OWA’ya bağlanırken IIS header bilgilerini saklamak

Exchange birçok son kullanıcı bağlantısını IIS üzerinden gerçekleştirir. Örneğin RPC over HTTP, ActiveSync, AutoDiscover gibi…HTTP request (istemciden sunucuya doğru yapılır)/response (sunucudan istemciye doğru yapılır) olarak çalışan ve 80 portunu kullanan
protokoldür. HTTP’nin SSL ile kullanıldığı koşul (HTTPS / 443 portu) gerçek güvenliği sağlar, bunun dışında HTTP şifre ve veri aktarmak için malesef güvenli değildir. Senaryomuzda sunucu Exchange ve istemci (Browser Internet Explorer) örneğin OWA ya bağlanan kullanıcı olabilir.

Exchange CAS (Client Access Server) rolünün üzerinde çalıştığı IIS, bir istemciye cevap verirken bazı header bilgilerini de gönderir. Örneğin;

0488.si1[1]

Bu bilgiler sniffler’lar ve/veya network trafik yakalama yazılımları ile kolayca elde edilebilir. Yukarıda “Server:” ve “X-AspNet-Version:” gibi bilgiler açıkça görünüyor. Bunlar sniff edildiğinde sunucu hakkında bilgiler verir. Bu bilgiler güvenlik anlamında kiritk kabul edilir  ancak eğer güvenlik yamalarını zamanında yüklüyor ve ataklara karşı tedbirler alıyorsanız (firewall / ids – ips vb) içiniz rahat uygulamalarınızı dış dünyaya açmanızda bir mahzur yok.

Bu bilgileri saklamanın iki yöntemi var. İlk olarak, X-AspNet-Version bilgisini şu şekilde gizleyeceğiz. Exchange kurulum dosyaları altında, ..\ V14\ClientAccess\Owa içerisindeki web.config dosyasına enableVersionHeader değeri “False” olarak
eklenir.

0250.si2[1]

Sniffer ile tekrar baktığımızda:

7713.si3[1]

Sıra “Server:” bilgisini saklamaya geldi. Bunun için iki farklı IIS versiyonu için farklı yöntemler var. IIS 7.x için URLRewriteuygulamasını IIS’e kurarak yeni bir Outbound kural yazılır.

5732.si4[1]

Aşağıda bu kuralın ayrıntılarını görebilirsiniz.

4810.si5[1]

Sniffer ile tekrar kontrol ettiğimizde “Server:” ’ın value değerini aldığını görüyoruz.

4137.si6[1]

Exchange 2003’te IIS 6.x için ise URLScan uygulamasını kullanmamız gerekiyor.

6562.si7[1]

URLScan kurulduktan sonra, URLScan dosyasında URLScan.ini’yi notepad ile açarak

5710.si8[1]

RemoveServerHeader değerini 1 yaptığımızda, artık server bilgisi görünmeyecektir.

0334.si9[1]

http://support.microsoft.com/kb/823175

http://technet.microsoft.com/en-us/library/aa995856(v=EXCHG.65).aspx

Kaynak

The following two tabs change content below.
Hakkımda Daha Fazla Bilgi için http://www.huseyinkartal.net/hakkimda/ ziyaret ediniz iletişim için : huseyin.kartal@live.com adresini kullanabilirsiniz.

Latest posts by Huseyin KARTAL (see all)

Hakkımda Daha Fazla Bilgi için http://www.huseyinkartal.net/hakkimda/ ziyaret ediniz iletişim için : huseyin.kartal@live.com adresini kullanabilirsiniz.

2 thoughts on “OWA’ya bağlanırken IIS header bilgilerini saklamak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

 

This site uses Akismet to reduce spam. Learn how your comment data is processed.