Dell Unity: HSTS mancante dal server HTTPS correggibile dall'utente

Uno scanner di vulnerabilità segnala la mancanza di HSTS dai server HTTPS su un array Dell Unity con Dell Unity OE revisione 4.2.1.9535982 o successiva.

Potrebbe trattarsi di un falso positivo dello scanner.

A partire dalla revisione 4.2.1 dell'ambiente operativo (OE) Dell Unity, Unity include HSTS sulle porte 443, 8443 e 8444.  

A partire dalla revisione 5.3 di Dell Unity OE, Unity include miglioramenti HSTS sulla porta 5989. Tuttavia, un programma scanner segnala comunque la porta come vulnerabilità.

Esiste una soluzione alternativa per disabilitare la porta 5989 su Unity. Dell sconsiglia questo metodo e suggerisce vivamente di implementare una modifica della rete esterna. Se è necessario bloccare l'accesso alla porta 5989 (ovvero per proteggere Unity da un firewall), Dell può disabilitare la porta 5989. Il supporto tecnico Dell deve essere coinvolto per apportare questa modifica. Contattare il supporto tecnico Dell o il fornitore di servizi autorizzato e citare l'ID di questo articolo della Knowledge Base.

Per ulteriori informazioni sulle porte utilizzate in Unity's Security, accedere al Supporto Dell e cercare "Security Configuration Guide".  Cercare questo documento: Guida alla configurazione della sicurezza della famiglia Dell Unity

HTTP Strict Transport Security (HSTS) è un'intestazione di risposta HTTP correlata alla sicurezza, che indica ai browser client di accedere al sito solo tramite una connessione HTTPS. In questo modo si indica al browser di applicare questa restrizione invece di fare affidamento solo sui reindirizzamenti lato server. L'intestazione HTTP Strict Transport Security consente di ridurre l'exploit riuscito degli attacchi man-in-the-middle utilizzati per intercettare o interagire con le sessioni client.

È disponibile una soluzione alternativa che consente a Unity UEMCLI e Unisphere di funzionare internamente con il servizio di gestione sulla porta 5989. La modifica disabilita la connessione sulla porta 5989 da workstation o server esterni. Tuttavia, il supporto tecnico Dell deve implementare questa soluzione alternativa in quanto non è disponibile per la correzione da parte del cliente. Contattare il supporto tecnico Dell o il fornitore di servizi autorizzato e citare l'ID di questo articolo della Knowledge Base.

Nota importante:

• Queste modifiche devono essere apportate a entrambigli storage processor (SP) Unity, altrimenti la configurazione verrà persa dopo il failover di un servizio di gestione (arresto, riavvio e così via)
• Queste modifiche vengono sovrascritte quando viene eseguito un aggiornamento del codice Unity OE. Una volta aggiornato l'array per, queste modifiche devono essere riconfigurate, se devono rimanere.