Dell Unity: HSTS fehlt in HTTPS Servernutzer korrigierbar

Ein Sicherheitslückenscanner meldet, dass HSTS auf HTTPS-Servern auf einem Dell Unity-Array mit Dell Unity OE-Version 4.2.1.9535982 oder höher fehlt.

Möglicherweise handelt es sich um einen falsch positiven Scannerfehler.

Ab Version 4.2.1 der Dell Unity-Betriebsumgebung (OE) enthält Unity HSTS auf Port 443, 8443 und 8444.  

Ab Dell Unity OE Revision 5.3 enthält Unity HSTS-Verbesserungen auf Port 5989. Ein Scannerprogramm meldet den Port jedoch weiterhin als Schwachstelle.

Es gibt einen Workaround zum Deaktivieren von Port 5989 auf Unity. Dell rät von dieser Methode ab und empfiehlt dringend, stattdessen ein externes Netzwerk zu ändern. Wenn der Zugriff auf Port 5989 blockiert werden muss (d. h., um Unity hinter einer Firewall zu platzieren), kann Dell Port 5989 deaktivieren. Der technische Support von Dell muss einbezogen werden, um diese Änderung vorzunehmen. Wenden Sie sich an den technischen Support von Dell oder Ihren autorisierten Serviceanbieter und geben Sie diese Dell Wissensdatenbank-Artikel-ID an.

Weitere Informationen zu den in der Sicherheit von Unity verwendeten Ports finden Sie beim Dell Support unter "Sicherheitskonfigurationsleitfaden".  Suchen Sie nach diesem Dokument: Dell Unity-Produktreihe – Leitfaden für die Sicherheitskonfiguration

HTTP Strict Transport Security (HSTS) ist ein sicherheitsbezogener HTTP Response-Header, der Clientbrowser anweist, nur über eine HTTPS-Verbindung auf die Website zuzugreifen. Dadurch wird der Browser angewiesen, diese Einschränkung durchzusetzen, anstatt sich nur auf serverseitige Umleitungen zu verlassen. Der HTTP Strict Transport Security-Header trägt dazu bei, die erfolgreiche Ausnutzung von Man-in-the-Middle-Angriffen zu reduzieren, die zum Abhören von oder Interagieren mit Clientsitzungen verwendet werden.

Ein Workaround ist verfügbar, der es der Unity-UEMCLI und Unisphere ermöglicht, intern mit dem Managementservice auf Port 5989 zu arbeiten. Die Änderung deaktiviert die Verbindung auf Port 5989 von externen Workstations oder Servern. Der technische Support von Dell muss jedoch diesen Workaround implementieren, da er für den Kunden nicht zur Korrektur verfügbar ist. Wenden Sie sich an den technischen Support von Dell oder Ihren autorisierten Serviceanbieter und geben Sie diese Dell Wissensdatenbank-Artikel-ID an.

Wichtiger Hinweis:

• Diese Änderungen müssen an beidenUnity-Storage-Prozessoren (SPs) vorgenommen werden, da andernfalls die Konfiguration nach einem Managementservice-Failover (Herunterfahren, Neustart usw.) verloren geht
• Diese Änderungen werden überschrieben, wenn ein Unity OE-Codeupgrade durchgeführt wird. Sobald für das Array ein Upgrade durchgeführt wurde, müssen diese Änderungen neu konfiguriert werden, wenn die Änderungen beibehalten werden müssen.