IISのレスポンスヘッダ情報の一部を編集

| | コメント(9) | トラックバック(0)

IISのレスポンスヘッダ情報の一部を編集するお話。
めもだけ。

・@IT:Security Tips > IISのヘッダ情報の一部を消去
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/020iis.html
「Serverヘッダの削除」「Content-Locationヘッダの修正」「WWW-Authenticateヘッダ中のrealmの修正」について。

・IIS 5.0 セキュリティ最初の一歩
http://www.port139.co.jp/ntsec_iis5.htm
「Content-Location ヘッダーの設定変更」の項目
他の項目も見ること。

・218180 - IIS が HTTP ヘッダー (Content-Location) で IP アドレスを返す
http://support.microsoft.com/default.aspx?scid=kb;ja;JP218180
対象はIIS4.0との事ですが、それ以降のバージョンでも同じと考えていいかな。

インターネットインフォメーションサービスの「Webサイトのプロパティ」>「HTTPヘッダ」タブから「X-Powered-By: ASP.NET」とか消すのもあるかも?

(2004/06/20 追記 ここから)
IIS6.0での問題点と、とりあえずの回避策

YamaKenさんに教えてもらった件。

・834141 - FIX: IP address is revealed in the content-location field in the TCP header in IIS 6.0
http://support.microsoft.com/default.aspx?scid=kb;EN-US;834141
問題点の説明

・834141 - FIX: インターネット インフォメーション サービス 6.0 が TCP ヘッダーの content-location フィールドの IP アドレスがわかります。
http://support.microsoft.com/default.aspx?scid=kb;JA;834141
日本語(2004/06/20現在、機械翻訳)

どうしてもすぐに修正したいなら、サポートに連絡すればhotfixが手に入るらしい。
しかし、SPが出るのを待つことを強く推奨とのこと。
とりあえず待ちということで。

更に教えてもらったBernardさんのところの回避策。

・IIS 6.0 content-location field FIXED !!!
http://msmvps.com/bernard/archive/2004/06/11/7976.aspx
324287 - [HOWTO] IIS 6.0 でホスト ヘッダー値を使用して複数の Web サイトを構成する方法」で回避できるかもというもの。(?)

Hostヘッダがないとアクセスさせないようにするという事かな?

ホスト ヘッダー値を既定の Web サイトに割り当てないでください。多くのプログラムでは、既定の Web サイトが "(未使用の IP アドレスすべて)" の IP アドレスと TCP ポート 80 を使用し、ホスト ヘッダー値は使用しないことを想定しています。
324287 - [HOWTO] IIS 6.0 でホスト ヘッダー値を使用して複数の Web サイトを構成する方法

って言うのが気になりました。
IP指定でアクセスすると、「既定の Web サイト」では、回避できない事があるということかな?
あるいは、「既定の Web サイト」にHostヘッダを割り当てても、IPアドレスからのアクセスが出来ないだけで実質問題がないとか?

(2004/07/05 追記 ここから)
2004/06/21のYamaKenさんのコメントによると「既定の Web サイトを使ってサービスを提供するのって、やっちゃいけないことのひとつ」との事。(Thanks)
なので「既定の Web サイト」の話は気にしない方針で。
(2004/07/05 追記 ここまで)

私が勘違いもありそうなので、動作を見て、確認して見ようと環境を作ってみました。
と思ったら、Hostヘッダなし(てことは、HTTP/1.0かな)でWAN側からLAN側のWebサーバを見ないといけないんですね。
久しくダイアルアップ使ってなくて、環境作れませんでした。
外部のPROXYでも経由しようかと思ったけど、PROXYがHostヘッダを付けちゃうこともあるので、とりあえず断念。

# 解釈あってます?
(2004/06/20 追記 ここまで)

IISのサーバーバナーの削除方法 (2005/01/18 追記)

しかし、IIS 6 のサーバー バナーは、以下のレジストリ値を 1 に設定することによって、削除することができます。

HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parpameters\DisableServerHeader

IIS 5 では、URLScan を使用して、ファイルの URLScan の RemoveServerHeader 設定でバナーを削除することができます。
IIS 6 のサーバー バナーの削除 (IIS Insider : 2004 年 10 月)

トラックバック(0)

