1 / 26

Internet Information Server

HOL-WIN66. Internet Information Server. Juan Garrido Consultor Seguridad I64 http://windowstips.wordpress.com http://www.informatica64.com. Agenda. Introducción Arquitectura y Extensibilidad Instalación y Despliegue Configuración Administración Seguridad FTP7 y Publicación Web

kami
Download Presentation

Internet Information Server

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HOL-WIN66 Internet Information Server • Juan Garrido • Consultor Seguridad I64 • http://windowstips.wordpress.com • http://www.informatica64.com

  2. Agenda • Introducción • Arquitectura y Extensibilidad • Instalación y Despliegue • Configuración • Administración • Seguridad • FTP7 y Publicación Web • Diagnóstico y resolución de problemas

  3. IntroducciónHistoria de IIS • 1996 • V1 con Windows NT 4.0 • V2 & V3 en subsiguientes Service Packs • 1997 • V4 como parte del NT 4 Option Pack • 2000 • V5 incluido por defecto en Windows 2000 • 2001 • Marzo 2001: #1 en Internet Site Share • Otoño 2001: Code Red y Nimda • 2003 • V6 incluido en Windows Server 2003

  4. Arquitectura de IIS6Procesado de peticiones Implementación Monolítica. Instala todo o nada… Autenticación NTLM Basic Anon … Determinar Manejador CGI Static File ASP.NET ISAPI PHP … Envio de Respuestas Extensibilidad del la funcionalidad del servidor solamente a través de ISAPI… Log Compresión

  5. Arquitectura de IIS7Procesado de peticiones La funcionalidad del servidor se divide en ~ 40 módulos... Authentication Autenticación NTLM Basic Anon Authorization … Los módulos se enchufan a una pipeline genérica de peticiones ResolveCache Determine Handler CGI … Static File ExecuteHandler Los módulos extienden la funcionalidad del servidora través de una API pública. ISAPI … … UpdateCache Envio de repuestas SendResponse Log Compress

  6. Núcleo del servidor Web Muchos, muchos módulos • Instala, gestiona y actualiza solo los módulos en uso • Reduce la superficie de ataque • Reduce la el consumo de recursos del servidor en memoria • Proporciona mayor granularidad de control • Permite reemplazar componentes del núcleo del servidor con nuestros propios componentes

  7. ExtensibilidadIntegración de ASP.NET en IIS 6 aspnet_isapi.dll Authentication Forms Windows … ASPX Map Handler Trace … … • Implementación basada en ISAPI • Sólo ve las peticiones ASP.NET • Características duplicadas Authentication NTLM Basic Anon … Determine Handler CGI Static File ISAPI … Send Response Log Compress

  8. ExtensibilidadIntegración de ASP.NET en IIS 7 Basic • Dos modos • Clásico(como ISAPI) • Modo Integrado • Lo módulos de .NET se enchufan directamente en la pipeline • Procesan todas las peticiones • Fidelidad total en tiempo de ejecución Anon Authentication Authorization ResolveCache aspnet_isapi.dll … Static File Authentication ExecuteHandler Forms Windows … … ISAPI ASPX Map Handler UpdateCache Trace SendResponse Compress … … Log

  9. FastCGI y PHP en IIS7 • Soporte por defecto para aplicaciones FastCGI • Reutiliza los procesos CGI para peticiones múltiples • Optimizado para fiabilidad y alto rendimiento • 25 veces más rápido que CGI estándar • Rendimiento y fiabilidad probadas con PHP • Funciona con otros lenguajes dinámicos que soportan FastCGI, incluidos PHP, Ruby, PERL, etc.

  10. Instalación y DespliegueOpciones de instalación • Server Manager • Montones de componentes • Servidor estático por defecto • [Vista] Usar características de Windows • Gestor de paquetes • Reemplaza a Sysocmgr • Desatendida • El formato de fichero es totalmente diferente • [Vista] Podemos escoger componentes, pero no establecer su configuración

  11. Componentes de Instalación de IIS7 Security FTP Publishing Health and Diagnostics Application Development Performance FTPServer BasicAuthModule HTTPStaticCompression NetFxExtensibility HttpLoggingModule FTPManagement DigestAuthModule HTTPDynamicCompression ISAPIModule WindowsAuthModule CustomLoggingModule ISAPIFilterModule CertificateAuthModule RequestMonitorModule Management CGIModule AnonymousAuthModule HTTPTracingModule ServerSideIncludeModule ManagementConsole ODBCLogging IPSecurityModule ManagementScripting ASP LoggingLibraries UrlAuthorizationModule ASP.NET ManagementService RequestFilteringModule Metabase WMICompatibility LegacyScripts Common HTTP Web Server Components LegacySnap-in DirectoryListingModule StaticFileModule DefaultDocumentModule HttpRedirect CustomErrorModule Windows Process Activation Service ConfigurationAPI ProcessModel NetFxEnvironment

