Novidades do IIS 8: Certificado SSL

10, março, 2013 Sem comentários

Uma das grandes novidades do IIS 8 são as novidades do certificado SSL. Agora é possível centralizar todos os certificados SSL em apenas um local, e os servidores fazem a consulta no servidor que foi alocado para isso. Uma outra novidade é a possibilidade de ter vários certificados utilizando o mesmo IP e porta (443), mas irei deixar para falar no próximo Post por se tratar de um assunto bem importante e com mais detalhes.

Nos IIS anteriores, o servidor web carregava todos os certificados existentes em memória, mesmo se não houvesse solicitação do mesmo. Em servidores com milhares de certificados isso gerava sérios problemas, pois no servidor web iria efetuar a busca do certificado solicitado em memória, o que deixava bastante lento. No IIS não existe um número limite para a quantidade de certificados SSL, mas essa lentidão acabava sendo o limitador.

No IIS 8 isso mudou, os certificados somente serão carregados na memória se houver solicitação de um determinado certificado instalado no servidor web. Isso aumenta a escalabilidade dos servidores e o número de sites com suporte a SSL. Não é só o tempo de inicialização que foi bastante reduzido, o tempo de acesso para verificar os certificados necessários, mas também negociar o processo de segurança também foi reduzido.

Uma outra novidades muito interessante é o Central Certificate Store, que é um novo recurso do IIS 8.0 pensado para simplificar o gerenciamento dos certificados, principalmente para quem possui  vários servidores web. Nas versões do IIS anteriores, era necessário instalar e renovar em cada servidor individualmente. Usando o novo armazenamento de certificado Central, estes certificados podem ser armazenados em um compartilhamento de arquivo e acessado por todos os servidores web configurados. Assim, o gerenciamento contínuo (por exemplo, a renovação dos certificados) pode ser realizado em um único local. Esse componente já vem nativamente, bastando selecionar no momento da instalação.

Categories: IIS Tags:

Novidades do IIS 8: FTP logon Attempt Restrictions

5, março, 2013 Sem comentários

Continuando falando sobre as novidades do IIS 8, nesse post irei explicar com mais detalhes sobre o FTP logon Attempt Restrictions. No IIS 7 era conhecido como FTP Static IP Filtering. É um outro excelente componente que nos ajuda a proteger o servidor contra ataques, dessa vez de FTP. Um dos ataques mais comuns é a tentativa de quebra de senha utilizando dicionários, e a forma é bem simples, o usuário padrão que os ataques são destinados é o administrator, por isso é indicado trocar o login de administrador do servidor.

Esse aplicativo também pode ser instalado junto com o IIS. Depois de instalado, é necessário habilitar e configurar conforme abaixo:

Maximum number of failed login attempts: Nesse campo é necessário informar o número de vezes que um login pode errar a senha. Se você for hosting, indico utilizar um número maior.

Time period (in seconds): Nesse campo campo é necessário informar o intervalo de tempo que as falhas de logins são acumuladas.

Além desses campos, você pode escolher se você quer bloquear o IP (Deny IP addresses based on the number of failed login attempts) ou somente gravar em log (write to the log only).

Novidades do IIS 8: Dynamic IP Restrictions

5, março, 2013 Sem comentários

Nos próximos posts irei focar detalhes sobre as novidades do IIS 8, no final farei um resumo com os links dos posts. A novidade de hoje é o Dynamic IP Restrictions, um aplicativo muito importante para quem quer proteger seu site.

O Dynamic IP Restrictions  ajuda a bloquear acessos simultâneos ou uma frequência de requisição HTTP. Como funciona:

Acessos simultâneos (Deny IP Address based on the number of concurrent request):  é possível bloquear um número determinado de acessos que um IP pode abrir um site. Ajuda a proteger receber um número alto de acessos simultâneos de um mesmo IP.

Número de requisições em um determinado tempo (Deny IP Address based on the number of request over a period of time): é possível bloquear IP’s se um cliente HTTP (usuário ou bot) estabelecer muitas conexões dentro de um período de tempo específico.

Além disso os erros são customizáveis, você pode escolher: Forbidden, Unauthorized, Not Found ou Abort. Mas para que serve isso? Serve para enganar o usuário ou bot que está tentando derrubar um site enviando várias requisições HTTP. Se for bem configurado, é um alternativa bem interessante para proteger os sites. Segue abaixo os erros que podemos utilizar:

  • Unauthorized: IIS returns an HTTP 401 response.
  • Forbidden: IIS returns an HTTP 403 response.
  • Not Found: IIS returns an HTTP 404 response.
  • Abort: IIS terminates the HTTP connection.

O que eu acho mais interessante é o Abort, que apresenta ao usuário a tela como se a internet tivesse caído. O erro Not Found também é interessante, pois apresenta a tela que a página não existe.

Achei bem interessante o novo Dynamic IP Restrictions, que diferente do IIS 7, era necessário instalar separadamente do Windows Server. Na versão do IIS 8, é possível instalar com o IIS. Esse aplicativo é bem interessante, e para sites com pequenos acessos não é necessário ter um appliance para proteger o acesso HTTP.

