Como ativar o HSTS no servidor proxy do Dell Security Manager

Produtos afetados:

• Dell Security Management Server

Versões afetadas:

• 11.1 e posterior (modificado com uma alteração de configuração)
• 11.0 e anterior (requer um arquivo de .jar atualizado que contenha um filtro HSTS. A investigação desses servidores mais antigos está sendo conduzida.)

Sistemas operacionais afetados:

• Windows Server

Uma vulnerabilidade HSTS foi identificada no servidor proxy do Dell Security Manager. Um filtro HSTS pode ser configurado para que os serviços resolvam essa vulnerabilidade.

HTTP Strict Transport Security (HSTS) está sendo marcado como uma vulnerabilidade por scanners de segurança, no Dell Security Manager Proxy Server.

O Dell Security Manager Proxy Server consiste em quatro serviços:

• Dell Core Server Proxy
• Servidor de dispositivos da Dell
• Proxy de política da Dell
• Proxy do servidor de segurança da Dell

O arquivo webdefault.xml, na pasta conf, deve ser modificado para incluir a configuração do filtro HSTS, a fim de habilitar o HSTS nos serviços Dell Core Server Proxy, Dell Device Server e Dell Security Server Proxy.

Os locais de instalação são:

• Proxy do Dell Core Server: C:\Arquivos de Programas\Dell\Enterprise Edition\Core Server Proxy
• Dell Device Server: C:\Arquivos de Programas\Dell\Enterprise Edition\Device Server
• Proxy do Dell Security Server: C:\Arquivos de Programas\Dell\Enterprise Edition\Security Server Proxy

Execute as seguintes etapas:

1. Interrompa os serviços de proxy.
2. Altere o diretório para uma das pastas .\conf do serviço de proxy.
3. Faça um backup do arquivo conf\web-default.xml caso ocorra um erro.
4. Adicione as atualizações do filtro HSTS a um dos arquivos conf\web-default.xml serviços.

A configuração do filtro HSTS é adicionada à parte inferior do arquivo webdefault.xml, acima da linha:

</web-app>

A configuração do filtro HSTS é:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

As últimas linhas de web-default.xml seriam (com o filtro HSTS adicionado em amarelo abaixo):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>

5. Copie o arquivo web-default.xml atualizado para os outros serviços afetados.
6. Reinicie os serviços de proxy.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.