  12. Instalación de IIS Núcleo del servidor Web

  13. AdministraciónAdministración Remota • Administrar todo el Servidor Web • Solo los administradores • Casi lo mismo que estar sentado delante del equipo • Basada en HTTPS (atraviesa Firewalls) • Administrar Sites y Aplicaciones • Admins y no-admins • Dos tipos de Usuarios no Administradores • Usuarios de Windows (o también Grupos) • Usuarios del IIS Manager • El Administrador decide lo que los usuarios no administradores pueden o no hacer (Delegación de Características)

  14. AdministraciónIIS Manager Users • Solo son usados por el servicio de Administración Remota • No se usan por ningún otro componente de IIS • No guardan relación con los Usuarios de Windows • Los usuarios del IIS Manager y sus permisos se almacenan por defecto en el administration.config • Usan proveedores de Autenticación y Autorización propios de IIS • Pueden reemplazarse por proveedores personalizados • Una vez están habilitados para administración remota, se les pueden otorgar permisos para Sites/Aplicaciones

  15. AdministraciónDelegación de Características • Permite al Administrador del Servidor Web configurar las características a las que los usuarios tienen acceso • Las Características que no están delegadas no son visibles en la interfaz gráfica a nivel de Site/ Aplicación • Funciona a base de bloquear o desbloquear secciones de configuración • El menor nivel de granularidad es el Aplicaciones

  16. Administración delegada

  17. Web Publishing en IIS7 • Tradicionalmente la Publicación Web se ha hecho mediante alguna de estas tres tecnologías • Todas ellas tendrán una actualización específica, gratuita y descargable para Windows Server 2008

  18. FTP 7Novedades en 2008 R2 • Integración con la nueva configuración y administración de IIS7 • Soporte de nuevos estándares (SSL, UTF8, IPv6) • Mejoras para Hosting • Integración con el Web Site • Soporte de “Host names” • Mejoras en el aislamiento de usuarios • Extensibilidad • Autenticación personalizable (cuentas no basadas en Windows) • Comandos personalizados • Cosas que NO incluye • SFTP (FTP/SSH): Microsoft no implementa SSH • Configuración delegada • Compatibilidad hacia atrás. No se actualizará para Windows Server 2003/Windows XP

  19. Instalación ROL FTP Publicación segura con SSL

  20. Solución de ProblemasErrores detallados y HTTP Sub-status codes • Errores detallados para ofrecer: • Acciones para la resolución • Líneas de investigación • Incluyen secciones de configuración, página, modulo cargado… • Solo se envían a Localhost por motivos de seguridad • Más detalles en los códigos de error HTTP para identificar la raíz de los problemas • Guardados en los logs de IIS

  21. Solución de ProblemasEventTracingfor Windows (ETW) • Construido en el propio Sistema Operativo • Presente en 2003 y extendido en Windows Server 2008 de manera significativa • ETW guarda los informes en un fichero binario • Sin Configuración Gráfica • Los Logs pueden ser grandes y se deben procesar con una utilidad (LogParser 2.2) • No se pueden establecer triggers sobre eventos almacenados en los logs

  22. Solución de ProblemasIIS FailedRequestTracing (FREB: FailedRequestEventBuffering) • Permite “no-reproinstrumentation” para peticiones fallidas • Habilitar el “tracing”, pero mantener solamente los eventos de peticiones fallidas • Permite definiciones de fallos personalizables por URL • Hora de la captura • Códigos de Estado/Sub-estado • Logs de fallos que persisten mas allá de la vida del proceso • Escenarios comunes: • Peticiones que tardan mucho o que se cuelgan • Errores de petición o peticiones completadas con errores y códigos de estado • Problemas de Autenticación/Autorización • Errores 500 de servidor • Pre-formateados en XSLT para facilitar su análisis

  23. Gestión de incidencias

  24. Boletín quincenal TechNews

  25. Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 146 20 00 • Profesor Juan Garrido Caballero • jgarrido@informatica64.com

More Related