La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 Lo nuevo en IIS 7 Parte 1: inicio del camino Jorge Oblitas Especialista en tecnologías de desarrollo Microsoft Perú Jorge Oblitas Especialista en tecnologías.

Presentaciones similares


Presentación del tema: "1 Lo nuevo en IIS 7 Parte 1: inicio del camino Jorge Oblitas Especialista en tecnologías de desarrollo Microsoft Perú Jorge Oblitas Especialista en tecnologías."— Transcripción de la presentación:

1 1 Lo nuevo en IIS 7 Parte 1: inicio del camino Jorge Oblitas Especialista en tecnologías de desarrollo Microsoft Perú Jorge Oblitas Especialista en tecnologías de desarrollo Microsoft Perú

2 2 Agenda La historia de IIS Seguridad en IIS 6 Filosofía de Diseño Características mejoradas de seguridad Reporte de Seguridad de IIS Resultados Percepción del mercado IIS 7 La historia de IIS Seguridad en IIS 6 Filosofía de Diseño Características mejoradas de seguridad Reporte de Seguridad de IIS Resultados Percepción del mercado IIS 7

3 3 Algunos datos IIS 4 (Windows NT 4) y ISS 5 (Windows 2000) fueron diseñados para fácil uso – no para ser seguros IIS y todas sus extensiones instalados por defecto Los clientes tenían control limitado en las implementaciones de IIS IIS 4 (Windows NT 4) y ISS 5 (Windows 2000) fueron diseñados para fácil uso – no para ser seguros IIS y todas sus extensiones instalados por defecto Los clientes tenían control limitado en las implementaciones de IIS

4 4 IIS 5

5 5 En picada! Después de Code Red and Nimda, Septiembre 2001 "Gartner recomienda que las empresas que fueron afectadas por Code Red y Nimda investiguen inmediatamente alternativas a IIS, incluyendo el mover sus aplicaciones Web hacia otros servidores de otros proveedores, como iPlanet y Apache, comentaba John Pescatore de Gartner. Después de Code Red and Nimda, Septiembre 2001 "Gartner recomienda que las empresas que fueron afectadas por Code Red y Nimda investiguen inmediatamente alternativas a IIS, incluyendo el mover sus aplicaciones Web hacia otros servidores de otros proveedores, como iPlanet y Apache, comentaba John Pescatore de Gartner.

6 6 Tendencias de Servidores Web Fuente: Netcraft Nimda y Red Code

7 7 El Capitán dice Media vuelta! Enero 15, 2002 – Bill Gates lanza el memo de Computación Confiable A partir de ahora, cuando tengamos la opción de agregar nuevas características o resolver problemas de seguridad en nuestros productos, vamos a escoger siempre la seguridad. Nuestros productos deben garantizar seguridad desde que salen de la caja, y nosotros debemos refinar e incrementar constantemente esa seguridad así como las amenazas evolucionan… Enero 15, 2002 – Bill Gates lanza el memo de Computación Confiable A partir de ahora, cuando tengamos la opción de agregar nuevas características o resolver problemas de seguridad en nuestros productos, vamos a escoger siempre la seguridad. Nuestros productos deben garantizar seguridad desde que salen de la caja, y nosotros debemos refinar e incrementar constantemente esa seguridad así como las amenazas evolucionan…

8 8 Empuje de Seguridad en Windows Se estableció un equipo de seguridad 8,500 personas Educación extensiva en practicas de seguridad Inspección intensiva en todo el código base Mejora de las practicas de desarrollo Prueba extensiva de infraestructura Revisión de seguridad por cada característica Modelo de amenazas Código legacy removido Revisión y pruebas de terceros Se estableció un equipo de seguridad 8,500 personas Educación extensiva en practicas de seguridad Inspección intensiva en todo el código base Mejora de las practicas de desarrollo Prueba extensiva de infraestructura Revisión de seguridad por cada característica Modelo de amenazas Código legacy removido Revisión y pruebas de terceros

