Cómo habilitar HSTS en el servidor proxy de Dell Security Manager

Summary: El servidor proxy de Dell Security Manager puede mostrar una vulnerabilidad de HSTS cuando se realiza un análisis de seguridad.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Productos afectados:

  • Dell Security Management Server

Versiones afectadas:

  • 11.1 y versiones posteriores (modificadas con un cambio de configuración)
  • 11.0 y anterior (requiere un archivo .jar actualizado que contenga un filtro HSTS. Se está llevando a cabo una investigación para estos servidores más antiguos).

Sistemas operativos afectados:

  • Windows Server

Se identificó una vulnerabilidad de HSTS en el servidor proxy de Dell Security Manager. Se puede configurar un filtro HSTS para que los servicios aborden esta vulnerabilidad.

Los escáneres de seguridad de Dell Security Manager marcan como una vulnerabilidad a la seguridad de transporte estricta de HTTP (HSTS).

El servidor proxy de Dell Security Manager consta de cuatro servicios:

  • Dell Core Server Proxy
  • Dell Device Server
  • Dell Policy Proxy
  • Proxy de servidor de seguridad de Dell
Nota: Dell Policy Proxy no es un servicio de servidor proxy Jetty y no cifra el transporte a través del puerto 8000. Sin embargo, la carga útil está cifrada, lo que proporciona seguridad de esta manera, por lo que el cambio de HSTS no es necesario para el proxy de políticas.

El webdefault.xml de archivo, en la carpeta conf, se debe modificar para incluir la configuración del filtro HSTS a fin de habilitar HSTS en los servicios de proxy de Dell Core Server, Dell Device Server y Dell Security Server Proxy.

Nota: Los archivos de web-default.xml predeterminados son los mismos para los tres servicios de servidor proxy. Actualizar uno de los archivos web-default.xml, copiar ese archivo en las otras dos carpetas conf del servidor y reiniciar los servicios es un método rápido para propagar el cambio a los otros servicios.

Las ubicaciones de instalación son las siguientes:

  • Proxy de Dell Core Server: C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
  • Dell Device Server: C:\Program Files\Dell\Enterprise Edition\Device Server
  • Proxy de Dell Security Server: C:\Program Files\Dell\Enterprise Edition\Security Server Proxy

Realice los siguientes pasos:

  1. Detenga los servicios de proxy.
  2. Cambie el directorio a una de las carpetas .\conf de los servicios de proxy.
  3. Realice una copia de seguridad del archivo conf\web-default.xml en caso de que se produzca un error.
  4. Agregue las actualizaciones del filtro HSTS a uno de los archivos conf\web-default.xml de servicios.

La configuración del filtro HSTS se agrega en la parte inferior del archivo de webdefault.xml, encima de la línea:

</web-app>

La configuración del filtro HSTS es:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Las últimas líneas de web-default.xml serían (con el filtro HSTS añadido en amarillo a continuación):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
  1. Copie el archivo de web-default.xml actualizado en los otros servicios afectados.
  2. Reinicie los servicios de proxy.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Affected Products

Dell Encryption
Article Properties
Article Number: 000209524
Article Type: How To
Last Modified: 15 Apr 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.