none
IIS 보안 취약점 해결 방법 문의드립니다.(헤더에 IP가 노출되는 문제) RRS feed

  • 질문

  • Windows Server2008을 사용하고 IIS 6.0 7.0 이 설치되어 있습니다.

    IIS를 사용중인데 헤더에 내부 IP 주소가 노출되어  보안부분에서 문제점이 발견되었습니다.

    Q218180 부분을 참조하여 해결하려고 하였으나

    다른 버전들은 있는데 2008 에서 적용하는 방법은 나와있지 않아 이렇게 글을 쓰게 되었습니다.(Windows Server 2008 R2 사용)

    답변 부탁드립니다.

    2015년 8월 6일 목요일 오전 12:18

답변

  • 안녕하세요,  cficjhkim 님.
    Microsoft Technet의 Forum 사이트를 방문해 주셔서 감사합니다.
    문의 하신 "IIS 보안 취약점 해결 방법 문의드립니다.(헤더에 IP가 노출되는 문제)"에 대한 답변을 드리겠습니다.

    1. IIS 7.0은 다음 문서를 참조하여 alternateHostName property를 수정하십시요.

    http://babyraj.com/hide-ip-address-in-iis-http-header/
    Hide IP address in IIS HTTP header

    A possible solution for Hide IP address in IIS HTTP header in IIS 7.0

    In IIS7 an later versions , there is only one property, named alternateHostName.  Users can utilize this attribute to configure whatever hostname as per their requirements can be the machine’s FQDN (Fully qualified domain name) or otherwise.  To configure this, users can use the command-line utility

    appcmd.exe.  Here is an example command to define a hostname of “Server1”:

    appcmd.exe set config -section:system.webServer/serverRuntime /alternateHostName:”Server1″  /commit:apphost

    2. IIS 6.0은 KB834141 문서에 있는 버전보다 이후버전인지 확인하시고 UseHostName 과 SetHostName metabase property 변경하십시요.

    https://support.microsoft.com/en-us/kb/834141
    FIX: IP address is revealed in the content-location field in the TCP header in IIS 6.0
    ...
    MORE INFORMATION
    ...
    The data type for the UseHostName property is Boolean. The UseHostName property will instruct IIS to always replace the SERVER_NAME variable with the fully qualified machine name.
    ...
    A Web server administrator may use the Adsutil.vbs tool to modify the UseHostName metabase property and the SetHostName metabase property.

    제시해 드린 답변이 도움이 되었기를 바랍니다.
      
    답변이 문제 해결에 도움이 되었다면 답변으로 채택을 부탁드립니다.
    하지만 문제 해결이 되지 않아서 정확한 답변을 원하는 경우에는 문제의 정보를 더 자세하게 답변으로 제공해주시기 바랍니다


    2015년 8월 11일 화요일 오전 6:47
    중재자