Categories: IIS Tags: ,

Como instalar o ASP.NET 4.5 no IIS 8

3, março, 2013 Sem comentários

Pessoal,

Andei olhando alguns erros bem comum e achei um dica bem legal do Guilherme Carnevale (PFE da Microsoft, ou seja, trabalha na equipe de campo) sobre o erro abaixo:

This option is not supported on this version of the operating system. Administrators should instead install/uninstall ASP.NET 4.5 with IIS8 using the “Turn Windows Features On/Off” dialog, the Server Manager management tool, or the dism.exe command line tool. For more details please see http://go.microsoft.com/fwlink/?LinkID=216771.

Segundo o Guilherme, o comando aspnet_regiis -I não funciona mais para habilitar o ASP.NET 4.5. Agora, para fazer a instalação, é necessário utilizar o comando: dism /online /enable-feature /featurename:IIS-ASPNET45

Fonte: http://blogs.technet.com/b/carnevale/archive/2012/11/22/como-instalar-o-asp-net-4-5-no-iis-8.aspx

Categories: IIS Tags: ,

Teste de performance entre o IIS 7.5 e 8

3, março, 2013 Sem comentários

Pessoal,

Retornando aos posts, achei um link bem legal. É um teste de performance entre o IIS 7.5 e 8.0. O teste foi feito em máquinas virtuais utilizando arquivos estáticos, simulando acessos ao site. No teste podemos observar que o IIS 8 está superior. Pretendo fazer um teste também, mas segue abaixo o que eu encontrei:

http://www.rootusers.com/performance-difference-between-iis-7-5-and-iis-8/

Categories: IIS Tags:

Como instalar o WordPress no Windows 7

9, maio, 2011 2 comentários

Olá pessoal,

Notei que várias pessoas possuem dúvidas na configuração do IIS no Windows 7. Nesse post irei explicar como efetuar a instalação do WordPress de forma automatizada utilizando o Web Platform Installer.

Leia mais…

Categories: IIS Tags: ,

Como proteger o IIS 6

21, outubro, 2010 2 comentários

Pessoal,

Muita gente instala servidores Web e não se importa em configurar a segurança do servidor. Nesses mais de 3 anos de existência desse blog, escrevi algumas dicas que ainda funcionam e bem. Como vejo que muita gente ainda usa o IIS 6 e ele é bem mais vulnerável que o IIS 7 e 7.5 irei ajudar com algumas dicas.

No Windows Server 2003 R2 existe uma ferramenta chamada Security Configuration Wizard que ajuda a configurar o firewall da máquina, além disse, ajuda a proteger o IIS, desabilitando recursos que você não irá utilizar. A configuração dele é muito intuitiva, ele simplesmente pergunta o que você vai utilizar no servidor e começa a desabilitar os serviços e portas que não será utilizado. No exemplo abaixo irei mostrar como funciona, o servidor que estou testando possui IIS e DNS configurados. Ah, uma dica bem importante, só utilize essa ferramenta após configurar todo o servidor. Por exemplo, se vai utilizar PHP, ASP.NET, SMTP, etc., configure primeiro tudo antes de utilizá-la, pois esses softwares irá verificar o que está instalado e para que você possa habilitar. Leia mais…

Categories: IIS Tags:

Instalando o PHP Manager no IIS

20, outubro, 2010 3 comentários

Pessoal,

Muita gente pediu e foi lançado no Codeplex o PHP Manager. Com essa ferramenta você pode gerenciar uma ou mais versões de PHP, mas só é compatível com o IIS 7 e 7.5. Segue abaixo mais informações da ferramenta:

  • Registrar o PHP no IIS;
  • Rodar várias versões de PHP em sites diferentes e até mesmo em um único site;
  • Verifica o que está rodando no PHP utilizando a função phpinfo;
  • Configurar várias opções do PHP;
  • Você pode ativar e desativar extensões do PHP;
  • Gerenciar remotamente a configuração do PHP no arquivo php.ini. Leia mais…
Categories: IIS Tags: ,

Correção de vulnerabilidade do ASP.NET

28, setembro, 2010 Sem comentários

Pessoal,

Dia 20 de setembro publiquei em meu blog uma falha do ASP.NET. Hoje, a Microsoft disponibilizou os patches de segurança para essas falhas. É de extrema importância que quem utiliza o IIS, faça essa atualização. O link para efetuar os downloads de correção é: http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx.

Volto a repetir que é de extrema importância que efetue essa atualização. Lembrando que toda atualização de segurança de ASP.NET, para o serviço do IIS, mas não é preciso reiniciar o servidor.

Categories: IIS Tags:

Patches para o IIS no ciclo de atualização em setembro

20, setembro, 2010 Sem comentários

Amigos,

No ciclo de atualizações desse mês saíram três correções de vulnerabilidades para o IIS. As falhas foram no ASP Clássico (famoso asp), FastCgi (o PHP usa ele!) e de autenticação.

No link http://www.microsoft.com/technet/security/bulletin/MS10-065.mspx mostra as três falhas, explicando como funciona e como resolver. Para resolver, basta instalar os updates de Setembro, se ainda não o fez, corra!

Qualquer dúvida, pode entrar em contato comigo.

Categories: IIS Tags: