Włączanie protokołu HSTS na serwerze proxy programu Dell Security Manager
Podsumowanie: Serwer proxy programu Dell Security Manager może wykazywać lukę w zabezpieczeniach HSTS podczas skanowania zabezpieczeń.
Instrukcje
Dotyczy produktów:
- Dell Security Management Server
Dotyczy wersji:
- 11.1 i nowsze (zmodyfikowane przez zmianę konfiguracji)
- 11.0 i starsze (wymaga zaktualizowanego pliku .jar zawierającego filtr HSTS. Trwa dochodzenie w sprawie tych starszych serwerów).
Dotyczy systemów operacyjnych:
- Windows Server
Na serwerze proxy programu Dell Security Manager zidentyfikowano lukę w zabezpieczeniach protokołu HSTS. Aby usługi usuwały tę lukę, można skonfigurować filtr HSTS.
Usługa HTTP Strict Transport Security (HSTS) jest oznaczana jako luka w zabezpieczeniach przez skanery zabezpieczeń na serwerze proxy programu Dell Security Manager.
Serwer proxy programu Dell Security Manager składa się z czterech usług:
- Serwer proxy rdzenia firmy Dell
- Dell Device Server
- Dell Policy Proxy
- Serwer proxy zabezpieczeń firmy Dell
Należy zmodyfikować webdefault.xml plików w folderze conf, aby uwzględnić konfigurację filtra HSTS, aby włączyć HSTS w usługach Dell Core Server Proxy, Dell Device Server i Dell Security Server Proxy.
Lokalizacje instalacji to:
- Serwer proxy podstawowego serwera Dell: C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
- Serwer urządzeń Dell: C:\Program Files\Dell\Enterprise Edition\Device Server
- Serwer proxy zabezpieczeń Dell: C:\Program Files\Dell\Enterprise Edition\Security Server Proxy
Wykonaj następujące czynności:
- Zatrzymajusługi serwera proxy.
- Zmień katalog na jeden z folderów usług proxy .\conf.
- Wykonaj kopię zapasową pliku conf\web-default.xml na wypadek wystąpienia błędu.
- Dodaj aktualizacje filtru HSTS do jednego z plików conf\web-default.xml usług.
Konfiguracja filtra HSTS jest dodawana w dolnej części pliku webdefault.xml, powyżej wiersza:
</web-app>
Konfiguracja filtra HSTS jest następująca:
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Kilka ostatnich wierszy web-default.xml będzie wyglądało następująco (z dodanym filtrem HSTS w kolorze żółtym poniżej):
<security-constraint>
<web-resource-collection>
<web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
<url-pattern>/</url-pattern>
<http-method>TRACE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
- Skopiuj zaktualizowany plik web-default.xml do innych usług, których dotyczy problem.
- Uruchom ponownieusługi proxy.
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.