Włączanie protokołu HSTS na serwerze proxy programu Dell Security Manager

Dotyczy produktów:

• Dell Security Management Server

Dotyczy wersji:

• 11.1 i nowsze (zmodyfikowane przez zmianę konfiguracji)
• 11.0 i starsze (wymaga zaktualizowanego pliku .jar zawierającego filtr HSTS. Trwa dochodzenie w sprawie tych starszych serwerów).

Dotyczy systemów operacyjnych:

• Windows Server

Na serwerze proxy programu Dell Security Manager zidentyfikowano lukę w zabezpieczeniach protokołu HSTS. Aby usługi usuwały tę lukę, można skonfigurować filtr HSTS.

Usługa HTTP Strict Transport Security (HSTS) jest oznaczana jako luka w zabezpieczeniach przez skanery zabezpieczeń na serwerze proxy programu Dell Security Manager.

Serwer proxy programu Dell Security Manager składa się z czterech usług:

• Serwer proxy rdzenia firmy Dell
• Dell Device Server
• Dell Policy Proxy
• Serwer proxy zabezpieczeń firmy Dell

Należy zmodyfikować webdefault.xml plików w folderze conf, aby uwzględnić konfigurację filtra HSTS, aby włączyć HSTS w usługach Dell Core Server Proxy, Dell Device Server i Dell Security Server Proxy.

Lokalizacje instalacji to:

• Serwer proxy podstawowego serwera Dell: C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
• Serwer urządzeń Dell: C:\Program Files\Dell\Enterprise Edition\Device Server
• Serwer proxy zabezpieczeń Dell: C:\Program Files\Dell\Enterprise Edition\Security Server Proxy

Wykonaj następujące czynności:

1. Zatrzymajusługi serwera proxy.
2. Zmień katalog na jeden z folderów usług proxy .\conf.
3. Wykonaj kopię zapasową pliku conf\web-default.xml na wypadek wystąpienia błędu.
4. Dodaj aktualizacje filtru HSTS do jednego z plików conf\web-default.xml usług.

Konfiguracja filtra HSTS jest dodawana w dolnej części pliku webdefault.xml, powyżej wiersza:

</web-app>

Konfiguracja filtra HSTS jest następująca:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Kilka ostatnich wierszy web-default.xml będzie wyglądało następująco (z dodanym filtrem HSTS w kolorze żółtym poniżej):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>

5. Skopiuj zaktualizowany plik web-default.xml do innych usług, których dotyczy problem.
6. Uruchom ponownieusługi proxy.

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.