Autenticación de Lexmark Print Management

Recomendamos aplicar políticas de seguridad como las siguientes en los servidores LPM:

Configuración de Apache mediante el archivo httpd.conf

En su equipo, vaya a la carpeta <install-Dir>\Solutions\Apache2\conf, donde <install-Dir> es la carpeta de instalación de Apache.

Utilice un editor de texto para configurar lo siguiente:

Notas:

Algunas directivas no están presentes o están inactivas de forma predeterminada.
Para obtener más información, consulte el sitio web de Apache.

Vulnerabilidad	Directiva
El encabezado de respuesta del servidor web de una respuesta HTTP puede contener lo siguiente: Tipo y versión del servidor web Sistema operativo y versión Puertos asociados Módulos compilados	Establezca la directiva ServerTokens en Prod y la directiva ServerSignature en Desactivado.
Otros archivos, como documentación, código de ejemplo y aplicaciones y tutoriales, pueden ser una amenaza.	Nota: La lista de archivos de ejemplo puede cambiar con las versiones de software. Elimine los siguientes elementos de código de ejemplo y documentación: *<install-Dir>/apache2/manual/.* *<install-Dir>/apache2/conf/extra/.* **<install-Dir>/apache2/cgi-bin/printenv <install-Dir>/apache2/cgi-bin/test-cgi Donde <install-Dir>** es la carpeta de instalación de Apache.
Para ayudar a mitigar los ataques de denegación de servicio, especifique los tiempos de espera. Nota: Si es necesario, ajuste estos valores para cada servidor.	Haga lo siguiente: Establezca las directivas Timeout en 300 o menos. Establezca las directivas KeepAlive en On. Establezca las directivas KeepAliveTimeout en 15 o menos.
Los scripts CGI son una de las vulnerabilidades más explotadas en los servidores web. Ejecute scripts CGI en Apache utilizando los siguientes métodos: ScriptAlias: configura el servidor para que lea todo lo que hay en un directorio como un script CGI. Combinación de directivas Options y AddHandler o SetHandler: cuando se usa una combinación de las directivas Options y Handler, se pierde la capacidad de gestionar scripts centralmente, creando una vulnerabilidad en el servidor web. Recomendamos administrar scripts mediante la directiva ScriptAlias.	Busque las siguientes directivas sin comentarios: SetHandler AddHandler Opciones Para todas las instancias de directivas SetHandler y AddHandler, consulte al administrador web para determinar si las directivas permiten scripts CGI. Si las directivas SetHandler o AddHandler utilizan scripts CGI, se trata de un hallazgo. Para todas las instancias de la directiva Options que utilizan +ExecCGI o ExecCGI, es un hallazgo. Si la directiva Options se encuentra con -ExecCGI, no es un hallazgo. Si el valor no existe, se trata de un hallazgo a menos que la instrucción Options esté establecida en None. Busque los scripts en el directorio ScriptAlias y, a continuación, agregue el símbolo apropiado para deshabilitar ExecCGI o establezca la directiva Options en None.
La directiva Options configura las características del servidor web que están disponibles en directorios específicos. La función FollowSymLinks le permite hacer referencia a un archivo o directorio utilizando un nombre simbólico, lo que puede suponer un riesgo cuando el símbolo está vinculado a datos confidenciales. La función includesNoOEXEC activa inclusiones en el servidor, pero desactiva el comando exec para ayudar a evitar la ejecución de malware. La función Multiviews puede responder con todos los archivos disponibles en un directorio que no están destinados a la exploración. Si una dirección URL se asigna a un directorio sin DirectoryIndex (index.html), se puede devolver una lista de directorios que no están destinados a la exploración.	Establezca todas las directivas Options en lo siguiente, respectivamente: –FollowSymLinks -includes, -includesNOEXEC o +includesNOEXEC -MultiViews -indexes Nota: Si se establece la directiva Options en None se desactivan las funciones adicionales.
