Dell Security Managerプロキシ サーバーでHSTSを有効にする方法

概要: セキュリティ スキャン時に、Dell Security Managerプロキシ サーバーにHSTSの脆弱性が表示されることがあります。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

手順

対象製品:

  • Dell Security Management Server

影響を受けるバージョン:

  • 11.1以降(構成変更に伴い変更)
  • 11.0以前(HSTSフィルターを含むアップデート済みの.jarファイルが必要です。これらの古いサーバーについては現在調査中です)。

対象オペレーティング システム:

  • Windowsサーバ

Dell Security Managerプロキシ サーバーでHSTSの脆弱性が特定されました。HSTSフィルタは、この脆弱性に対処するためにサービス用に設定できます。

HTTP Strict Transport Security (HSTS)は、Dell Security Managerプロキシ サーバーでセキュリティ スキャナーによって脆弱性としてマークされています。

Dell Security Manager Proxy Serverは、次の4つのサービスで構成されています。

  • Dell Core Serverプロキシ
  • Dell Device Server
  • Dell Policy Proxy
  • Dell Security Server プロキシ
注:Dell Policy ProxyはJettyプロキシ サーバー サービスではないため、ポート8000経由の転送は暗号化されません。ただし、ペイロードは暗号化され、この方法でセキュリティが提供されるため、Policy ProxyでHSTSを変更する必要はありません。

Dell Core Server Proxy、Dell Device Server、Dell Security Server ProxyサービスでHSTSを有効にするには、confフォルダー内のファイル webdefault.xmlを変更して、HSTSフィルターの設定を含める必要があります。

注:デフォルトのweb-default.xml ファイルは、3つのプロキシ サーバー サービスで同じです。web-default.xmlファイルの 1 つを更新し、そのファイルを他の 2 つのサーバー conf フォルダーにコピーして、サービスを再起動すると、変更を他のサービスにすばやく反映できます。

インストール場所は次のとおりです。

  • Dell Core Server Proxy: C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
  • Dell Device Server: C:\Program Files\Dell\Enterprise Edition\Device Server
  • Dell Security Server Proxy: C:\Program Files\Dell\Enterprise Edition\Security Server Proxy

次の手順を実行します。

  1. プロキシ サービスを停止します。
  2. ディレクトリーをプロキシ サービスの.\confフォルダーのいずれかに変更します。
  3. エラーが発生した場合に備えて、conf\web-default.xmlファイルのバックアップを作成します。
  4. サービスのconf\web-default.xmlファイルの1つにHSTSフィルターの更新を追加します

HSTSフィルター構成は、webdefault.xmlファイルの末尾の次の行の上に追加されます。

</web-app>

HSTSフィルターの構成は次のとおりです。

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

web-default.xmlの最後の数行は次のようになります (下の黄色 で示したHSTSフィルターが追加されています)。

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
  1. 更新されたweb-default.xmlファイルを、影響を受けた他のサービスにコピーします。
  2. プロキシ サービスを再起動します。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

対象製品

Dell Encryption
文書のプロパティ
文書番号: 000209524
文書の種類: How To
最終更新: 15 4月 2024
バージョン:  6
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。