Activation de HSTS sur le serveur proxy Dell Security Manager
Résumé: Le serveur proxy Dell Security Manager peut présenter une faille de sécurité HSTS lors de l’analyse de sécurité.
Instructions
Produits concernés :
- Dell Security Management Server
Versions concernées :
- 11.1 et versions ultérieures (modifiées avec une modification de configuration)
- 11.0 et versions antérieures (nécessite un fichier .jar mis à jour contenant un filtre HSTS. Une enquête est en cours pour ces anciens serveurs.)
Systèmes d’exploitation concernés :
- Windows Server
Une faille de sécurité HSTS a été identifiée dans le serveur proxy Dell Security Manager. Un filtre HSTS peut être configuré pour que les services remédient à cette faille de sécurité.
HTTP Strict Transport Security (HSTS) est signalé comme une faille de sécurité par les scanners de sécurité dans le serveur proxy Dell Security Manager.
Dell Security Manager Proxy Server comprend quatre services :
- Dell Core Server Proxy
- Dell Device Server
- Proxy de règles Dell
- Dell Security Server Proxy
Le webdefault.xml de fichier, dans le dossier conf, doit être modifié pour inclure la configuration du filtre HSTS, afin d’activer HSTS sur les services Dell Core Server Proxy, Dell Device Server et Dell Security Server Proxy.
Les emplacements d’installation sont les suivants :
- Dell Core Server Proxy : C :\Program Files\Dell\Enterprise Edition\Core Server Proxy
- Dell Device Server : C :\Program Files\Dell\Enterprise Edition\Device Server
- Dell Security Server Proxy : C :\Program Files\Dell\Enterprise Edition\Security Server Proxy
Procédez comme suit :
- Arrêtez les services proxy.
- Remplacez le répertoire par l’un des dossiers .\conf des services proxy.
- Effectuez une sauvegarde du fichier conf\web-default.xml au cas où une erreur se produirait.
- Ajoutez les mises à jour du filtre HSTS à l’un des fichiers conf\web-default.xml services.
La configuration du filtre HSTS est ajoutée au bas du fichier webdefault.xml, au-dessus de la ligne :
</web-app>
La configuration du filtre HSTS est la suivante :
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Les dernières lignes de web-default.xml seraient (avec le filtre HSTS ajouté en jaune ci-dessous) :
<security-constraint>
<web-resource-collection>
<web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
<url-pattern>/</url-pattern>
<http-method>TRACE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
- Copiez le fichier web-default.xml mis à jour dans les autres services concernés.
- Redémarrez les services proxy.
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.