Как включить HSTS на прокси-сервере Dell Security Manager
Summary: При сканировании безопасности прокси-сервер Dell Security Manager может показать уязвимость HSTS.
Instructions
Затронутые продукты:
- Dell Security Management Server
Затронутые версии:
- 11.1 и более поздние версии (изменены с изменением конфигурации)
- 11.0 и более ранние версии (требуется обновленный файл .jar, содержащий фильтр HSTS. В настоящее время ведется исследование в отношении этих старых серверов.)
Затронутые операционные системы:
- Windows Server
На прокси-сервере Dell Security Manager обнаружена уязвимость HSTS. Для служб для устранения этой уязвимости можно настроить фильтр HSTS.
Строгая транспортная безопасность HTTP (HSTS) помечается сканерами безопасности как уязвимость на прокси-сервере Dell Security Manager.
Прокси-сервер Dell Security Manager состоит из четырех служб:
- Прокси-сервер Dell Core
- Dell Device Server
- Dell Policy Proxy
- Прокси-сервер Dell Security Server
Необходимо изменить webdefault.xml файлов в папке conf, чтобы включить конфигурацию фильтра HSTS, чтобы включить HSTS в службах Dell Core Server Proxy, Dell Device Server и Dell Security Server Proxy.
Возможные места установки:
- Прокси-сервер Dell Core. C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
- Dell Device Server. C:\Program Files\Dell\Enterprise Edition\Device Server
- Dell Security Server Proxy. C:\Program Files\Dell\Enterprise Edition\Security Server Proxy
Выполните следующие действия:
- Остановитепрокси-сервисы.
- Измените каталог на одну из папок прокси-служб .\conf.
- Создайте резервную копию файла conf\web-default.xml на случай ошибки.
- Добавьте обновления фильтра HSTS в один из файлов конфигурации\web-default.xml служб.
Конфигурация фильтра HSTS добавляется в нижнюю часть файла webdefault.xml, над строкой:
</web-app>
Конфигурация фильтра HSTS:
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Последние несколько строк web-default.xml будут выглядеть следующим образом (с добавленным желтым фильтром HSTS ниже):
<security-constraint>
<web-resource-collection>
<web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
<url-pattern>/</url-pattern>
<http-method>TRACE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
- Скопируйте обновленный файл web-default.xml в другие затронутые службы.
- Перезапуститепрокси-службы.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.