Vérifier les ports AJP ouverts (vulnérabilité Ghostcat)

Pour empêcher un accès non autorisé, vérifiez que les ports AJP de vos installations ARIS sont uniquement accessibles depuis les réseaux depuis lesquels les utilisateurs accèdent à ARIS.

Procédure

  1. Démarrer ARIS Cloud Controller (ACC).

  2. Pour vérifier les ports utilisés par des runnables, saisissez afficher nœud

    La liste s'affiche. Naviguez jusqu'à la section des ports utilisés connus.

    Port Runnable Paramètre de port

    443 loadbalancer_m HTTPD.ssl.port Défini explicitement

    1080 loadbalancer_m HTTPD.port Défini explicitement

    14200 cloudsearch_m zookeeper.application.instance.port Défini explicitement

    14201 cloudsearch_m JAVA-DCSHTTPPORT Défini explicitement

    14206 cloudsearch_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14220 elastic_m ELASTICSEARCH.http.port Défini explicitement

    14226 elastic_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14230* elastic_m ELASTICSEARCH.transport.tcp.port Défini explicitement

    14240 postgres_m postgresql.port Défini explicitement

    14250 cdf_m connector.http.port Défini explicitement

    14251 cdf_m connector.ajp.port Défini explicitement

    14256 cdf_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14281 zoo_m clientPort DÉFAUT

    14296 zoo_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14400 abs_m connector.http.port Défini explicitement

    14401 abs_m connector.ajp.port Défini explicitement

    14406 abs_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14410 adsadmin_m connector.http.port Défini explicitement

    14411 adsadmin_m connector.ajp.port Défini explicitement

    14416 adsadmin_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14420 apg_m connector.http.port Défini explicitement

    14421 apg_m connector.ajp.port Défini explicitement

    14426 apg_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14430 copernicus_m connector.http.port Défini explicitement

    14431 copernicus_m connector.ajp.port Défini explicitement

    14436 copernicus_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14440 ecp_m connector.http.port Défini explicitement

    14441 ecp_m connector.ajp.port Défini explicitement

    14446 ecp_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14450 hds_m connector.http.port Défini explicitement

    14451 hds_m connector.ajp.port Défini explicitement

    14456 hds_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14460 octopus_m connector.http.port Défini explicitement

    14461 octopus_m connector.ajp.port Défini explicitement

    14466 octopus_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14470 simulation_m connector.http.port Défini explicitement

    14471 simulation_m connector.ajp.port Défini explicitement

    14476 simulation_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14480 umcadmin_m connector.http.port Défini explicitement

    14481 umcadmin_m connector.ajp.port Défini explicitement

    14486 umcadmin_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14490 dashboarding_m connector.http.port Défini explicitement

    14491 dashboardging_m connector.ajp.port Défini explicitement

    14496 dashboarding_m JAVA-Dcom.sun.management.jmxremote.port Défini explicitement

    14497 dashboarding_m JAVA-Xrunjdwp\:transport Défini explicitement

    Le paramètre de port connector.ajp.port mis en évidence indique tous les ports AJP ouverts.

  3. Si un de ces ports est accessible depuis un réseau externe, vous devez en bloquer immédiatement l'accès par votre firewall.

Vous avez un système sécurisé.

Important : Si votre système ARIS est une installation à plusieurs nœuds, les ports AJP doivent rester ouverts pour le transfert de données entre plusieurs nœuds. Ces ports AJP ouverts ne représentent pas une lacune de sécurité, parce que les installations ARIS distribuées doivent toujours être protégées par un firewall.