Dell Unity: HSTS faltante en el servidor HTTPS: corregible por el usuario

Un escáner de vulnerabilidades informa que faltan HSTS en servidores HTTPS en un arreglo Dell Unity que ejecuta Dell Unity OE, revisión 4.2.1.9535982 o posterior.

Esto puede ser un error de escáner de falso positivo.

A partir de la revisión 4.2.1 del entorno operativo (OE) Dell Unity, Unity incluye HSTS en los puertos 443, 8443 y 8444.  

A partir de la revisión 5.3 de Dell Unity OE, Unity incluye mejoras de HSTS en el puerto 5989. Sin embargo, un programa de escáner aún informa el puerto como una vulnerabilidad.

Existe una solución alternativa para deshabilitar el puerto 5989 en Unity. Dell no recomienda este método y, en cambio, sugiere implementar un cambio de red externa. Si se debe bloquear el acceso al puerto 5989 (es decir, para colocar Unity detrás de un firewall), Dell puede deshabilitar el puerto 5989. Se debe contactar al soporte técnico de Dell para realizar este cambio. Comuníquese con el soporte técnico de Dell o con su proveedor de servicios autorizado y mencione este ID de artículo de la base de conocimientos de Dell.

Para obtener más información sobre los puertos utilizados en la seguridad de Unity, visite el soporte de Dell y busque la "Guía de configuración de seguridad".  Busque este documento: Guía de configuración de seguridad de la familia Dell Unity

HTTP Strict Transport Security (HSTS) es un encabezado de respuesta HTTP relacionado con la seguridad, que indica a los navegadores cliente que solo accedan al sitio a través de una conexión HTTPS. Esto indica al navegador que aplique esta restricción en lugar de depender solo de las redirecciones del lado del servidor. El encabezado HTTP Strict Transport Security ayuda a reducir la explotación exitosa de los ataques de intermediario que se utilizan para espiar o interactuar con sesiones de clientes.

Hay disponible una solución alternativa que permite que Unity, UEMCLI y Unisphere trabajen con el servicio de administración internamente en el puerto 5989. El cambio deshabilita la conexión en el puerto 5989 desde estaciones de trabajo o servidores externos. Sin embargo, el soporte técnico de Dell debe implementar esta solución alternativa, ya que no está disponible para la corrección del cliente. Comuníquese con el soporte técnico de Dell o con su proveedor de servicios autorizado y mencione este ID de artículo de la base de conocimientos de Dell.

Nota importante:

• Estos cambios se deben realizar en ambosprocesadores de almacenamiento (SP) Unity; de lo contrario, la configuración se perderá después de una conmutación por error del servicio de administración (apagado, reinicio, etc.)
• Estos cambios se sobrescriben cuando se realiza cualquier actualización de código de Unity OE. Una vez que se haya actualizado el arreglo, estos cambios se deben volver a configurar si los cambios deben permanecer.