Activation de HSTS sur le serveur proxy Dell Security Manager

Summary: Le serveur proxy Dell Security Manager peut présenter une faille de sécurité HSTS lors de l’analyse de sécurité.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Produits concernés :

  • Dell Security Management Server

Versions concernées :

  • 11.1 et versions ultérieures (modifiées avec une modification de configuration)
  • 11.0 et versions antérieures (nécessite un fichier .jar mis à jour contenant un filtre HSTS. Une enquête est en cours pour ces anciens serveurs.)

Systèmes d’exploitation concernés :

  • Windows Server

Une faille de sécurité HSTS a été identifiée dans le serveur proxy Dell Security Manager. Un filtre HSTS peut être configuré pour que les services remédient à cette faille de sécurité.

HTTP Strict Transport Security (HSTS) est signalé comme une faille de sécurité par les scanners de sécurité dans le serveur proxy Dell Security Manager.

Dell Security Manager Proxy Server comprend quatre services :

  • Dell Core Server Proxy
  • Dell Device Server
  • Proxy de règles Dell
  • Dell Security Server Proxy
Remarque : Dell Policy Proxy n’est pas un service de serveur proxy Jetty et ne chiffre pas le transport sur le port 8000. Cependant, la charge utile est chiffrée, ce qui garantit la sécurité de cette manière. Par conséquent, la modification de HSTS n’est pas nécessaire pour le proxy de stratégie.

Le webdefault.xml de fichier, dans le dossier conf, doit être modifié pour inclure la configuration du filtre HSTS, afin d’activer HSTS sur les services Dell Core Server Proxy, Dell Device Server et Dell Security Server Proxy.

Remarque : Les fichiers web-default.xml par défaut sont les mêmes pour les trois services de serveur proxy. La mise à jour de l’un des fichiers web-default.xml, la copie de ce fichier dans les deux autres dossiers de conf du serveur et le redémarrage des services constituent des méthodes rapides de propagation de la modification aux autres services.

Les emplacements d’installation sont les suivants :

  • Dell Core Server Proxy : C :\Program Files\Dell\Enterprise Edition\Core Server Proxy
  • Dell Device Server : C :\Program Files\Dell\Enterprise Edition\Device Server
  • Dell Security Server Proxy : C :\Program Files\Dell\Enterprise Edition\Security Server Proxy

Procédez comme suit :

  1. Arrêtez les services proxy.
  2. Remplacez le répertoire par l’un des dossiers .\conf des services proxy.
  3. Effectuez une sauvegarde du fichier conf\web-default.xml au cas où une erreur se produirait.
  4. Ajoutez les mises à jour du filtre HSTS à l’un des fichiers conf\web-default.xml services.

La configuration du filtre HSTS est ajoutée au bas du fichier webdefault.xml, au-dessus de la ligne :

</web-app>

La configuration du filtre HSTS est la suivante :

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Les dernières lignes de web-default.xml seraient (avec le filtre HSTS ajouté en jaune ci-dessous) :

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
  1. Copiez le fichier web-default.xml mis à jour dans les autres services concernés.
  2. Redémarrez les services proxy.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Affected Products

Dell Encryption
Article Properties
Article Number: 000209524
Article Type: How To
Last Modified: 15 Apr 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.