Recommandation de sécurité : Bloquez les ports Block AJP

Le protocole Apache JServ (AJP) est un protocole binaire qui peut rediriger les requêtes entrantes d'un serveur Web vers un serveur d'applications derrière le serveur Web. AJP est un protocole de grande confiance. Il ne doit pas être mis à la disposition de clients non fiables, car ils pourraient accéder à des informations confidentielles ou exécuter du code sur le serveur d'applications.

ARIS utilise AJP pour la communication entre le runnable loadbalancer basé sur Apache HTTPD et les applications ARIS basées sur un Apache Tomcat. Le connecteur Tomcat AJP vulnérable est obligatoire et doit rester actif pour les applications ARIS.

Si vous avez installé ARIS Server conformément à nos recommandations, vous pouvez bloquer l'accès aux ports de tous les runnables sauf les ports HTTP et HTTPS utilisés par le runnable loadbalancer en réglant les règles de firewall appropriées. Par défaut, ces ports HTTP et HTTPS sont 80 et 443 sur les systèmes d'exploitation Windows et 1080 et 1443 sur les systèmes d'exploitation Linux.

Pour empêcher un accès non autorisé, vérifiez que les ports AJP de vos installations ARIS sont uniquement accessibles depuis les réseaux depuis lesquels les utilisateurs accèdent à ARIS. La commande ACC afficher nœud vous donne un aperçu des ports AJP ouverts. Elle énumère tous les ports utilisés par les runnables d'ARIS. Le paramètre connector.ajp.port (appelé dans les anciennes versions d'ARIS CATALINA_AJP_PORT) identifie les ports AJP. Si un de ces ports est accessible depuis un réseau externe, vous devez en bloquer immédiatement l'accès par votre firewall.

Important : Si votre système ARIS est une installation à plusieurs nœuds, les ports AJP doivent rester ouverts pour le transfert de données entre plusieurs nœuds. Ces ports AJP ouverts ne représentent pas une lacune de sécurité, parce que les installations ARIS distribuées doivent toujours être protégées par un firewall.