Fare in modo che un server Web IIS esegua Apache invece di migliorare la sicurezza?

12

Come puoi vedere dal tag, so che sicurezza per oscurità non è una vera sicurezza.

Considerare quindi un server disponibile su Internet sulla porta 443 (SSL) di un indirizzo IP fisso nell'intervallo di connessione remota di un provider di telecomunicazioni. Quando viene visualizzato https, mostra una pagina di benvenuto IIS 8 . Il server può essere raggiunto solo tramite indirizzo IP, nessuna voce DNS (tranne la normale voce ip-<ip>.customers.provider.com impostata per OGNI indirizzo IP nell'intervallo del provider). L'indirizzo IP è memorizzato negli account di posta di Windows Phone, iOS e dispositivi Android e inserito dai browser con Google, Bing e Yahoo auto-search, quindi tecnicamente noti a Google, Apple, Yahoo e Microsoft, e possibilmente altri fornitori di applicazioni di terze parti se questi possono accedere alle impostazioni dell'account di posta dalle loro applicazioni.

Inoltre è usato per navigare in Internet e scrivere e-mail, e viene memorizzato in molti registri server, ecc. ecc., e specialmente sui siti dove si deve accedere, come Stack Exchange, è facile vedere che è un indirizzo IP fisso, poiché l'indirizzo IP è sempre stato legato allo stesso nome utente negli ultimi due anni.

Su quel server IIS, OWA e ActiveSync sono in esecuzione. Entrambi sono necessari per accedere alla posta da qualsiasi luogo. Queste sono le applicazioni che mi aspetterei da un server IIS e provo prima quando vedo una pagina di benvenuto IIS.

Oltre a fare regolarmente aggiornamenti su Windows / Exchange, usando password complesse, introducendo tutti i dipendenti ai concetti di phishing e social engineering e sperando che la nostra e-mail non sia abbastanza interessante da giustificare un attacco vero e proprio diretto contro di noi, potrebbe ha senso "proteggere" il server modificando la pagina restituita su una richiesta HTTPS "nuda" a una pagina indistinguibile (incluse tutte le intestazioni) da "Funziona!" Pagina Apache?

Potrei usare alcune argomentazioni ottimistiche che un amministratore delegato, che ha avuto questa idea in primo luogo, potrebbe capire.

EDIT: No, non ho bisogno di ottenere il supporto della direzione per la sicurezza. L'amministratore delegato sembra già preoccuparsi per la sicurezza, altrimenti non avrebbe idea di "miglioramento". Non sono un ragazzo di sicurezza con certificati e tutto, solo un cittadino interessato, principalmente sviluppatore, amministratore di server part-time. La nostra azienda non ha un vero ragazzo di sicurezza; siamo in quattro adesso.

Poiché eseguo l'amministrazione del server part time, mi è stato chiesto di cambiare il server. Ma prima di approfondire le informazioni su come modificare le intestazioni predefinite in IIS, vorrei mettere in discussione l'intero "progetto" ...

    
posta Alexander 16.07.2015 - 07:29
fonte

4 risposte

19

Ciò potrebbe far sì che molto i navigatori occasionali si spostino, ma chiunque esegua qualsiasi tipo di scansione sul server scoprirà il sistema operativo, la versione del server Web e il software in esecuzione.

Ad esempio lo script nmap http-enum NSE dovrebbe rilevare che Outlook Web Access è in esecuzione se qualcuno cura di eseguirlo sul tuo server.

Sì, con ogni mezzo sostituisci la home page con qualcos'altro. Non andrei comunque per nulla "di default", anche quello di un altro sistema operativo o piattaforma di server web, poiché l'impostazione predefinita potrebbe dire "l'abbiamo appena impostato e non sappiamo quello che stiamo facendo in termini di sicurezza", quindi può incoraggiare gli script kiddies e simili per enumerarlo.

Ci sono pochi costi di implementazione nella creazione della tua pagina indice standard, e probabilmente farebbe una piccola parte dei web stumblers passare a qualcosa di più interessante. Tuttavia, la maggior parte dei tuoi sforzi per proteggere il server dovrebbero ruotare attorno all'indurimento come hai descritto.

    
risposta data 16.07.2015 - 11:33
fonte
25

Non è necessario che i nomi DNS siano rilevabili.

L'intero IPv4 può essere scansionato in meno di un giorno. Ed è stato fatto. Ed è ancora in corso.

Pertanto, devi presupporre che il tuo indirizzo IP sia stato scoperto.

- > Rendi questa una bella demo. Scarica la discarica da 25 GB e mostra al tuo CEO che il certificato della tua azienda è lì.

Ulteriori letture

risposta data 16.07.2015 - 11:41
fonte
7

Sono d'accordo con te che la sicurezza per oscurità non dovrebbe mai essere la difesa principale, ma sono anche d'accordo sul fatto che non dovresti mai rendere facile per un utente malintenzionato rilevare i servizi che stai utilizzando.

Probabilmente un utente malintenzionato prima tenterà di capire la versione del tuo server web usando il banner. Quindi dovresti assicurarti che IIS non stia dando via tali informazioni in questo modo.

E certo, avrebbe senso nascondere o sostituire la pagina di benvenuto predefinita. Non definirei la protezione del server, ma renderebbe più difficile per un utente malintenzionato rilevare la versione / tipo del servizio in esecuzione.

Scansionando le porte aperte, l'utente malintenzionato sarà in grado di trovare e probabilmente prendere le impronte digitali degli altri servizi in esecuzione e concluderà anche che devi eseguire IIS, ma non dovresti dare via tali informazioni facilmente.

    
risposta data 16.07.2015 - 11:02
fonte
2

Almeno il tuo server non verrebbe visualizzato in un semplice crawler malvagio che cerca solo queste pagine di benvenuto.

O se ti mascherano da apache, gli attacchi automatici si spera possano fallire.

Quindi per un attacco dedicato sul tuo server, questo rende forse solo un po 'più difficile. Ma per gli attacchi automatici questo può fare la differenza.

    
risposta data 16.07.2015 - 12:46
fonte

Leggi altre domande sui tag