*** Bu makalede anlatılan tüm yöntemler sistemleriniz üzerinde çok gerekmedikçe ve test edilmedikçe uygulanmamalıdır ***

*** Exchange üzerinde servis kesintisine yol açabilir ***

 

Exchange birçok son kullanıcı bağlantısını IIS üzerinden gerçekleştirir. Örneğin RPC over HTTP, ActiveSync, AutoDiscover gibi…HTTP request (istemciden sunucuya doğru yapılır)/response (sunucudan istemciye doğru yapılır) olarak çalışan ve 80 portunu kullanan
protokoldür. HTTP'nin SSL ile kullanıldığı koşul (HTTPS / 443 portu) gerçek güvenliği sağlar, bunun dışında HTTP şifre ve veri aktarmak için malesef güvenli değildir. Senaryomuzda sunucu Exchange ve istemci (Browser Internet Explorer) örneğin OWA ya bağlanan kullanıcı olabilir. 

Exchange CAS (Client Access Server) rolünün üzerinde çalıştığı IIS, bir istemciye cevap verirken bazı header bilgilerini de gönderir. Örneğin;

Bu bilgiler sniffler'lar ve/veya network trafik yakalama yazılımları ile kolayca elde edilebilir. Yukarıda "Server:" ve "X-AspNet-Version:" gibi bilgiler açıkça görünüyor. Bunlar sniff edildiğinde sunucu hakkında bilgiler verir. Bu bilgiler güvenlik anlamında kiritk kabul edilir  ancak eğer güvenlik yamalarını zamanında yüklüyor ve ataklara karşı tedbirler alıyorsanız (firewall / ids - ips vb) içiniz rahat uygulamalarınızı dış dünyaya açmanızda bir mahzur yok.

Bu bilgileri saklamanın iki yöntemi var. İlk olarak, X-AspNet-Version bilgisini şu şekilde gizleyeceğiz. Exchange kurulum dosyaları altında, ..\ V14\ClientAccess\Owa içerisindeki web.config dosyasına enableVersionHeader değeri “False” olarak
eklenir.

 

Sniffer ile tekrar baktığımızda:

Sıra "Server:" bilgisini saklamaya geldi. Bunun için iki farklı IIS versiyonu için farklı yöntemler var. IIS 7.x için URLRewrite uygulamasını IIS’e kurarak yeni bir Outbound kural yazılır.

 

Aşağıda bu kuralın ayrıntılarını görebilirsiniz.

Sniffer ile tekrar kontrol ettiğimizde "Server:" ’ın value değerini aldığını görüyoruz.

 Exchange 2003'te IIS 6.x için ise URLScan uygulamasını kullanmamız gerekiyor.

 

URLScan kurulduktan sonra, URLScan dosyasında URLScan.ini’yi notepad ile açarak

 

RemoveServerHeader değerini 1 yaptığımızda, artık server bilgisi görünmeyecektir.

 http://support.microsoft.com/kb/823175

 http://technet.microsoft.com/en-us/library/aa995856(v=EXCHG.65).aspx

 C. Sinem Tosun