Como puede ver en la etiqueta, sé que security by obscurity no es una verdadera seguridad.
Considere un servidor disponible para Internet en el puerto 443 (SSL) de una dirección IP fija en el rango de acceso telefónico de un proveedor de telecomunicaciones solamente. Cuando https'ed, muestra una IIS 8 página de bienvenida. Se puede acceder al servidor solo a través de la dirección IP, sin entrada de DNS (excepto la entrada habitual ip-<ip>.customers.provider.com
que se establece para CADA dirección IP en el rango del proveedor). La dirección IP se almacena en las cuentas de correo de los dispositivos Windows Phone, iOS y Android, y se ingresa desde los navegadores con Google, Bing , y la búsqueda automática de Yahoo, por lo tanto técnicamente conocida por Google, Apple, Yahoo y Microsoft, y posiblemente otros proveedores de aplicaciones de terceros si estos pueden acceder a la configuración de la cuenta de correo desde sus aplicaciones.
Además, se usa para navegar por Internet y escribir correos electrónicos, y se almacena en muchos registros del servidor, etc., etc., y especialmente en los sitios donde uno tiene que iniciar sesión, como Stack Exchange, puede ver fácilmente que es una dirección IP fija, ya que la dirección IP siempre ha estado vinculada al mismo nombre de usuario durante los últimos dos años.
En ese servidor IIS, se ejecutan OWA y ActiveSync . Ambos son necesarios para acceder al correo desde todas partes. Estas son las aplicaciones que esperaría en un servidor IIS, y pruebe primero cuando vea una página de bienvenida de IIS.
Además de hacer actualizaciones de Windows / Exchange con regularidad, usar contraseñas duras, presentar a todos los empleados los conceptos de phishing e ingeniería social, y esperar que nuestro correo electrónico no sea lo suficientemente interesante como para justificar un ataque directo dirigido a nosotros, especialmente. tiene sentido "proteger" el servidor cambiando la página devuelta en una solicitud HTTPS "desnuda" a una página indistinguible (incluyendo todos los encabezados) de una "¡Funciona!" Apache page?
Podría usar algunos argumentos buenos que un CEO, a quien se le ocurrió esa idea, en primer lugar, puede entender.
EDITAR: No, no necesito obtener el respaldo de la administración superior para la seguridad. El CEO parece que ya se preocupa por la seguridad, o de lo contrario no propondría tales ideas para "mejorar". No soy un tipo de seguridad con certificados y todo, solo un ciudadano preocupado, principalmente desarrollador, administrador de servidores a tiempo parcial. Nuestra empresa no tiene un tipo de seguridad real; Somos cuatro personas en este momento.
Como hago la administración del servidor a tiempo parcial, se me pidió que cambiara el servidor. Pero antes de profundizar para obtener información sobre cómo cambiar los encabezados predeterminados en IIS, me gustaría cuestionar el "proyecto" completo ...