Las siguientes directivas mitigan los ataques de desbordamiento del búfer y denegación de servicio limitando la cantidad de datos aceptados: La directiva LimitRequestBody le permite establecer un límite en el tamaño permitido de un cuerpo de mensaje de solicitud HTTP. La directiva LimitRequestFields le permite limitar el número de campos de encabezado de solicitud. La directiva LimitRequestFieldSize le permite establecer un límite en el tamaño permitido de un campo de encabezado de solicitud HTTP. La directiva LimitRequestLine le permite establecer un límite en el tamaño permitido de la línea de solicitud HTTP de un cliente. Nota: Si se producen errores, ajuste estos valores para cada servidor.	Haga lo siguiente: Establezca la directiva LimitRequestBody en cualquier número mayor que 0. Establezca la directiva LimitRequestFields en cualquier número mayor que 0. Establezca la directiva LimitRequestFieldSize en 8190. Establezca la directiva LimitRequestLine en 8190. Nota: Algunos de estos valores son los valores predeterminados, pero deben establecerse explícitamente.
Los servidores web obtienen sus capacidades mediante módulos. Minimizar los módulos activados solo a los módulos necesarios reduce el número de puntos vulnerables. Los módulos proxy de Apache permiten que el servidor actúe como proxy de reenvío o proxy inverso de HTTP y otros protocolos.	Para mostrar una lista de módulos cargados, haga lo siguiente: En el ordenador, abra el símbolo del sistema. Vaya a la carpeta **<install-Dir>/apache2/bin/, donde <install-Dir>** es la carpeta de instalación de Apache. Ejecute el comando httpd –M. Los siguientes módulos son necesarios para los módulos principales de Apache: core_module win32_module mpm_winnt_module http_module so_module
El análisis de servidores web que envían solicitudes de proxy es un ataque común. Los proxy pueden convertir los ataques en anónimos en otros servidores o enviar solicitudes de proxy a una red protegida. Los siguientes módulos son módulos proxy de Apache y no son necesarios para LPM: proxy_module proxy_ajp_module proxy_balancer_module proxy_ftp_module proxy_http_module proxy_connect_module Desactive la directiva UserDir para evitar el acceso a los directorios principales del usuario. userdir_module El contenido específico del servidor web se puede utilizar para identificar el tipo y la versión del servidor web. Desactive el acceso a varios contenidos para ayudar a mitigar los ataques. autoindex_module	Para desactivar los módulos que no son necesarios para LPM, en el archivo httpd.conf, agregue # antes de los módulos apropiados.
El acceso a la raíz del servidor web debe estar protegido. La directiva Directory de Apache permite la configuración específica de directorios. Cree una política de denegación predeterminada que no permita el acceso al directorio raíz del sistema operativo. Utilice la directiva Options de Apache para crear una política de opciones mínimas predeterminada para el directorio raíz donde se pueden activar los permisos. Utilice la directiva OverRide de Apache para permitir que un archivo .htaccess especifique directivas de configuración anteriores que se pueden cambiar. Nota: El módulo authz_core_module utiliza la directiva Require all denied.	Establezca la directiva raíz Directory (<Directory />) en lo siguiente, respectivamente: Order deny,allow Deny from all Options None AllowOverride None Si estas entradas del directorio raíz no existen, agréguelas.
El método TRACE no es necesario y debe estar desactivado.	Establezca la directiva TraceEnable en Desactivado. Si esta directiva no existe, agréguela.
La directiva Listen de Apache especifica las direcciones IP y los números de puerto que escucha el servidor web de Apache para las solicitudes. Configure el servidor para que escuche solo las direcciones y números de puerto esperados.	Especifique la dirección IP y el número de puerto para cada directiva Listen.
La directiva ScriptAlias especifica qué directorios reconoce el servidor de Apache como que contienen scripts. Si la directiva utiliza un nombre de ruta URL que es diferente de la ruta real del sistema de archivos, el código fuente de los scripts puede estar expuesto.	Compruebe si URL-path y file-path/directy-path de la directiva ScriptAlias coinciden. Muestra de una ruta correcta *ScriptAlias/cgi-bin/<install-Dir>/cgi-bin/, donde <install-Dir>* es la carpeta de instalación de Apache. Muestra de una ruta incorrecta *ScriptAlias/script-cgi-bin/<install-Dir>/cgi-bin/, donde <install-Dir>* es la carpeta de instalación de Apache.
Los métodos de solicitud HTTP como PONER y ELIMINAR modifican recursos y no son necesarios para que LPM funcione. Desactive estos métodos.	Para cada directiva Directory excepto la raíz, establezca lo siguiente: Order allow,deny <LimitExcept GET POST OPTIONS> Deny from all </LimitExcept>

