Как включить HSTS на прокси-сервере Dell Security Manager

Затронутые продукты:

• Dell Security Management Server

Затронутые версии:

• 11.1 и более поздние версии (изменены с изменением конфигурации)
• 11.0 и более ранние версии (требуется обновленный файл .jar, содержащий фильтр HSTS. В настоящее время ведется исследование в отношении этих старых серверов.)

Затронутые операционные системы:

• Windows Server

На прокси-сервере Dell Security Manager обнаружена уязвимость HSTS. Для служб для устранения этой уязвимости можно настроить фильтр HSTS.

Строгая транспортная безопасность HTTP (HSTS) помечается сканерами безопасности как уязвимость на прокси-сервере Dell Security Manager.

Прокси-сервер Dell Security Manager состоит из четырех служб:

• Прокси-сервер Dell Core
• Dell Device Server
• Dell Policy Proxy
• Прокси-сервер Dell Security Server

Необходимо изменить webdefault.xml файлов в папке conf, чтобы включить конфигурацию фильтра HSTS, чтобы включить HSTS в службах Dell Core Server Proxy, Dell Device Server и Dell Security Server Proxy.

Возможные места установки:

• Прокси-сервер Dell Core. C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
• Dell Device Server. C:\Program Files\Dell\Enterprise Edition\Device Server
• Dell Security Server Proxy. C:\Program Files\Dell\Enterprise Edition\Security Server Proxy

Выполните следующие действия:

1. Остановитепрокси-сервисы.
2. Измените каталог на одну из папок прокси-служб .\conf.
3. Создайте резервную копию файла conf\web-default.xml на случай ошибки.
4. Добавьте обновления фильтра HSTS в один из файлов конфигурации\web-default.xml служб.

Конфигурация фильтра HSTS добавляется в нижнюю часть файла webdefault.xml, над строкой:

</web-app>

Конфигурация фильтра HSTS:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Последние несколько строк web-default.xml будут выглядеть следующим образом (с добавленным желтым фильтром HSTS ниже):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>

5. Скопируйте обновленный файл web-default.xml в другие затронутые службы.
6. Перезапуститепрокси-службы.

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.