Dell Security Managerプロキシ サーバーでHSTSを有効にする方法

Summary: セキュリティ スキャン時に、Dell Security Managerプロキシ サーバーにHSTSの脆弱性が表示されることがあります。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

対象製品:

  • Dell Security Management Server

影響を受けるバージョン:

  • 11.1以降(構成変更に伴い変更)
  • 11.0以前(HSTSフィルターを含むアップデート済みの.jarファイルが必要です。これらの古いサーバーについては現在調査中です)。

対象オペレーティング システム:

  • Windowsサーバ

Dell Security Managerプロキシ サーバーでHSTSの脆弱性が特定されました。HSTSフィルタは、この脆弱性に対処するためにサービス用に設定できます。

HTTP Strict Transport Security (HSTS)は、Dell Security Managerプロキシ サーバーでセキュリティ スキャナーによって脆弱性としてマークされています。

Dell Security Manager Proxy Serverは、次の4つのサービスで構成されています。

  • Dell Core Serverプロキシ
  • Dell Device Server
  • Dell Policy Proxy
  • Dell Security Server プロキシ
注:Dell Policy ProxyはJettyプロキシ サーバー サービスではないため、ポート8000経由の転送は暗号化されません。ただし、ペイロードは暗号化され、この方法でセキュリティが提供されるため、Policy ProxyでHSTSを変更する必要はありません。

Dell Core Server Proxy、Dell Device Server、Dell Security Server ProxyサービスでHSTSを有効にするには、confフォルダー内のファイル webdefault.xmlを変更して、HSTSフィルターの設定を含める必要があります。

注:デフォルトのweb-default.xml ファイルは、3つのプロキシ サーバー サービスで同じです。web-default.xmlファイルの 1 つを更新し、そのファイルを他の 2 つのサーバー conf フォルダーにコピーして、サービスを再起動すると、変更を他のサービスにすばやく反映できます。

インストール場所は次のとおりです。

  • Dell Core Server Proxy: C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
  • Dell Device Server: C:\Program Files\Dell\Enterprise Edition\Device Server
  • Dell Security Server Proxy: C:\Program Files\Dell\Enterprise Edition\Security Server Proxy

次の手順を実行します。

  1. プロキシ サービスを停止します。
  2. ディレクトリーをプロキシ サービスの.\confフォルダーのいずれかに変更します。
  3. エラーが発生した場合に備えて、conf\web-default.xmlファイルのバックアップを作成します。
  4. サービスのconf\web-default.xmlファイルの1つにHSTSフィルターの更新を追加します

HSTSフィルター構成は、webdefault.xmlファイルの末尾の次の行の上に追加されます。

</web-app>

HSTSフィルターの構成は次のとおりです。

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

web-default.xmlの最後の数行は次のようになります (下の黄色 で示したHSTSフィルターが追加されています)。

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
  1. 更新されたweb-default.xmlファイルを、影響を受けた他のサービスにコピーします。
  2. プロキシ サービスを再起動します。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

Affected Products

Dell Encryption
Article Properties
Article Number: 000209524
Article Type: How To
Last Modified: 15 Apr 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.