Sitecore

Sitecore – Fortaleciendo la seguridad

En publicación anterior, te expliqué cada paso para que pudieras agregar el archivo license.xml en la carpeta Data basado en las recomendaciones de Sitecore, lo que significa colocar la carpeta /Data en el mismo nivel que la carpeta principal /Website.

Dicho esto, lo que no estabas al tanto en mi último post, a pesar de haber sido un camino sin muchos problemas, es que al seguir la documentación de Sitecore de hecho estabas reforzando la seguridad de tu instalación.

“¿En serio? ¿Qué estás diciendo?” Sí, puedes apostar que sí. Entonces, si no sabes exactamente de qué hablo, te recomiendo que leas mi post sobre Instalación Sitecore – tips y trucos #2.

Muy bien, señoras y señores, continuando… Bueno, como deben saber existe un término llamado hardening, que reduce la superficie de ataque deshabilitando funcionalidades que no son necesarias para mantener la funcionalidad mínima.

“¡Espera un minuto! ¿Me estás diciendo que mi instalación de Sitecore va a funcionar con capacidad mínima para aumentar la seguridad?” No, de ninguna manera!

Piensa que tienes una puerta en tu casa; ¿la dejarías abierta todo el día? ¿Alguien podría entrar? Entonces, la idea en la definición de hardening va en línea con lo anterior, pues si das control remoto para abrir la puerta solo a personas autorizadas y la mantienes cerrada, ¿la puerta estará operando a su capacidad mínima? No, de ninguna manera! Al dar el control a algunas personas, creaste un “Control de Acceso” y, en otras palabras, reforzaste la seguridad de la puerta!!! (¡ESO!)

Ahora, de vuelta al trabajo 🙂

“Sitecore recomienda que sigas todas las instrucciones para reforzar la seguridad descritas en la documentación de Sitecore”

En la entrada de hoy, te voy a guiar para negar el acceso anónimo en carpetas importantes de Sitecore, que son:

  • /App_Config
  • /sitecore/admin
  • /sitecore/debug
  • /sitecore/shell/WebService

Primero, abre Internet Information Services (IIS) y ve a Sitios, instancia Sitecore (p. ej. MySitecore)

Ahora, revisa las imágenes a continuación y localiza las carpetas mencionadas antes

Perfecto, ¿todo en su lugar, verdad? Genial, continuemos….

Importante: Recomiendo verificar que Sitecore esté funcionando sin problemas antes de continuar.

1. Regresa a la instancia Sitecore, en mi caso MySitecore

2. Vamos carpeta por carpeta y NEGAR acceso anónimo

3. Busca App_Config y selecciónala

4. Una vez que App_Config está seleccionada, mira a tu derecha y busca Autenticación (Authentication)

Importante: Como puedes ver, App_Config Home está destacado en verde, lo que nos informa que los cambios a continuación se harán en esta carpeta (App_Config) y se replicarán para todo lo que esté debajo.

5. En la sección de Autenticación, verás varios métodos disponibles

6. Busca Anonymous Authentication, selecciónalo y en el panel Acciones (Actions) a tu derecha haz clic en Deshabilitar

7. Una vez que deshabilitaste el acceso anónimo para App_Config, haz clic en Nombre-del-Servidor a la izquierda, en mi caso IIS-Sitecore

8. Ahora, con IIS-Sitecore seleccionado, en el panel de Acciones (Actions) a tu derecha haz clic en Reiniciar (Restart)

“¿Listo? ¿Funciona?” Probemos y asegurémonos….

“¡ESO! FUNCIONÓ!” Bueno, no tan rápido amigo – ¡DISCULPA! Como puedes ver, la página 404 es proporcionada por Sitecore. Diría, no menos justo porque no tenemos ningún archivo ASPX disponible en esta carpeta; incluso si intentaras hacerlo antes de todo el proceso, esa página aún aparecería.

“¿QUÉ?!?! Por qué debo negar el Acceso Anónimo si Sitecore ya coloca una página de error 404 que protege mi sitio?”

La carpeta App_Config contiene muchos archivos de configuración importantes para tu instancia Sitecore. Además, imaginemos que tienes un archivo, por ejemplo un TXT, dentro de la carpeta App_Config llamado ConnectionStrings.config.backup.TXT y intentamos abrir la ruta completa en el navegador

post3_11

¡VAYA! Ahora estás contento de haber seguido las recomendaciones de Sitecore, ¿verdad? ¿Puedes imaginar que tu archivo TXT podría estar expuesto?

Aunque Sitecore, en su forma predeterminada, evita el acceso anónimo a las carpetas mostrando el error “El documento solicitado no se encontró”, esto no garantiza que tu contenido tenga una capa extra de seguridad.

Ahora que terminaste, probaste y obtuviste el resultado para App_Config, necesitas repetir los pasos 1-8 para las carpetas: /Sitecore/admin, /Sitecore/debug y /Sitecore/Shell/WebService

¿Aún contigo? ¡Genial! Ten en cuenta que los pasos listados en este post son recomendados para todas las instancias de Sitecore, no importa qué función deban ejercer.

¡Eso es todo! Gracias por leer y nos vemos en mi próximo post.

Sitecore
Sitecore – Fortaleciendo la seguridad — Vinicius Deschamps