Vulnerabilidad

Directiva

El encabezado de respuesta del servidor web de una respuesta HTTP puede contener lo siguiente:

Tipo y versión del servidor web
Sistema operativo y versión
Puertos asociados
Módulos compilados

Establezca la directiva ServerTokens en Prod y la directiva ServerSignature en Desactivado.

Otros archivos, como documentación, código de ejemplo y aplicaciones y tutoriales, pueden ser una amenaza.

Nota: La lista de archivos de ejemplo puede cambiar con las versiones de software.

Elimine los siguientes elementos de código de ejemplo y documentación:

<install-Dir>/apache2/manual/*.*
<install-Dir>/apache2/conf/extra/*.*
<install-Dir>/apache2/cgi-bin/printenv
<install-Dir>/apache2/cgi-bin/test-cgi

Donde <install-Dir> es la carpeta de instalación de Apache.

Para ayudar a mitigar los ataques de denegación de servicio, especifique los tiempos de espera.

Nota: Si es necesario, ajuste estos valores para cada servidor.

Haga lo siguiente:

Establezca las directivas Timeout en 300 o menos.
Establezca las directivas KeepAlive en On.
Establezca las directivas KeepAliveTimeout en 15 o menos.

Los scripts CGI son una de las vulnerabilidades más explotadas en los servidores web.

Ejecute scripts CGI en Apache utilizando los siguientes métodos:

ScriptAlias: configura el servidor para que lea todo lo que hay en un directorio como un script CGI.
Combinación de directivas Options y AddHandler o SetHandler: cuando se usa una combinación de las directivas Options y Handler, se pierde la capacidad de gestionar scripts centralmente, creando una vulnerabilidad en el servidor web. Recomendamos administrar scripts mediante la directiva ScriptAlias.

Busque las siguientes directivas sin comentarios:

SetHandler
AddHandler
Opciones

Para todas las instancias de directivas SetHandler y AddHandler, consulte al administrador web para determinar si las directivas permiten scripts CGI.

Si las directivas SetHandler o AddHandler utilizan scripts CGI, se trata de un hallazgo.

Para todas las instancias de la directiva Options que utilizan +ExecCGI o ExecCGI, es un hallazgo.

Si la directiva Options se encuentra con -ExecCGI, no es un hallazgo.

Si el valor no existe, se trata de un hallazgo a menos que la instrucción Options esté establecida en None.

Busque los scripts en el directorio ScriptAlias y, a continuación, agregue el símbolo apropiado para deshabilitar ExecCGI o establezca la directiva Options en None.

La directiva Options configura las características del servidor web que están disponibles en directorios específicos.

La función FollowSymLinks le permite hacer referencia a un archivo o directorio utilizando un nombre simbólico, lo que puede suponer un riesgo cuando el símbolo está vinculado a datos confidenciales.

La función includesNoOEXEC activa inclusiones en el servidor, pero desactiva el comando exec para ayudar a evitar la ejecución de malware.

La función Multiviews puede responder con todos los archivos disponibles en un directorio que no están destinados a la exploración.

Si una dirección URL se asigna a un directorio sin DirectoryIndex (index.html), se puede devolver una lista de directorios que no están destinados a la exploración.

Establezca todas las directivas Options en lo siguiente, respectivamente:

–FollowSymLinks
-includes, -includesNOEXEC o +includesNOEXEC
-MultiViews
-indexes

Nota: Si se establece la directiva Options en None se desactivan las funciones adicionales.

Las siguientes directivas mitigan los ataques de desbordamiento del búfer y denegación de servicio limitando la cantidad de datos aceptados:

La directiva LimitRequestBody le permite establecer un límite en el tamaño permitido de un cuerpo de mensaje de solicitud HTTP.
La directiva LimitRequestFields le permite limitar el número de campos de encabezado de solicitud.
La directiva LimitRequestFieldSize le permite establecer un límite en el tamaño permitido de un campo de encabezado de solicitud HTTP.
La directiva LimitRequestLine le permite establecer un límite en el tamaño permitido de la línea de solicitud HTTP de un cliente.

Nota: Si se producen errores, ajuste estos valores para cada servidor.

Haga lo siguiente:

Establezca la directiva LimitRequestBody en cualquier número mayor que 0.
Establezca la directiva LimitRequestFields en cualquier número mayor que 0.
Establezca la directiva LimitRequestFieldSize en 8190.
Establezca la directiva LimitRequestLine en 8190.

Nota: Algunos de estos valores son los valores predeterminados, pero deben establecerse explícitamente.

Los servidores web obtienen sus capacidades mediante módulos. Minimizar los módulos activados solo a los módulos necesarios reduce el número de puntos vulnerables.

Los módulos proxy de Apache permiten que el servidor actúe como proxy de reenvío o proxy inverso de HTTP y otros protocolos.

Para mostrar una lista de módulos cargados, haga lo siguiente:

En el ordenador, abra el símbolo del sistema.
Vaya a la carpeta <install-Dir>/apache2/bin/, donde <install-Dir> es la carpeta de instalación de Apache.
Ejecute el comando httpd –M.

Los siguientes módulos son necesarios para los módulos principales de Apache:

core_module
win32_module
mpm_winnt_module
http_module
so_module

El análisis de servidores web que envían solicitudes de proxy es un ataque común. Los proxy pueden convertir los ataques en anónimos en otros servidores o enviar solicitudes de proxy a una red protegida.

Los siguientes módulos son módulos proxy de Apache y no son necesarios para LPM:

proxy_module
proxy_ajp_module
proxy_balancer_module
proxy_ftp_module
proxy_http_module
proxy_connect_module

Desactive la directiva UserDir para evitar el acceso a los directorios principales del usuario.

userdir_module

El contenido específico del servidor web se puede utilizar para identificar el tipo y la versión del servidor web.

Desactive el acceso a varios contenidos para ayudar a mitigar los ataques.

autoindex_module

Para desactivar los módulos que no son necesarios para LPM, en el archivo httpd.conf, agregue # antes de los módulos apropiados.

El acceso a la raíz del servidor web debe estar protegido.

La directiva Directory de Apache permite la configuración específica de directorios. Cree una política de denegación predeterminada que no permita el acceso al directorio raíz del sistema operativo.
Utilice la directiva Options de Apache para crear una política de opciones mínimas predeterminada para el directorio raíz donde se pueden activar los permisos.
Utilice la directiva OverRide de Apache para permitir que un archivo .htaccess especifique directivas de configuración anteriores que se pueden cambiar.

Nota: El módulo authz_core_module utiliza la directiva Require all denied.

Establezca la directiva raíz Directory (<Directory />) en lo siguiente, respectivamente:

Order deny,allow
Deny from all
Options None
AllowOverride None

Si estas entradas del directorio raíz no existen, agréguelas.

El método TRACE no es necesario y debe estar desactivado.

Establezca la directiva TraceEnable en Desactivado.

