IIS 6에서 서버 배너 제거

먼저 IIS 6에서 클라이언트에 반환하는 내용을 확인하십시오. Microsoft.com에 요청을 보내면 서버는 다음과 유사한 내용을 반환합니다.

    HTTP/1.1 200 OK
    Cache-Control: public
    Content-Length: 13073
    Content-Type: text/html
    Expires: Fri, 08 Oct 2004 18:23:35 GMT
    Last-Modified: Fri, 08 Oct 2004 15:36:55 GMT
    Server: Microsoft-IIS/6.0
    X-AspNet-Version: 1.1.4322
    P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA _
    PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
    X-Powered-By: ASP.NET
    Date: Fri, 08 Oct 2004 15:56:26 GMT

굵은 글꼴로 표시된 서버 배너는 이름 그대로 명확하게 IIS 6.0 서버를 나타냅니다. 일부 보안 전문가는 공격자가 연결을 시도할 때 웹 서버의 종류를 쉽게 파악할 수 없도록 이 배너를 제거할 것을 권장합니다. 이렇게 하면 배너를 수집한 후 되돌아가서 해당 배너의 서버를 공격하는 스크립트 키디 엔진(script kiddie engine)으로부터 어느 정도 서버를 보호할 수 있습니다.

위의 서버 응답에는 X-ASPNet-Version 번호와 X-Powered-by: ASP.NET을 포함해 Microsoft 서버로 식별하는 많은 항목이 포함되어 있습니다.

이러한 태그는 ASP.net이 설치될 때 추가되어 IIS 5와 IIS 6 서버에 표시됩니다. 또한 FrontPage Server Extensions를 설치한 경우에는 Microsoft Office Web Server에 액세스했음을 알려주는 헤더가 표시됩니다.

이러한 추가 헤더는 IIS 콘솔의 HTTP 헤더 탭에서 제거할 수 있습니다. 이로 인해 FrontPage에 문제가 발생할 수 있는지 여부는 테스트해 보지 않았지만 무엇보다 기능에 영향을 주지 않아야 합니다.

서버 헤더와 추가 기능 태그를 제거하면 공격자는 Asp 또는 ASP.net 페이지를 제공한다는 사실로 IIS 서버임을 추측해야 합니다. 그러나 이러한 추측 작업은 어렵지 않습니다. 이 외에도 사용 중인 서버의 종류를 쉽게 파악할 수 있는 방법이 있습니다.

따라서 여기서는 서버 배너를 제거하거나 모호하게 하는 데 큰 의미를 두지 않습니다.

IIS 6에서 서버 배너를 제거하려면 다음 레지스트리 값을 1로 설정하면 됩니다.

HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parpameters\
DisableServerHeader

IIS 5에서 배너를 제거할 때는 URLScan을 사용해 URLScan.ini 파일의 RemoveServerHeader 설정을 조정하면 됩니다.