Lista de permisos de validación de pares
Alteryx agregó comprobaciones de seguridad para la funcionalidad relacionada con la apertura de conexiones TLS o SSL; por ejemplo, conexiones a https:// URLs que utilizan cURL y OpenSSL. Puedes ajustar las comprobaciones de seguridad con la configuración de Validación entre pares.
Esto requiere que la conexión a un servicio esté protegida con TLS y que el servidor conectado proporcione un certificado firmado por una CA (autoridad de certificación) que sea válido y confiable. La validación debe abarcar toda la cadena de certificados hasta el certificado raíz y validar los certificados de acuerdo con la lista de los almacenes de certificados de Microsoft Windows de entidades de certificación de confianza. En este momento, no se ofrece compatibilidad con Linux.
Esta característica se habilitó inicialmente en las versiones 2022.1+ de Designer-FIPS y 2022.2 de Alteryx Server-FIPS, y no hay forma de desactivarla.
La Validación entre pares ahora también está habilitada para las versiones que no sean FIPS 2022.3+.
Configuración de la Lista de permisos para la Validación entre pares
Sabemos que algunos administradores y usuarios pueden tener problemas con este cambio, especialmente con flujos de trabajo o entornos de Server existentes que usan conexiones inseguras o conexiones TLS que utilizan certificados autofirmados, no válidos o no confiables.
Para solucionar estos problemas y seguir utilizando conexiones inseguras o conexiones TLS que utilizan certificados que no superan la validación, debes agregar una excepción a la Lista de permisos.
La Lista de permisos contiene entradas de sitios de URL que normalmente no superan la Validación entre pares habilitada.
Agrega excepciones de URL al archivo de texto llamado
PeerValidationBypass.txt.Debes guardar el archivo en
C:\ProgramData\Alteryx\PeerValidationBypass.txt.Si el archivo no existe, la Validación entre pares está activada de manera predeterminada. Sin embargo, ten en cuenta que la existencia del archivo no desactiva la Validación entre pares. Este permite que Designer y Server ignoren la Validación entre pares al conectarse a los sitios específicos que figuran en el archivo.
Requisitos de PeerValidationBypass.txt
Las entradas del archivo PeerValidationBypass.txt deben seguir varias reglas:
Una entrada de nombre de dominio totalmente calificado (FQDN) por línea.
Ingresa solo el nombre de dominio o la dirección IP.
Quita la parte
protocol://al comienzo de la URL.Quita cualquier ruta, consulta y contraseña de la URL.
No dejes líneas en blanco entre las entradas.
Uso de comodines
Puedes configurar PeerValidationBypass.txt con direcciones FQDN e IPv4 que contengan caracteres comodín.
Un nombre de dominio es una estructura simple compuesta por varios campos, separados por puntos y que se leen de derecha a izquierda. Un ejemplo de nombre de dominio es help.alteryx.com, en el cual…
El dominio de nivel superior (TLD) es
com.Las etiquetas siguen al TLD;
alteryxes Label1 yhelpes Label2.Una etiqueta es una secuencia de caracteres que no distingue entre mayúsculas y minúsculas con una longitud de uno a 63 caracteres.
Contiene solo las letras de la A a la Z, los dígitos del 0 al 9 y el carácter de guion (-) (el cual no puede ser el primer ni el último carácter de la etiqueta).
La etiqueta ubicada justo antes del TLD también se denomina dominio de nivel secundario (SLD); en el ejemplo anterior, este sería Alteryx.
Nota
Un nombre de dominio puede consistir en un solo campo, o bien puede consistir en dos, tres o más campos. Un nombre de dominio completo (FQDN) siempre está etiquetado en este formato:
hostname.SLD.TLD
Cuando se analiza PeerValidationBypass.txt para determinar si se debe validar el certificado TLS de un punto de conexión en particular, el analizador interpreta los comodines de la siguiente manera:
Un carácter de asterisco (*) coincide con 0 o más caracteres de etiqueta válidos.
Un carácter de signo de interrogación (?) coincide exactamente con un carácter de etiqueta válido.
Detalles de entrada de nombre de dominio
Para una entrada de nombre de dominio…
Si TLD es un TLD de código de país, no se permite usar caracteres comodín en los últimos tres campos. La coincidencia de comodín se realiza en la etiqueta 3 en adelante.
Si TLD no es un TLD de código de país, no se permite usar caracteres comodín en los dos últimos campos. La coincidencia de comodín se realiza en la etiqueta 2 en adelante.
Ejemplo de entradas de nombre de dominio no válidas
???.*.com.fr, alteryx*.help.n?t, alteryx.*.net y hello.world.example*.???
Detalles de entrada de dirección IPv4
Para una entrada de dirección IPv4…
No se permiten caracteres comodín en los dos primeros campos.
La coincidencia de comodín se realiza en los dos últimos campos.
Ejemplo de entradas IPv4 no válidas
192.*.*.23, ???.*.123.234 y *.10.100.200
Entradas de ejemplo
Ejemplo 1
Supongamos que la Validación entre pares bloquea esta URL:
https://ThisIsATest.com/?category.id=External
En el archivo PeerValidationBypass.txt, ingresa lo siguiente:
ThisIsATest.com
Ejemplo 2
Supongamos que deseas bloquear estas URL con un patrón similar:
https://example.ThisIsATest.com/?category.id=Externalhttps://warning.ThisIsATest.com/?category.id=Externalhttps://info.ThisIsATest.com/?category.id=External
En el archivo PeerValidationBypass.txt, puedes bloquear los tres con una sola entrada con un comodín:
*.ThisIsATest.com
Ejemplo 3
Para bloquear visit.country.france.fr y work.country.france.fr, ingresa esto en el archivo PeerVAlidationBypass.txt:
*.country.france.fr
Nota
TLD es un código de país. Como resultado, no se permiten caracteres comodín en los últimos tres campos: country.france.fr.
Ejemplo 4
Para bloquear las direcciones IPv4 123.12.123.1 y 123.12.123.2, ingresa lo siguiente en el archivo PeerValidationBypass.txt:
123.12.123.?
Notas adicionales
Después de editar el archivo
PeerValidationBypass.txt, cada vez que utilices cURL/OpenSSL en las herramientas de Alteryx, se buscará una coincidencia. Si Designer o Server encuentran una coincidencia, desactivan la Validación entre pares.Ten en cuenta que los productos con FIPS ignoran la Lista de permisos.
Para evitar errores con la Validación entre pares SSL cuando el servidor externo requiere un certificado SSL firmado por una CA intermedia, agrega la CA intermedia requerida a la carpeta Trusted Root Certification Authorities - Certificates en Microsoft Management Console.