Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Jorge Oblitas
Especialista en tecnologías de desarrollo
Microsoft Perú
1
Agenda
La historia de IIS
Seguridad en IIS 6
Filosofía de Diseño
Características mejoradas de seguridad
IIS 7
2
Algunos datos
IIS 4 (Windows NT 4) y ISS 5
(Windows 2000) fueron diseñados
para fácil uso – no para ser seguros
IIS y todas sus extensiones instalados
por defecto
Los clientes tenían control limitado en
las implementaciones de IIS
3
IIS 5
4
En picada!
Después de Code Red and Nimda,
Septiembre 2001
5
Tendencias de Servidores
Web
60%
Nimda y Red Code
50%
40%
30%
IIS
Apache
20%
Feb Mar Mar Mar Sep Dec Mar Oct Apr Oct J an Apr'
'99 '00 '01 '02 '02 '02 '03 '03 '04 '04 '05 05
6
Fuente: Netcraft
El Capitán dice “Media
vuelta!”
Enero 15, 2002 – Bill Gates lanza el memo
de Computación Confiable
12
Bajo privilegio en “Process
Identity”
No “user
code” en
proceso
privilegiado
Fácil de crear
grupos
aislados de
aplicaciones
Servicios de
Admin de IIS
estan 13
aislados de
Web Service Extensions
Todos los ejecutables deben ser permitidos
EXPLICITAMENTE: ninguno es permitido por
defecto
14
Más Seguridad en IIS 6
Mejoras
Directorios padre deshabilitado por
defecto
Tipos “mime” deben ser reconocidos o
sino error 404
“Verificar si archivo existe” encendido
por defecto
Scripts de administración no accesibles
mediante URL
Permisos mejorados para archivos
“log” 15
Windows Server 2003
Mejoras de Seguridad
Servidos deshabilitados = Reduce
ataques
Manejo de Parches mejorado:
Menos reiniciaciones
Windows Update Services
Windows Update Client
Modo de Seguridad alta en IE por
defecto
Mejoras en Service Pack 1
Windows Firewall 16
¿Todas estas
mejoras
hicieron alguna
diferencia?
17
Progreso de Seguridad para
IIS Un parche de seguridad para IIS 6 desde RTM
2002 2003 2004 2005
(WebDAV DoS)
4/15 10/12
Server 2003 RTM 04-021
IIS 6
4/10 6/11 10/30 5/28
02-018 02-028 02-062 03-018
IIS 5 8 4 4
7/13
04-021
IIS 4 8 4 4
< Crítico
- Notas -
= Crítico MS02-011 & 012 no incluidos:
X = liberación de X afecta sólo el servicio SMTP
actualizaciones ASP.NET agrega 2 arriba 18
Número de parches críticos de
seguridad para IIS 6 desde
RTM
19
Hasta el 04 Agosto 2005
Comparación de
Vulnerabilidad
20
21
IIS no puede ser rechazado
en términos técnicos como
una plataforma insegura.
22
Pero…
23
Gartner Reconsidera!
Management Update de Gartner -
2005
http://port80software.com/surveys/top1000webservers/
25
InfoWorld: Julio 27, 2005
“El reciente cambio de rumbo de II fue
remarcable. La versión 6 es sólido como
una roca y posiblemente más seguro que
Apache.”
http://www.infoworld.com/article/05/07/27/31OPstrategic_1.html
26
Resumen
Confianza: fácil de perder, difícil de
volver a ganar
Los impactos de la Iniciativa de
Computación Confiable comienzan a
impactar en la opinión pública
IIS 6 es una plataforma sólida
Cero “fixes” críticos desde RTM (a la
fecha)
IIS 6 es seguro por defecto y por diseño
Mejora en la seguridad de Windows 2003
Server
Gartner dice “IIS no es más un problema”
53% del mercado de Empresas Fortune 27
Longhorn
IIS7
28
Agenda
Plataforma de Servidor Web
Integrada, Extensible
Sistema de Configuración Unificado,
mejorado
Nueva herramienta de Administración con
Soporte de Administración Delegado
Núcleo Web Extensible, Componentizado
Características de Diagnóstico y Monitoreo
integrado
29
Configuración
“No sería bueno si…”
FormsAuthModule
AccessCheckModule
UrlAuthorizationModule
34
Diagnósticos
“No sería bueno si…”
Pudiera ver los requerimientos de ejecutables en tiempo
real
Ejemplo: : ¿Que requerimiento esta llevando el CPU al 100%?
37
38