld, wordt de uitvoer als volgt uitgevoerd:
code language-none <redir status='OK' date='...' build='...' OR version='...' sha1='...' instance='...' sourceIP='...' host='...' localHost='...'/>
-
-
Stel allowEmptyPassword, allowUserPassword, allowSQLInjection nooit in op true.
-
allowEmptyPassword Laat exploitanten een leeg wachtwoord hebben. Als dit voor u het geval is, breng al uw exploitanten op de hoogte om hen te vragen om een wachtwoord met een deadline te plaatsen. Als deze deadline is verstreken, wijzigt u dit kenmerk in false.
-
allowUserPassword Laat exploitanten hun geloofsbrieven als parameters verzenden (zodat zullen zij door apache/IIS/proxy worden geregistreerd). Deze functie is in het verleden gebruikt om het gebruik van de API te vereenvoudigen. U kunt in uw kookboek (of in de specificatie) controleren of sommige derdetoepassingen dit gebruiken. Als dat het geval is, moet u de gebruiker een melding sturen om de manier waarop hij of zij de API gebruikt te wijzigen en deze functie zo snel mogelijk verwijderen.
-
allowSQLInjection Hiermee kan de gebruiker SQL-injecties uitvoeren met een oude syntaxis. Dit kenmerk moet op false worden ingesteld. U kunt /nl/jsp/ping.jsp gebruiken?zones=true om uw configuratie van de veiligheidsstreek te controleren. Deze pagina toont de actieve status van veiligheidsmaatregelen (die met deze veiligheidsvlaggen worden gegevens verwerkt) voor huidige IP.
-
-
HttpOnly cookie/useSecurityToken: zie sessionTokenOnly markering.
-
Minimaliseer IPs die aan de lijst van gewenste personen wordt toegevoegd: Uit de doos, in veiligheidsstreken, hebben wij de 3 waaiers voor privé netwerken toegevoegd. Het is onwaarschijnlijk dat u al deze IP adressen zult gebruiken. Bewaar dus alleen die dingen die je nodig hebt.
-
webApp/internal-operator bijwerken zodat deze alleen toegankelijk is in localhost.