9 9 IIS 6: Seguro por Diseño No instalado por defecto en Windows Server 2003 Las políticas de Grupo de Windows evitan su instalación IIS deshabilitado cuando se actualiza desde IIS 5 a IIS 6 Instalación por defecto mínima SMTP, NNTP y FTP no instalados por defecto Características dinámicas no habilitadas por defecto No instalado por defecto en Windows Server 2003 Las políticas de Grupo de Windows evitan su instalación IIS deshabilitado cuando se actualiza desde IIS 5 a IIS 6 Instalación por defecto mínima SMTP, NNTP y FTP no instalados por defecto Características dinámicas no habilitadas por defecto * Exceptop para Windows Server 2003, Web Edition

10 10 IIS 6: Seguro por Defecto Características agresivas de seguridad Proporciona solo contenido estático por defecto 16k de requerimiento límite HTTP RFC obligatorio ASP Post limitado a 200k ASP Upload limitado a 4 MB Protección contra escritura de contenido ACLs mejorado en log files y directorios de contenido Privilegios bajos para la cuenta Network Services Mejora en los permisos NTFS Características agresivas de seguridad Proporciona solo contenido estático por defecto 16k de requerimiento límite HTTP RFC obligatorio ASP Post limitado a 200k ASP Upload limitado a 4 MB Protección contra escritura de contenido ACLs mejorado en log files y directorios de contenido Privilegios bajos para la cuenta Network Services Mejora en los permisos NTFS

11 11 Mejora en los permisos NTFS Escritura en disco wwwroot denegado Escritura en disco wwwroot denegado Ejecución en System Tools denegado Ejecución en System Tools denegado No se puede acceder a los logs de IIS No se puede acceder a los logs de IIS Usuario Anónimo

12 12 Web Site por defecto: antes y ahora IIS 5 Windows 2000 Muchas apps y folders. Algunas inseguras IIS 6 Windows archivos estáticos

13 13 Bajo privilegio en Process Identity No user code en proceso privilegiado Fácil de crear grupos aislados de aplicaciones Servicios de Admin de IIS estan aislados de las apps Web No user code en proceso privilegiado Fácil de crear grupos aislados de aplicaciones Servicios de Admin de IIS estan aislados de las apps Web

14 14 Web Service Extensions Todos los ejecutables deben ser permitidos EXPLICITAMENTE: ninguno es permitido por defecto

15 15 Más Seguridad en IIS 6 Mejoras Directorios padre deshabilitado por defecto Tipos mime deben ser reconocidos o sino error 404 Verificar si archivo existe encendido por defecto Scripts de administración no accesibles mediante URL Permisos mejorados para archivos log Requerimientos no reconocidos rechazados Y más… Directorios padre deshabilitado por defecto Tipos mime deben ser reconocidos o sino error 404 Verificar si archivo existe encendido por defecto Scripts de administración no accesibles mediante URL Permisos mejorados para archivos log Requerimientos no reconocidos rechazados Y más…

16 16 Windows Server 2003 Mejoras de Seguridad Servidos deshabilitados = Reduce ataques Manejo de Parches mejorado: Menos reiniciaciones Windows Update Services Windows Update Client Modo de Seguridad alta en IE por defecto Mejoras en Service Pack 1 Windows Firewall Asistentes de configuración de Seguridad Servidos deshabilitados = Reduce ataques Manejo de Parches mejorado: Menos reiniciaciones Windows Update Services Windows Update Client Modo de Seguridad alta en IE por defecto Mejoras en Service Pack 1 Windows Firewall Asistentes de configuración de Seguridad

17 17 ¿Todas estas mejoras hicieron alguna diferencia?

18 18 Progreso de Seguridad para IIS - Notas - MS & 012 no incluidos: afecta sólo el servicio SMTP ASP.NET agrega 2 arriba Un parche de seguridad para IIS 6 desde RTM = Crítico = liberación de X actualizaciones X IIS 6 IIS IIS 4 4/15 Server 2003 RTM 4/ / / / / (WebDAV DoS) 7/ < Crítico

19 19 Número de parches críticos de seguridad para IIS 6 desde RTM Hasta el 04 Agosto 2005

20 20 Comparación de Vulnerabilidad

21 21

22 22 IIS no puede ser rechazado en términos técnicos como una plataforma insegura.

