Sitecore – Reforçando a segurança

Avatar de Vinicius

No post anterior, eu auxilei cada passo para que você pudesse adicionar o arquivo license.xml na pasta Data baseado nas recomendações da Sitecore, o que significa colocar a pasta /Data no mesmo nível que a pasta principal /Website.

Dito isto, o que você não estava ciente no meu último post, apesar de ter sido um caminho sem muitos problemas, o que você não imaginou era que ao seguir a documentação da Sitecore você de fato estava reforçando a segurança da sua instalação!

“Nossa! Você tá falando sério?” Sim, pode apostar que sim! Então, se você não sabe exatamente do que eu estou falando, eu recomendo que você leia meu post sobre Instalação Sitecore – dicas e truques #2.

Muito bem, senhoras e senhores, continuando… Bom, como você deve saber existe um termo chamado hardening, o qual reduz a superfície de ataque ao desabilitar funcionalidades que não são necessárias para manter a funcionalidade mínima.

“Espera um minuto! Você está me dizendo que a minha instalação Sitecore vai rodar com capacidade minima para aumentar a segurança?????” Não, de jeito nenhum!

Pense que você tem um portão na sua casa, você deixaria ele aberto o dia inteiro? Logo, alguém poderia simplesmente entrar? Então, a ideia na definição de hardening vai de encontro com a mencionada acima, pois se você der um controle remoto para abrir o portão apenas para pessoas autorizadas e mantê-lo fechado, o portão não vai estar operando na sua capacidade mínima? Não, de jeito nenhum! Ao dar o controle para algumas pessoas, você criou um “Controle de Acesso” e, em outras palavras,  você reforçou a segurança do portão!!! (ISSO!)

Agora, de volta aos trabalhos 🙂

“Sitecore recomenda que você siga todas as instruções para reforçar a segurança descritas nas documentações do Sitecore”

No post de hoje, vou guiá-lo para negar acesso anônimo em pastas importantes do Sitecore, que são:

  • /App_Config
  • /sitecore/admin
  • /sitecore/debug
  • /sitecore/shell/WebService

Primeiro, abra o Internet Information Services (IIS) e vá até Sites, instância Sitecore (e.g. MySitecore)

Agora, verifique as imagens abaixo e localize as pastas mencionadas antes

Perfeito, tudo no seu devido lugar, certo? Ótimo, seguindo….

Importante: Eu recomendo verificar se o Sitecore está funcionando sem qualquer problema antes de continuar.

1. Volte para a instância Sitecore, no meu caso MySitecore

2. Vamos pasta por pasta e NEGAR acesso anônimo

3. Procure por App_Config e selecione-a

4. Uma vez que App_Config está selecionada, olhe a sua direita e procure Autenticação (Authentication)

Importante: Como você pode ver App_Config Home está destacado em verde, o que nos informa que as mudanças a seguir serão feitas nesta pasta (App_Config) e replicada para tudo abaixo.

5. Na parte de Autenticação, você vai ver vários métodos disponíveis

6. Procure pelo Anonymous Authentication, selecione-o e no painel Ações (Actions) a sua direita clique Desabilitar

7. Uma vez que você desabilitou o acesso anônimo para App_Config, a sua esquerda clique Nome-do-Seu-Servidor, no meu caso IIS-Sitecore

8. Agora, com IIS-Sitecore selecionado, no painel de Ações (Actions) a sua direita clique Reiniciar (Restart)

“Pronto? Está funcionando?” Vamos testar e ter certeza….

“ISSO! FUNCIONOU!” Bom, não tão rápido amigo – DESCULPE! Como você pode ver, a página 404 é fornecida pelo próprio Sitecore. Eu diria, nada mais justo pois não temos qualquer nenhum arquivo ASPX disponível nesta pasta, até mesmo se você tentasse antes de todo o processo esta página ainda apareceria.

“O QUE?!?! Porque eu devo negar Acesso Anônimo se o Sitecore já coloca uma página de erro 404 que protege meu site?”

A pasta App_Config contém muitos arquivos de configuração importante para a sua instância Sitecore. Também, vamos imaginar que você tem um arquivo, por exemplo um TXT, dentro da pasta App_Config chamado ConnectionStrings.config.backup.TXT e tentamos abrir o caminho completo no navegador

  • Acesse http://seu-sitecore.local/App_Config/ConnectionStrings.config.backup.TXT

post3_11

NOSSA! Agora você está feliz que seguiu as recomendações Sitecore, não está? Dá pra imaginar que o seu arquivo TXT estaria exposto?

Apesar do Sitecore em sua forma padrão evitar o acesso anônimo as pastas colocando o erro “O documento solicitado não foi encontrado”, isto não vai garantir que o seu conteúdo possua uma camada extra de segurança.

Agora que você terminou, testou e teve o resultado para App_Config, você precisa repetir os passos 1-8 para as pastas: /Sitecore/admin, /Sitecore/debug e /Sitecore/Shell/WebService

Ainda comigo? Legal! Mantenha em mente que os passos listados neste post são recomendados para todas as instâncias Sitecore, não importa qual função irão excercer.

É isso ai! Obrigado pela leitura e vejo você no meu próximo post!

 

Tagged in :

Avatar de Vinicius

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *