sikkerhed - Blokerer OS fingerprinting windows server 2008 IIS7

Indlæg af Hanne Mølgaard Plasc

Problem



Vi har for nylig haft en tredjepartsrevisor, der udfører en penetrationstest på vores MS 2008 webserver, der afdækkede ekstern OS-detektering sårbarhed. Det registrerede OS samt version af IIS.


Revisorerne anbefalede: 'Hvis muligt, konfigurere webserveren, så den ikke præsenterer identificerbare oplysninger i bannerne'


Jeg har gjort en hel del forskning, og jeg kunne ikke finde nogen nem måde, der giver mig mulighed for hurtigt at blokere denne information fra at blive opdaget.


Kender nogen af ​​nogen måde at gøre dette? Er dette noget, der skal konfigureres/nægtes på serverniveau eller webapplikationsniveau inden for koden?

Bedste reference


URLScan er det, du bruger tilbage i IIS 6 dage, ikke sikker på om det stadig virker med IIS 7 eller 7.5. Dette er en smule sikkerhed ved dunkelhed, og ærligt de fleste angreb sprøjter alt, hvad de har på dig, og ikke pas på, hvis du præsenterer dig selv som IIS, de vil smide apacheangreb på dig eller vice versa.


Derudover er der masser af ting, foruden bannere, der giver serveren væk. Ordren, hvor de præsenterer deres information i overskriften, er forskellig mellem IIS, Apache, Weblogic osv. Httprint er et sådant værktøj: http://net-square.com/httprint/[1]


Derudover har du programmer som Satori og p0f, der gør passiv OS-identifikation baseret på TCP-stakken og/eller andre midler.


Så ja, gå tilbage til revisoren og spørg dem, hvad de specifikt anbefaler, og hvorfor! Hvis du tager bannerens ekstremt lave hængende frugt ud, er det en ting, men ærligt, medmindre du har en scriptkiddie med et script, der kun kigger på bannerinformation, beskytter du dig ikke for meget af noget.