23 23 Pero… ¿Que hay sobre la percepción pública de la seguridad de IIS?

24 24 Gartner Reconsidera! Management Update de Gartner MS internal: Casi imposible de encontrar en Google

25 25 Sitios Web de las empresas Fortune 1000 utilizando IIS

26 26 InfoWorld: Julio 27, 2005 El reciente cambio de rumbo de II fue remarcable. La versión 6 es sólido como una roca y posiblemente más seguro que Apache.

27 27 Resumen Confianza: fácil de perder, difícil de volver a ganar Los impactos de la Iniciativa de Computación Confiable comienzan a impactar en la opinión pública IIS 6 es una plataforma sólida Cero fixes críticos desde RTM (a la fecha) IIS 6 es seguro por defecto y por diseño Mejora en la seguridad de Windows 2003 Server Gartner dice IIS no es más un problema 53% del mercado de Empresas Fortune 1000 Confianza: fácil de perder, difícil de volver a ganar Los impactos de la Iniciativa de Computación Confiable comienzan a impactar en la opinión pública IIS 6 es una plataforma sólida Cero fixes críticos desde RTM (a la fecha) IIS 6 es seguro por defecto y por diseño Mejora en la seguridad de Windows 2003 Server Gartner dice IIS no es más un problema 53% del mercado de Empresas Fortune 1000

28 28 IIS7 Longhorn

29 29 Agenda Plataforma de Servidor Web Integrada, Extensible Sistema de Configuración Unificado, mejorado Nueva herramienta de Administración con Soporte de Administración Delegado Núcleo Web Extensible, Componentizado Características de Diagnóstico y Monitoreo integrado Plataforma de Servidor Web Integrada, Extensible Sistema de Configuración Unificado, mejorado Nueva herramienta de Administración con Soporte de Administración Delegado Núcleo Web Extensible, Componentizado Características de Diagnóstico y Monitoreo integrado

30 30 Configuración No sería bueno si… Los Administradores pudieran delegar su control Habilitar dueños de sitio y Aplicaciones para modificar configuraciones opcionalmente Poder acceder vía FTP a todas las configuraciones de las aplicaciones en el Servidor Web Y no tener que usar herramientas de administración para configurar manualmente las cosas Tener Xcopy deployment para páginas, código, binarios y todas las configuraciones Pudiera guardar mis archivos de configuración de IIS, ASP.NET + Indigo en el mismo archivo Y no tener APIs de conceptos y configuraciones separados del master Y las autorizaciones, errores personalizados de IIS/ASP.NET están configurados de una sola manera Pudiera tener un modelo de configuración más limpio, esquematizado y fácil Archivos de configuración fáciles de editar a mano, mediante API o desde la herramienta de administración Los Administradores pudieran delegar su control Habilitar dueños de sitio y Aplicaciones para modificar configuraciones opcionalmente Poder acceder vía FTP a todas las configuraciones de las aplicaciones en el Servidor Web Y no tener que usar herramientas de administración para configurar manualmente las cosas Tener Xcopy deployment para páginas, código, binarios y todas las configuraciones Pudiera guardar mis archivos de configuración de IIS, ASP.NET + Indigo en el mismo archivo Y no tener APIs de conceptos y configuraciones separados del master Y las autorizaciones, errores personalizados de IIS/ASP.NET están configurados de una sola manera Pudiera tener un modelo de configuración más limpio, esquematizado y fácil Archivos de configuración fáciles de editar a mano, mediante API o desde la herramienta de administración

