Come abilitare HSTS sul server proxy di Dell Security Manager

Summary: Il server proxy di Dell Security Manager può mostrare una vulnerabilità HSTS durante la scansione della sicurezza.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Prodotti interessati:

  • Dell Security Management Server

Versioni interessate:

  • 11.1 e versioni successive (modificato con una modifica alla configurazione)
  • 11.0 e versioni precedenti (richiede un file .jar aggiornato contenente un filtro HSTS. È in corso un'indagine per questi server meno recenti.)

Sistemi operativi interessati:

  • Windows Server

È stata identificata una vulnerabilità HSTS nel server proxy di Dell Security Manager. È possibile configurare un filtro HSTS affinché i servizi risolvano questa vulnerabilità.

HTTP Strict Transport Security (HSTS) viene contrassegnato come vulnerabilità dagli scanner di sicurezza nel server proxy di Dell Security Manager.

Il server proxy di Dell Security Manager è costituito da quattro servizi:

  • Dell Core Server Proxy
  • Dell Device Server
  • Dell Policy Proxy
  • Dell Security Server Proxy
Nota: Dell Policy Proxy non è un servizio server proxy Jetty e non crittografa il trasporto sulla porta 8000. Tuttavia, il payload è crittografato, garantendo sicurezza in questo modo, quindi la modifica per HSTS non è necessaria per il Policy Proxy.

Il file webdefault.xml, nella cartella conf, deve essere modificato in modo da includere la configurazione del filtro HSTS per abilitare HSTS sui servizi Dell Core Server Proxy, Dell Device Server e Dell Security Server Proxy.

Nota: I file web-default.xml predefiniti sono gli stessi per i tre servizi del server proxy. L'aggiornamento di uno dei file web-default.xml, la copia del file negli altri due cartelle conf del server e il riavvio dei servizi sono un metodo rapido per propagare la modifica agli altri servizi.

Le posizioni di installazione sono:

  • Proxy Dell Core Server: C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
  • Dell Device Server: C:\Program Files\Dell\Enterprise Edition\Device Server
  • Dell Security Server Proxy: C:\Programmi\Dell\Enterprise Edition\Security Server Proxy

Effettuare le seguenti operazioni:

  1. Arrestare i servizi proxy.
  2. Modificare la directory in una delle cartelle .\conf dei servizi proxy.
  3. Eseguire un backup del file conf\web-default.xml nel caso in cui si verifichi un errore.
  4. Aggiungere gli aggiornamenti del filtro HSTS a uno dei file conf \web-default.xml dei servizi.

La configurazione del filtro HSTS viene aggiunta alla fine del file di webdefault.xml, sopra la riga:

</web-app>

La configurazione del filtro HSTS è:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Le ultime righe di web-default.xml sarebbero (con l'aggiunta del filtro HSTS in giallo sotto):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
  1. Copiare il file web-default.xml aggiornato negli altri servizi interessati.
  2. Riavviare i servizi proxy.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Affected Products

Dell Encryption
Article Properties
Article Number: 000209524
Article Type: How To
Last Modified: 15 Apr 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.