Como ativar o HSTS no servidor proxy do Dell Security Manager

Summary: O servidor proxy do Dell Security Manager pode mostrar uma vulnerabilidade do HSTS quando a segurança for verificada.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Produtos afetados:

  • Dell Security Management Server

Versões afetadas:

  • 11.1 e posterior (modificado com uma alteração de configuração)
  • 11.0 e anterior (requer um arquivo de .jar atualizado que contenha um filtro HSTS. A investigação desses servidores mais antigos está sendo conduzida.)

Sistemas operacionais afetados:

  • Windows Server

Uma vulnerabilidade HSTS foi identificada no servidor proxy do Dell Security Manager. Um filtro HSTS pode ser configurado para que os serviços resolvam essa vulnerabilidade.

HTTP Strict Transport Security (HSTS) está sendo marcado como uma vulnerabilidade por scanners de segurança, no Dell Security Manager Proxy Server.

O Dell Security Manager Proxy Server consiste em quatro serviços:

  • Dell Core Server Proxy
  • Servidor de dispositivos da Dell
  • Proxy de política da Dell
  • Proxy do servidor de segurança da Dell
Nota: O Dell Policy Proxy não é um serviço de servidor proxy Jetty e não criptografa o transporte pela porta 8000. No entanto, o payload é criptografado, fornecendo segurança dessa maneira, e, portanto, a alteração para HSTS não é necessária para o proxy de política.

O arquivo webdefault.xml, na pasta conf, deve ser modificado para incluir a configuração do filtro HSTS, a fim de habilitar o HSTS nos serviços Dell Core Server Proxy, Dell Device Server e Dell Security Server Proxy.

Nota: Os arquivos web-default.xml padrão são os mesmos para os três serviços do servidor proxy. Atualizar um dos arquivos web-default.xml, copiar esse arquivo para as outras duas pastas conf do servidor e reiniciar os serviços é um método rápido de propagar a alteração para os outros serviços.

Os locais de instalação são:

  • Proxy do Dell Core Server: C:\Arquivos de Programas\Dell\Enterprise Edition\Core Server Proxy
  • Dell Device Server: C:\Arquivos de Programas\Dell\Enterprise Edition\Device Server
  • Proxy do Dell Security Server: C:\Arquivos de Programas\Dell\Enterprise Edition\Security Server Proxy

Execute as seguintes etapas:

  1. Interrompa os serviços de proxy.
  2. Altere o diretório para uma das pastas .\conf do serviço de proxy.
  3. Faça um backup do arquivo conf\web-default.xml caso ocorra um erro.
  4. Adicione as atualizações do filtro HSTS a um dos arquivos conf\web-default.xml serviços.

A configuração do filtro HSTS é adicionada à parte inferior do arquivo webdefault.xml, acima da linha:

</web-app>

A configuração do filtro HSTS é:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

As últimas linhas de web-default.xml seriam (com o filtro HSTS adicionado em amarelo abaixo):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
  1. Copie o arquivo web-default.xml atualizado para os outros serviços afetados.
  2. Reinicie os serviços de proxy.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Affected Products

Dell Encryption
Article Properties
Article Number: 000209524
Article Type: How To
Last Modified: 15 Apr 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.