31 31 Herramienta de Administración No sería bueno si… Pudiera tener una herramienta administrativa fácil de usar Un modelo más intuitivo basado en tareas en ves de el infierno de las propiedades de página Pudiera manejar todo de una manera consistente IIS y ASP.NET integrados en vez de tener tabs aislados Configuración de seguridad en un solo lugar en vez de en cuatro Pudiera utilizar la herramienta de administración para escenarios de hosting Habilitar delegated management básicamente por-site/por-aplicaciones Utilizar HTTP como protocolo base, manejado a través de proxies Herramienta de administración de usuarios no requiere de una cuenta de administración desde un servidor remoto Pudiera utilizar la herramienta de administración para manejar 1000s Sitios Web Pudiera tener una herramienta administrativa fácil de usar Un modelo más intuitivo basado en tareas en ves de el infierno de las propiedades de página Pudiera manejar todo de una manera consistente IIS y ASP.NET integrados en vez de tener tabs aislados Configuración de seguridad en un solo lugar en vez de en cuatro Pudiera utilizar la herramienta de administración para escenarios de hosting Habilitar delegated management básicamente por-site/por-aplicaciones Utilizar HTTP como protocolo base, manejado a través de proxies Herramienta de administración de usuarios no requiere de una cuenta de administración desde un servidor remoto Pudiera utilizar la herramienta de administración para manejar 1000s Sitios Web

32 32 Extensibilidad No sería bueno si… Todo el corazón del servidor fue modulado y construido en una API pública extensible Mediante una arquitectura Building Block donde las características principales pueden ser agregadas y removidas Pudiera construir módulos que extiendan el Servidor Web Agregar nuevos esquemas de autentificación/autorización Reemplazar la forma de revisar el directorio o el registro del servidor Pudiera construir módulos utilizando una API nativa o manejada Las APIs de los módulos deberían hacer que el crear módulos sea rápido y sencillo API administrada == IHttpModule en ASP.NET hoy en día Funcionalidad + características han sido integradas entre IIS/ASP.NET Módulos existentes de ASP.NET pueden ser utilizados en contenidos diferentes a ASP.NET Ejemplo: Autentificación de formularios y administración de roles para contenido estático Pudiera encontrar cientos de módulos construidos por la comunidad Un gran ecosistema de módulos que puedan utilizarse fácilmente Pueda personalizar la cantidad de trabajo de mi servidor a la vez que reduzco las posibilidades de ataques Instalar sólo los módulos que realmente se necesitan Todo el corazón del servidor fue modulado y construido en una API pública extensible Mediante una arquitectura Building Block donde las características principales pueden ser agregadas y removidas Pudiera construir módulos que extiendan el Servidor Web Agregar nuevos esquemas de autentificación/autorización Reemplazar la forma de revisar el directorio o el registro del servidor Pudiera construir módulos utilizando una API nativa o manejada Las APIs de los módulos deberían hacer que el crear módulos sea rápido y sencillo API administrada == IHttpModule en ASP.NET hoy en día Funcionalidad + características han sido integradas entre IIS/ASP.NET Módulos existentes de ASP.NET pueden ser utilizados en contenidos diferentes a ASP.NET Ejemplo: Autentificación de formularios y administración de roles para contenido estático Pudiera encontrar cientos de módulos construidos por la comunidad Un gran ecosistema de módulos que puedan utilizarse fácilmente Pueda personalizar la cantidad de trabajo de mi servidor a la vez que reduzco las posibilidades de ataques Instalar sólo los módulos que realmente se necesitan

33 33 Arquitectura Modular de IIS7 Eventos Unificados Eventos Request Begin Authenticate Authorize Resolve Cache Map Handler Acquire State PreExecute Handler Execute Handler Release State Update Cache Log End Eventos Request Begin Authenticate Authorize Resolve Cache Map Handler Acquire State PreExecute Handler Execute Handler Release State Update Cache Log End Eventos Globales (sólo nativos) Initialize Shutdown Config Change File Change Health Check Etc

34 34 Módulos IIS7 en Longhorn Server Http Protocol Support ValidationRangeModuleTraceVerbModule OptionsVerbModuleClientRedirectionModule Logging and Diagnostics HttpLoggingModule CustomLoggingModule Configuration and Metadata Caches ConfigurationModuleUriCacheModule SiteCacheModuleFileCacheModule Core Web Server DirectoryListingModuleCustomErrorModule DynamicCompressionModuleStaticCompressionModule StaticFileModuleDefaultDocumentModule HttpCacheModule RequestMonitorModule TracingModule AuthN/AuthZ BasicAuthModule DigestAuthModule WindowsAuthModule CertificateAuthModule AnonymousAuthModule FormsAuthModule AccessCheckModule UrlAuthorizationModule Extensibility ISAPIModule ISAPIFilterModule CGIModule ServerSideIncludeModule ManagedEngineModule Publishing DavModule