このブログ記事を参照しているブログ一覧: IISのレスポンスヘッダ情報の一部を編集

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/298

コメント(9)

COntent-Location のフィールドについて。
IIS6 ではこの手が通用せず、 SP1 による Fix 待ちということです。 (Bernard Cheah という IIS MVP より教えてもらってます)

ike :

YamaKenさん。
ありがとうございます。
手軽にヘッダをフィルタ(書き換え)するにはどういう方法があるんでしょうね?
ちょっと思い出してみたんですが、思い当たりませんでした。(←思い出すんじゃなくて、探せと言う話もある)

その話は、この辺で触れているかと。

http://blogs.sqlpassj.org/yamaken/archive/2004/06/14/2705.aspx
http://blogs.sqlpassj.org/yamaken/archive/2004/05/22/2433.aspx
http://blogs.sqlpassj.org/yamaken/archive/2004/05/22/2433.aspx

Bernard の Blog が端緒なので、上に書いた記事のリンクを辿って、彼の記事も確認してみてください。

ISAPI 使う場合の注意点は URLScan 2.1 迄とか、上の記事で挙げてるツールをコンパイルして突っ込んだ際と同じですが、気をつけていないといぢったフィールドが一番下に来たりするってところでしょうか。

どっちにしても、これらのパラメータの大半は、メタベースに格納されています。まぁ、中にはDLL にハードコードされてるような困ったヤツもいるわけですが。(Fix が出る前の FTP サーバとか。)

ike :

お世話になりっぱなしのYamaKenさん。
ありがとうございます。
ツールは調べたいと思いますー。

先日、Bernardさんの記事を辿って調べかけてたんですが、途中だったりします。
完了しなさそうなので、本文を更新しちゃいます。
(理解が正しいかも不安)

既定の Web サイトを使ってサービスを提供するのって、やっちゃいけないことのひとつだったりします。
あと、インストールするツールによっては、既定のWebサイトをのっとっちゃうものもありますし。(Office XP の SharePoint Team Service とか、Server Appliance Kit等。いずれも IIS5.0 で確認できます)

なので、それは注記しておく必要があるものの、あんまり気にしないでもよいかと思います。

Web サーバによりけりだけど、例えば Lotus Domino 5.0.x だったり、 Apache にもバナーやこの辺のヘッダフィールドの修正方法って用意されてます。ご興味あらば、調べてみては?

忘れてた。Basic 認証使ってるページを持ってる場合、 Realm のトコの文字列の変更も同程度の重要度があるかな。
こっちで触れてます。
http://msmvps.com/bernard/archive/2004/05/11/6227.aspx#6939

つまり、メタベースを編集します。adsutil.vbs を使うとすれば、こんな感じ。 GUI で行きたければ Metabase Explorer (ダウンロードセンタで入手可能)でも使うとよいかと。

cscript C:\inetpub\adminscripts\adsutil.vbs set w3svc/(該当する、仮想サイトの番号)/realm (見せる文字列)

ike :

YamaKenさん。ありがとうございます。

WWW-Authenticate: Basic realm="www.example.jp"

Windows認証の時はこのヘッダフィードはないんですね。
Basic認証のみですね。

Realm は Basic のトキに見かけてます。で、ココに IP がモロっと出てしまうということで。

ike :

YamaKenさん。
あ、Basic、Windows認証の件は、一応こちらでも確認してありますー。
モロっと出ちゃう部分はWAN側から接続してないので見てませんがー。
ありがとうございます。

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年6月 6日 06:45に書いたブログ記事です。

ひとつ前のブログ記事は「大量のデータのdeleteをすばやく行う方法」です。

次のブログ記事は「シマンテックへの短いリンクの張り方」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

On IISのレスポンスヘッダ情報の一部を編集
  • ike: YamaKenさん。 あ、Basic、W
  • YamaKen: Realm は Basic のトキに見か
  • ike: YamaKenさん。ありがとうございます
  • YamaKen: 忘れてた。Basic 認証使ってるページ
  • YamaKen: 既定の Web サイトを使ってサービスを
  • ike: お世話になりっぱなしのYamaKenさん
  • YamaKen: その話は、この辺で触れているかと。 h
  • ike: YamaKenさん。 ありがとうございま
  • YamaKen: COntent-Location のフィ
Powered by Movable Type 4.261