Si esta directiva no existe, agréguela.

La directiva Listen de Apache especifica las direcciones IP y los números de puerto que escucha el servidor web de Apache para las solicitudes. Configure el servidor para que escuche solo las direcciones y números de puerto esperados.

Especifique la dirección IP y el número de puerto para cada directiva Listen.

La directiva ScriptAlias especifica qué directorios reconoce el servidor de Apache como que contienen scripts. Si la directiva utiliza un nombre de ruta URL que es diferente de la ruta real del sistema de archivos, el código fuente de los scripts puede estar expuesto.

Compruebe si URL-path y file-path/directy-path de la directiva ScriptAlias coinciden.

Muestra de una ruta correcta

ScriptAlias/cgi-bin/<install-Dir>/cgi-bin/, donde <install-Dir> es la carpeta de instalación de Apache.

Muestra de una ruta incorrecta

ScriptAlias/script-cgi-bin/<install-Dir>/cgi-bin/, donde <install-Dir> es la carpeta de instalación de Apache.

Los métodos de solicitud HTTP como PONER y ELIMINAR modifican recursos y no son necesarios para que LPM funcione. Desactive estos métodos.

Para cada directiva Directory excepto la raíz, establezca lo siguiente:

Order allow,deny

Guarde el archivo.
Reinicie el servicio Apache.

Nota: Algunas configuraciones comunes relacionadas con la seguridad, como WebDAV y los módulos mod_info y mod_status de Apache, pueden estar en conflicto con LPM o LDD.

Números de puerto y protocolos compatibles

Asegúrese de que el firewall permite los siguientes números de puerto y protocolos:

Componente	Número de puerto	Protocolo	Función
Base de datos (Firebird)	3050	TCP	Comunicaciones con la base de datos
Base de datos (Firebird)	8001	TCP	Agente de copia de seguridad y restauración
Equilibrador de carga	443	TCP	Comunicaciones HTTPS TLS de equilibrador de carga, incluida Lexmark Management Console
	4113	TCP	Adaptador web (JMX)
	9700	TCP	Envío de perfiles a impresoras e-Task Adaptador web (JMX)
	9705	TCP	Agente de Apache
	9780	TCP	Comunicaciones de equilibrador de carga, incluida Lexmark Management Console
	9783	TCP	Comunicaciones HTTPS TLS de equilibrador de carga, incluida Lexmark Management Console
Servidor	4111	TCP	JMX
	5111	TCP	RMI
	8009	TCP	Conector AJP y Tomcat (trabajador del equilibrador de carga)
	9743	TCP	Envío de trabajos de perfil HTTPS TLS desde impresoras o software cliente a un servidor, incluido Lexmark Management Console
	9788	TCP	Envío de trabajos de perfil desde impresoras o software cliente a un servidor, incluido Lexmark Management Console
Impresora	79	TCP	Finger
	161	UDP	SNMP Detección de la impresora
	5000	TCP	Actualizaciones de políticas Comunicación de texto sin formato ObjectStore
	5353	UDP	DNS de transmisión múltiple
	6000	UDP	Detección de la impresora Comunicación ObjectStore con el protocolo XML
	6100	UDP	Detección de la impresora Actualizaciones de políticas Datos cifrados de Lexmark Secure Transport (LST)
	6110	TCP	Detección de la impresora Actualizaciones de políticas Autenticación y negociación de LST
	9100	TCP	Impresión Actualizaciones de políticas
	9300	UDP	Detección de la impresora Protocolo NPA, comunicaciones UDP
	9500	TCP	Protocolo NPA, comunicaciones TCP
LPM	631	TCP	IPP
	5672	TCP	ActiveMQ
	9780	TCP	MFPAuth
	61614	TCP	ActiveMQ
	61616	TCP	ActiveMQ

Números de puerto estándar para LDAP y LDAPS

Número de puerto	Función
389	Comunicaciones LDAP
636	Comunicaciones LDAPS