35 35 Diagnósticos No sería bueno si… Pudiera ver los requerimientos de ejecutables en tiempo real Ejemplo: : ¿Que requerimiento esta llevando el CPU al 100%? Pudiera ver fácilmente el estado de todos los Sitios, pool de Apps y Apps en general Ejemplo: ¿Existe algún pool de aplicaciones fallando en mi servidor? Ejemplo: ¿Que aplicaciones están activas actualmente? Pudiera rastrear un requerimiento desde el comienzo hasta el final Ejemplo: : ¿En donde existe una falla de permisos en un requerimiento? Pudiera habilitar rastreo automático parar todos los requerimientos fallidos Ejemplo: Crear un Log de rastreo detallado para fallas específicas de código o si el requerimiento se demora demasiado Configurable por cada aplicación Pudiera ver los eventos de ASP.Net & IIS en la misma fuente? Ejemplo : Eventos de Rastreo de páginas ASP.Net & Eventos de infraestructura de IIS en la mismo fuente Pudiera ver los requerimientos de ejecutables en tiempo real Ejemplo: : ¿Que requerimiento esta llevando el CPU al 100%? Pudiera ver fácilmente el estado de todos los Sitios, pool de Apps y Apps en general Ejemplo: ¿Existe algún pool de aplicaciones fallando en mi servidor? Ejemplo: ¿Que aplicaciones están activas actualmente? Pudiera rastrear un requerimiento desde el comienzo hasta el final Ejemplo: : ¿En donde existe una falla de permisos en un requerimiento? Pudiera habilitar rastreo automático parar todos los requerimientos fallidos Ejemplo: Crear un Log de rastreo detallado para fallas específicas de código o si el requerimiento se demora demasiado Configurable por cada aplicación Pudiera ver los eventos de ASP.Net & IIS en la misma fuente? Ejemplo : Eventos de Rastreo de páginas ASP.Net & Eventos de infraestructura de IIS en la mismo fuente

36 36 Compatibilidad Me encanta IIS7 porque… No necesito dar vueltas para hacer la actualización Puedo utilizar el setup estándar del Sistema Operativo para actualizaciones desde IIS 5 y IIS 6 Mis extensiones ISAPI y filtros existentes funcionan sin problemas Módulos ISAPI en IIS7 proporcionan compatibilidad con versiones anteriores Puedo ejecutar ASP.NET V1.1 y V2.0 Cada Pool de aplicaciones pueden ser mapeadas por separado en una versión del CLR Puedo seguir usando APIs ABO, ADSI y WMI APIs para configuraciones Continúan manejando y configurando las opciones correctamente No necesito dar vueltas para hacer la actualización Puedo utilizar el setup estándar del Sistema Operativo para actualizaciones desde IIS 5 y IIS 6 Mis extensiones ISAPI y filtros existentes funcionan sin problemas Módulos ISAPI en IIS7 proporcionan compatibilidad con versiones anteriores Puedo ejecutar ASP.NET V1.1 y V2.0 Cada Pool de aplicaciones pueden ser mapeadas por separado en una versión del CLR Puedo seguir usando APIs ABO, ADSI y WMI APIs para configuraciones Continúan manejando y configurando las opciones correctamente

37 37 Resumen IIS7 será una versión mayor que ofrece Muchísima extensibilidad, flexibilidad y personalización Un integrado Stack de Aplicaciones Web Compatibilidad con aplicaciones existentes Confiabilidad a prueba de balas Seguridad IIS7 será una versión mayor que ofrece Muchísima extensibilidad, flexibilidad y personalización Un integrado Stack de Aplicaciones Web Compatibilidad con aplicaciones existentes Confiabilidad a prueba de balas Seguridad

38 38


Descargar ppt "1 Lo nuevo en IIS 7 Parte 1: inicio del camino Jorge Oblitas Especialista en tecnologías de desarrollo Microsoft Perú Jorge Oblitas Especialista en tecnologías."

Presentaciones similares


Anuncios Google