Das Apache JServ Protocol (AJP) ist ein Binärpotokoll, das eingehende Anfragen von einem Webserver an einen dahinter liegenden Anwendungsserver weiterleitet. AJP ist ein höchst vertrauenswürdiges Protokoll. Es darf keinen nicht vertrauenswürdigen Clients zur Verfügung gestellt werden, da diese Zugriff auf vertrauliche Informationen erhalten oder Code auf dem Applikationsserver ausführen könnten.
ARIS verwendet AJP für die Kommunikation zwischen dem Runnable loadbalancer, das auf Apache HTTPD basiert, und ARIS-Anwendungen, die auf Apache Tomcat basieren. Die Verwendung des angreifbaren Tomcat AJP Connector ist zwingend notwendig und dieser muss für ARIS-Anwendungen aktiviert bleiben.
Wenn Sie ARIS Server gemäß unseren Empfehlungen installiert haben, können Sie durch das Festlegen von entsprechenden Firewall-Regeln den Zugriff auf die Ports aller Runnables blockieren, außer auf HTTP- und HTTPS-Ports, die vom Runnable loadbalancer genutzt werden. Diese HTTP- und HTTPS-Ports sind standardmäßig die Ports 80 und 443 unter Windows und 1080 und 1443 unter Linux.
Um einen unbefugten Zugriff zu verhindern, prüfen Sie, ob die AJP-Ports Ihrer ARIS-Installationen nur über Netzwerke zugänglich sind, über die Benutzer auf ARIS zugreifen. Der ACC-Befehl show node gibt eine Übersicht über offene AJP-Ports. Es werden alle Ports aufgelistet, die von ARIS-Runnables verwendet werden. Der Parameter connector.ajp.port (in früheren ARIS-Versionen CATALINA_AJP_PORT genannt) identifiziert AJP-Ports. Wenn auf einen dieser Ports über ein externes Netzwerk zugegriffen werden kann, müssen Sie den Zugriff mithilfe Ihrer Firewall sofort blockieren.
Wichtig: Wenn Ihr ARIS-System eine Installation mit mehreren Knoten ist, müssen die AJP-Ports geöffnet bleiben, damit ein Datentransfer zwischen den Knoten stattfinden kann. Diese offenen AJP-Ports stellen keine Sicherheitslücke dar, weil verteilte ARIS-Installationen immer durch eine Firewall geschützt werden müssen.