IIS WebサーバーがApacheを実行しているように見えるようにすると、セキュリティが向上しますか？

Question

タグからわかるように、 obscurityによるセキュリティは本当のセキュリティではないことを知っています。

したがって、通信プロバイダーのダイヤルアップ範囲内の固定IPアドレスのポート443（SSL）でインターネットに接続できるサーバーを検討してください。 httpsが実行されると、 IIS 8 ウェルカムページが表示されます。サーバーにアクセスできるのはIPアドレスのみであり、DNSエントリはありません（プロバイダーの範囲内のすべてのIPアドレスに設定されている通常のip-<ip>.customers.provider.comエントリを除く）。 IPアドレスは、Windows Phone、iOS、およびAndroidデバイスのメールアカウントに保存され、Google、 Bing 、Yahooの自動検索を使用してブラウザーから入力されるため、技術的にはGoogle、Apple、Yahoo、Microsoft、および場合によっては他のサードパーティアプリケーションベンダー（アプリケーションからメールアカウント設定にアクセスできる場合）。

さらに、インターネットの閲覧やメールの書き込みに使用され、多くのサーバーログなどに保存されます。特に、Stack Exchangeなどのログインが必要なサイトでは、それが固定IPアドレス。過去2年間、IPアドレスは常に同じユーザー名に関連付けられていました。

そのIISサーバーでは、OWAと ActiveSync が実行されています。どこからでもメールにアクセスするにはどちらも必要です。これらはIISサーバーで期待するアプリケーションであり、IISウェルカムページが表示されたときに最初に試してみます。

Windows/Exchangeの更新を定期的に行うこと、ハードパスワードを使用すること、すべての従業員にフィッシングとソーシャルエンジニアリングの概念を紹介すること、および私たちに向けられた本格的な攻撃を正当化するのに十分なほど私たちの電子メールが面白くないことを願うこととは別に、「ネイキッド」HTTPSリクエストで返されたページを「すべて機能する」と区別できない（すべてのヘッダーを含む）ページに変更することにより、サーバーを「保護」します。 Apacheページ？

私はそもそもそのアイデアを思いついたCEOが理解しているかもしれないおかしな議論を使うことができます。

編集：いいえ、私はセキュリティのためにトップマネジメントのサポートを受ける必要はありません。 CEOはすでにセキュリティを重視しているようですが、そうでなければ、「改善」のためのそのようなアイデアを思い付くことはありません。私は証明書を持っているセキュリティ担当者ではなく、関係者、主に開発者、非常勤のサーバー管理者です。私たちの会社には本当のセキュリティ担当者がいません。今は4人です。

私はパートタイムでサーバー管理をしているので、サーバーの変更を求められました。しかし、IISで既定のヘッダーを変更する方法について詳細に掘り下げる前に、「プロジェクト」全体について質問したいと思います...

SilverlightFox · Accepted Answer

これにより、非常にカジュアルなサーファーが次々と移動する可能性がありますが、サーバーであらゆる種類のスキャンを実行している人は、OS、Webサーバーのバージョン、および実行中のソフトウェアを発見します。

たとえば、 nmap http-enum NSE スクリプトは、サーバーに対してOutlook Web Accessを実行したい場合に、Outlook Web Accessが実行されていることを検出する必要があります。

はい、必ずホームページを別のものに置き換えてください。デフォルトでは「これを設定しただけで、セキュリティに関して何をしているのかわからない」と言われる可能性があるため、私は「デフォルト」には何もしません。 mayスクリプトキディなどを列挙するように奨励します。

独自の標準インデックスページを作成しても、実装コストはほとんどかかりません。また、Webタンブラーのごく一部が、より興味深いものに移行する可能性があります。ただし、サーバーを保護するためのほとんどの取り組みは、説明したように強化を中心に展開する必要があります。

StackzOfZtuff · Answer

DNS名が検出可能である必要はありません。

IPv4全体を1日未満でスキャンできます。そして、それは行われました。そして、それはまだ続いています。

したがって、IPアドレスが検出されていると想定する必要があります。

すべてのIPv4のポート443のすべての証明書を Rapid7のSonarプロジェクトからダウンロードできます。

->これを素敵なデモにしてください。 25 GBのダンプをダウンロードして、会社の証明書がそこにあることをCEOに示します。

参考文献

ネットワークをスキャンしているのは誰ですか？（A：全員）
マススキャン：3分でインターネット全体

stanko · Answer

あいまいさによるセキュリティが主要な防御であってはならないことに同意しますが、実行中のサービスを攻撃者が簡単に検出できないようにすることにも同意します。

攻撃者はおそらく最初にバナーグラブによってWebサーバーのバージョンを見つけようとするでしょう。したがって、IISがそのような情報を提供していないことを確認してください。

そしてもちろん、デフォルトのウェルカムページを非表示にするか、置き換えることは理にかなっています。サーバーのセキュリティ保護とは言いませんが、攻撃者が実行しているサービスのバージョン/タイプを検出するのを難しくします。

開いているポートをスキャンすることにより、攻撃者は実行中の他のサービスを見つけ、おそらく指紋を付けることができます。これにより、IISを実行している必要があると結論付けられますが、そのような情報を簡単に提供してはなりません。

flori · Answer

少なくとも、サーバーは、これらのウェルカムページだけを探す単純な悪質なクローラーには表示されません。

あるいは、Apacheとして自分を隠す場合、次の自動攻撃はうまくいけば失敗するでしょう。

そのため、サーバーへの専用攻撃の場合、これはおそらく少し難しくなります。しかし、自動攻撃の場合、これは違いを生む可能性があります。