IIS 헤더에 서버 정보 숨기기

최근 고객사의 요청으로 웹서버의 보안 점검이 있었습니다.

몇가지 보안 취약점이 발견되어 조치를 하게 되었는데 그 중 IIS 서버 정보가 노출이 되는 건이 있어 이를 조치하는 방법에 대해 포스팅하고자 합니다.

IIS서버 관리자 및 웹개발자분들께 도움이 되었으면 합니다.​

 

​

​

---

​

​

Windows Server 보안 - IIS 서버 정보 숨기기

위 그림은 크롬에서 개발자도구(F12)를 실행시켜 특정 웹사이트의 네트워크 헤더정보를 보여주고 있습니다.

응답 헤더 정보에 보면 Server 항목이 있는데 여기에 Microsoft-IIS/8.5 라고 서버의 정보가 적나라하게 표시되고 있습니다.

보통의 경우 서버정보가 헤더에 표시되는 것은 보안상 취약점으로 분류되고 있으므로 보안감사에서 걸릴 확률이 100%입니다.

서버정보는 무조건 제거해 줘야 합니다.

​

​

​

IIS 인터넷 정보 서비스 관리자의 해당 사이트를 선택하신 후

IIS 영역의 URL 재작성(URL Rewrite)으로 들어갑니다.

​

​

URL 재작성 우측 상단에 '규칙 추가'로 들어갑니다.

 

 

​

​

규칙 추가 창이 나오면 아웃바운드 규칙 > 빈 규칙으로 들어갑니다.

​

​

위와 같이 설정값을 세팅해 줍니다.

1. 이름 : 본인이 관리할 이름을 자유롭게 적어주세요.

2. 검색 범위 : 서버 변수

3. 변수 이름 : RESPONSE_SERVER

4. 패턴 : .*

5. 작업 유형 : 재작성

6. 값 : 빈값으로 두어도 됩니다.

​

위와 같이 세팅 후 우측 상단에 '적용'을 눌러 주세요.

​

다음으로 위와 동일한 방법으로 변수이름을 RESPONSE_X-POWERED-BY, RESPONSE_X-ASPNET-VERSION 으로 각각 주어서 두개의 설정을 더 만들어주세요. 아래 이미지 참고

​

​

위와 같이 3개의 아웃바운드 규칙이 등록 완료되었으면 사이트를 재시작합니다.

​

​

​

이제 마지막으로 서버 응답 헤더값을 확인해 봅니다.

사이트를 완전히 새로고친 후에 응답값을 확인해 보니 Server정보, X-ASPNET-VERSION 정보, X-POWERED-BY 정보가 모두 숨김처리되었습니다.

​

수고하셨습니다.