OWA’ya bağlanırken IIS header bilgilerini saklamak
*** Bu makalede anlatilan tüm yöntemler sistemleriniz üzerinde çok gerekmedikçe ve test edilmedikçe uygulanmamalidir ***
*** Exchange üzerinde servis kesintisine yol açabilir ***
Exchange birçok son kullanici baglantisini IIS üzerinden gerçeklestirir. Örnegin RPC over HTTP, ActiveSync, AutoDiscover gibi…HTTP request (istemciden sunucuya dogru yapilir)/response (sunucudan istemciye dogru yapilir) olarak çalisan ve 80 portunu kullanan
protokoldür. HTTP'nin SSL ile kullanildigi kosul (HTTPS / 443 portu) gerçek güvenligi saglar, bunun disinda HTTP sifre ve veri aktarmak için malesef güvenli degildir. Senaryomuzda sunucu Exchange ve istemci (Browser Internet Explorer) örnegin OWA ya baglanan kullanici olabilir.
Exchange CAS (Client Access Server) rolünün üzerinde çalistigi IIS, bir istemciye cevap verirken bazi header bilgilerini de gönderir. Örnegin;
Bu bilgiler sniffler'lar ve/veya network trafik yakalama yazilimlari ile kolayca elde edilebilir. Yukarida "Server:" ve "X-AspNet-Version:" gibi bilgiler açikça görünüyor. Bunlar sniff edildiginde sunucu hakkinda bilgiler verir. Bu bilgiler güvenlik anlaminda kiritk kabul edilir ancak eger güvenlik yamalarini zamaninda yüklüyor ve ataklara karsi tedbirler aliyorsaniz (firewall / ids - ips vb) içiniz rahat uygulamalarinizi dis dünyaya açmanizda bir mahzur yok.
Bu bilgileri saklamanin iki yöntemi var. Ilk olarak, X-AspNet-Version bilgisini su sekilde gizleyecegiz. Exchange kurulum dosyalari altinda, ..\ V14\ClientAccess\Owa içerisindeki web.config dosyasina enableVersionHeader degeri “False” olarak
eklenir.
Sniffer ile tekrar baktigimizda:
Sira "Server:" bilgisini saklamaya geldi. Bunun için iki farkli IIS versiyonu için farkli yöntemler var. IIS 7.x için URLRewrite uygulamasini IIS’e kurarak yeni bir Outbound kural yazilir.
Asagida bu kuralin ayrintilarini görebilirsiniz.
Sniffer ile tekrar kontrol ettigimizde "Server:" ’in value degerini aldigini görüyoruz.
Exchange 2003'te IIS 6.x için ise URLScan uygulamasini kullanmamiz gerekiyor.
URLScan kurulduktan sonra, URLScan dosyasinda URLScan.ini’yi notepad ile açarak
RemoveServerHeader degerini 1 yaptigimizda, artik server bilgisi görünmeyecektir.
https://support.microsoft.com/kb/823175
https://technet.microsoft.com/en-us/library/aa995856(v=EXCHG.65).aspx
C. Sinem Tosun