¿Parecería que hacer que un servidor web IIS esté ejecutando Apache, mejoraría la seguridad?

12

Como puede ver en la etiqueta, sé que security by obscurity no es una verdadera seguridad.

Considere un servidor disponible para Internet en el puerto 443 (SSL) de una dirección IP fija en el rango de acceso telefónico de un proveedor de telecomunicaciones solamente. Cuando https'ed, muestra una IIS 8 página de bienvenida. Se puede acceder al servidor solo a través de la dirección IP, sin entrada de DNS (excepto la entrada habitual ip-<ip>.customers.provider.com que se establece para CADA dirección IP en el rango del proveedor). La dirección IP se almacena en las cuentas de correo de los dispositivos Windows Phone, iOS y Android, y se ingresa desde los navegadores con Google, Bing , y la búsqueda automática de Yahoo, por lo tanto técnicamente conocida por Google, Apple, Yahoo y Microsoft, y posiblemente otros proveedores de aplicaciones de terceros si estos pueden acceder a la configuración de la cuenta de correo desde sus aplicaciones.

Además, se usa para navegar por Internet y escribir correos electrónicos, y se almacena en muchos registros del servidor, etc., etc., y especialmente en los sitios donde uno tiene que iniciar sesión, como Stack Exchange, puede ver fácilmente que es una dirección IP fija, ya que la dirección IP siempre ha estado vinculada al mismo nombre de usuario durante los últimos dos años.

En ese servidor IIS, se ejecutan OWA y ActiveSync . Ambos son necesarios para acceder al correo desde todas partes. Estas son las aplicaciones que esperaría en un servidor IIS, y pruebe primero cuando vea una página de bienvenida de IIS.

Además de hacer actualizaciones de Windows / Exchange con regularidad, usar contraseñas duras, presentar a todos los empleados los conceptos de phishing e ingeniería social, y esperar que nuestro correo electrónico no sea lo suficientemente interesante como para justificar un ataque directo dirigido a nosotros, especialmente. tiene sentido "proteger" el servidor cambiando la página devuelta en una solicitud HTTPS "desnuda" a una página indistinguible (incluyendo todos los encabezados) de una "¡Funciona!" Apache page?

Podría usar algunos argumentos buenos que un CEO, a quien se le ocurrió esa idea, en primer lugar, puede entender.

EDITAR: No, no necesito obtener el respaldo de la administración superior para la seguridad. El CEO parece que ya se preocupa por la seguridad, o de lo contrario no propondría tales ideas para "mejorar". No soy un tipo de seguridad con certificados y todo, solo un ciudadano preocupado, principalmente desarrollador, administrador de servidores a tiempo parcial. Nuestra empresa no tiene un tipo de seguridad real; Somos cuatro personas en este momento.

Como hago la administración del servidor a tiempo parcial, se me pidió que cambiara el servidor. Pero antes de profundizar para obtener información sobre cómo cambiar los encabezados predeterminados en IIS, me gustaría cuestionar el "proyecto" completo ...

    
pregunta Alexander 16.07.2015 - 07:29
fuente

4 respuestas

19

Esto podría hacer que sean muy los internautas ocasionales, pero cualquiera que ejecute cualquier tipo de exploración en su servidor descubrirá el sistema operativo, la versión del servidor web y el software en ejecución.

Por ejemplo, el script nmap http-enum NSE debería detectar que Outlook Web Access se está ejecutando si alguien cuidado de ejecutarlo contra su servidor.

Sí, por todos los medios reemplaza la página de inicio con otra cosa. Sin embargo, no buscaría nada "predeterminado", incluso el de otro sistema operativo o plataforma de servidor web, ya que el valor predeterminado podría decir "acabamos de configurar esto y no sabemos lo que estamos haciendo en cuanto a seguridad", por lo que puede animar a los chavales de guiones y similares a enumerarlos.

La creación de su propia página de índice estándar conlleva pocos costos de implementación, y es probable que una pequeña proporción de los rastreadores web se mueva hacia algo más interesante. Sin embargo, la mayor parte de sus esfuerzos para asegurar el servidor deben girar en torno al endurecimiento como lo describió.

    
respondido por el SilverlightFox 16.07.2015 - 11:33
fuente
25

No es necesario que los nombres DNS sean detectables.

Se puede escanear todo el IPv4 en menos de un día. Y se ha hecho. Y todavía está sucediendo.

Por lo tanto, debe asumir que su dirección IP ha sido descubierta.

- > Haz de este un buen demo. Descargue el volcado de 25 GB y muestre a su CEO que el certificado de su empresa está allí.

Lectura adicional

respondido por el StackzOfZtuff 16.07.2015 - 11:41
fuente
7

Estoy de acuerdo contigo en que la seguridad por oscuridad nunca debe ser la defensa principal, pero también estoy de acuerdo en que nunca debes facilitar que un atacante detecte los servicios que estás ejecutando.

Es probable que un atacante primero intente averiguar la versión de su servidor web mediante la captura de un banner. Por lo tanto, debe asegurarse de que IIS no divulgue dicha información de esa manera.

Y seguro, tendría sentido ocultar o reemplazar la página de bienvenida predeterminada. No llamaría a eso para asegurar el servidor, pero sí hace más difícil que un atacante detecte la versión / tipo del servicio que está ejecutando.

Al buscar puertos abiertos, el atacante podrá encontrar y probablemente tomar huellas dactilares de otros servicios que esté ejecutando y al mismo tiempo concluirá que debe estar ejecutando IIS, pero no debe revelar esa información fácilmente.

    
respondido por el pineappleman 16.07.2015 - 11:02
fuente
2

Al menos su servidor no se mostraría en un simple rastreador malvado que busque solo estas páginas de bienvenida.

O si se enmascara como Apache, los siguientes ataques automáticos podrían fallar.

Por lo tanto, para un ataque dedicado a su servidor, esto hace que sea un poco más difícil. Pero para los ataques automáticos, esto puede hacer la diferencia.

    
respondido por el flori 16.07.2015 - 12:46
fuente

Lea otras preguntas en las etiquetas