Як увімкнути HSTS на проксі-сервері Dell Security Manager

Продукти, на які впливають:

• Сервер керування безпекою Dell

Впливає на такі версії:

• 11.1 і пізніші версії (змінено зі зміною конфігурації)
• 11.0 і раніші версії (потрібен оновлений файл .jar, який містить фільтр HSTS). Наразі проводиться розслідування щодо цих старих серверів.

Операційні системи, яких це стосується:

• Windows Server

У проксі-сервері Dell Security Manager виявлено вразливість HSTS. Для служб можна налаштувати фільтр HSTS для усунення цієї вразливості.

HTTP Strict Transport Security (HSTS) позначається як вразливість сканерами безпеки в проксі-сервері Dell Security Manager.

Проксі-сервер Dell Security Manager складається з чотирьох служб:

• Проксі-сервер Dell Core
• Сервер пристроїв Dell
• Проксі-сервер політики Dell
• Проксі-сервер безпеки Dell

Файл webdefault.xml у папці conf потрібно змінити, щоб включити конфігурацію для фільтра HSTS, щоб увімкнути HSTS на проксі-сервері Dell Core Server, Dell Device Server і Dell Security Server Proxy.

Місця встановлення:

• Проксі-сервер Dell Core: C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
• Сервер пристроїв Dell: C:\Program Files\Dell\Enterprise Edition\Device Server
• Проксі-сервер безпеки Dell: C:\Program Files\Dell\Enterprise Edition\Security Server Proxy

Виконайте наступні кроки:

1. Зупинітьроботу проксі-сервісів.
2. Змініть каталог на одну з папок проксі-сервісів .\conf.
3. Створіть резервну копію файлу conf\web-default.xml на випадок помилки.
4. Додайте оновлення фільтра HSTS до одного з файлів conf\web-default.xml служб.

Конфігурацію фільтра HSTS буде додано до нижньої частини файлу webdefault.xml, над рядком:

</web-app>

Конфігурація фільтра HSTS така:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Останні кілька рядків web-default.xml будуть такими (з доданим фільтром HSTS жовтим кольором нижче):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>

5. Скопіюйте оновлений файл web-default.xml до інших служб, яких це стосується.
6. Перезапустітьпроксі-сервіси.

Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.