IIS frente a Apache: ¿Cuál es más seguro?

La sabiduría popular suele ser útil para muchas cosas. Sólo hay que darse una vuelta por el rico refranero español para obtener una gran cantidad de sabios consejos grátis. No obstante el saber popular muchas veces que se confunde con lo que son simplemente mitos y leyendas urbanos, que están alejados de la realidad.


En el mundo de la informática existen multitud de estas leyendas urbanas. Algunas están sustentadas en hechos «históricos» acaecidos al principio de los tiempos que sin embargo perduran hasta nuestros días como si las cosas permaneciesen inmutables. Por ejemplo, hay quien sigue comparando Windows 98 con Linux para decir que éste último es más estable, etc… (claro que no dicen nada del nefasto «98» en cuestión, sólo de «Windows»), o SQL Server 6.5 con Oracle, etc…


Una de estas posibles leyendas urbanas es la de que Apache es mucho más seguro que Internet Information Server.


The Apache Software FoundationTodo esto viene a raíz de un artículo aparecido en Computer World el pasado día 7, en el que Roger A. Grimes pone de manifiesto sus dudas a este respecto y muestra muchos datos interesantes.


Por ejemplo, desde el famoso incidente del gusano Code Red en 2001 no ha habido un sólo ataque masivo con éxito a servidores IIS, mientras que todos los días miles de Apaches caen como moscas.


De todos modos no me gustan estas afirmaciones «cualitativas», que se parecen a otras como, «Los Sitios en Apache/Linux son mucho más estables y cargan más rápido que los que trabajan bajo IIS/Windows», en sentido contrario. Prefiero datos más objetivos, y Roger también. Así que durante el último mes se dedicó a monitorizar todos los incidentes de seguridad que aparecían sobre uno y otro servidor. La proporción de servidores comprometidos era de 17 a 1 en detrimento de Apache (es decir Apache era hackeado 17 veces más veces que IIS). También en Zone-H, la web que lleva un registro de los servidores hackeados, se muestra que entornoal 80-90% de los sitios web maliciosos están basados en Apache. Finalmente en el informe de Phising de Castlecops, con más de medio millón de servidores registrados, se ve que aproximadamente el 93% de los incidentes provenían de servidores Apache.


 


Como bien dice el amigo Roger, realmente ambos servidores son razonablemente seguros hoy en día. En realidad todas estas estadísticas que se quieren llevar hacia la seguridad del producto en sí están basadas en la creencia errónea de que la seguridad depende sólo del producto, cuando realmente depende mucho más de las personas y sus errores. Un producto muy seguro mal configurado será una «coladera» de seguridad. En ese sentido IIS tiene la ventaja de ser un producto muy fácil de configurar (aunque si quieres meterte a fondo tiene sus cosas), y que viene por defecto configurado con una superficie de ataque mínima.


Lo que ocurre es que hay muchos programadores que no se preocupan por la seguridad en absoluto, o la comprensión que tienen de la misma es muy reducida. Así, independientemente de lo seguro que sea un servidor Web y de lo bien configurado que esté, si tenemos una aplicación con código irresponsable y plagado de agujeros de seguridad, no nos valdrá de nada y el servidro acabará comprometido.


En mi opinión hay una carencia generalizada de formación en seguridad porque muchos programadores asumen que se trata de una responsabilidad de la gente de sistemas. Craso error. Pienso que la seguridad es más importante enlas aplicaciones incluso que en los sistemas, y que todos los programadores deben conocer como mínimo las técnicas fundamentales de escritura de código seguro.


Pienso que es casi una obligación moral. ¿Qué pensaríamos de un médico que sabe las técnicas quirúrgicas para operar a un paciente pero desconoce lo mínimo de higiene?. Nos parece impensable, algo que se da por sentado y sin lo que no lo consideraríamos un buen profesional ¿verdad?. Pues para un programador la seguridad es casi lo mismo.


Dejo ahí esta reflexión.


Y por cierto, no quiero «entrar al trapo» en el ámbito de las creencias sobre Linux vs. Windows, Oracle vs. SQL Server o IIS vs. Apache. No es mi especialidad y además pienso que cada cosa tiene sus aplicaciones idóneas y no hay una verdad absoluta ¿vale? 🙂

Sin categoría

6 thoughts on “IIS frente a Apache: ¿Cuál es más seguro?

  1. si hay que contestar esa pregunta es un hecho que IIS es mas seguro que Apache, los numeros estan ahi para el que los quiera buscar, pero la cosa es que realmente el gran problema no esta en los servidores en si, sino en las aplicaciones que corren bajo estos, que «hay una carencia generalizada de formación en seguridad» es un hecho, y yo no veo como eso va a cambiar

  2. Bueno, en cuanto a estadísticas de ataques y demás, es un poco como los virus y esos temas.

    La gente dice que el windows es menos seguro pero también está mucho más distribuido, con lo que un fallo de seguridad en Windows afectará a muchos más ordenadores. Con los servidores pasa lo mismo, un 93% de ataques a los servidores apache pero cuantos servidores Apache hay más que IIS? Es pura estadística.

  3. Muy buen articulo Jose Manuel, el caso es que la mayoria de personas cuando comparan un producto de Microsoft con un producto «Open Source» o de cualquier otra compañia, tienden a denigrar al producto que distribuye Microsoft. Porque realmente la creencia para muchas personas es que Microsoft lo que hace es basura, pero la utilizan y les resuelve el problema.

    Conozco a personas que trabajan conmigo que cuando les hablas de un producto de Microsoft (se cual sea) lo denigran sin ni siquiera probarlo, algo que es completamente erroneo de su parte.

    Un Saludo.

  4. Acaso creen que solo por lo que dicen las estadisticas y los numeros van a concluir que IIS es mas seguro que Apache? Decir que «IIS es mas seguro que Apache» solo basandose en esa estadistica, no dice absolutamente nada sino especulaciones.

    Apache es mucho mas utilizado que IIS, y eso si que es un hecho. Lo que no puedo discutir es que si esos servidores apache instalados estan bien configurados como corresponde. Es lo mismo que los computadores que tienen instalado Windows. Este S.O por si solo es inseguro, pero una casa ubicada en un barrio peligroso, con las puertas abiertas y sin barrotes en las ventanas tambien es insegura. A mi no me gusta Windows, lo reconozco, pero independiente de eso toda computadora conectada a la red debe tener software de seguridad instalado o bien integrado en el sistema operativo. Y si ese software de seguridad esta bien instalado y configurado y si los servidores web que tenga instalados estan correctamente configurados, las posibilidades de ser atacados seran minimas.

    Yo he trabajado en sistemas con ambos servidores web, apache sobre Red Hat Linux e IIS sobre Windows Server 2003, que fueron instalados por personal certificado y los dos eran muy solidos. Por lo que no me trago demasiado eso de las estadisticas.

  5. Pues, le doy toda la razón a Jose Manuel, todo problema acarreado en un servidor web, es por culpa de código fuente inseguro, en mi experiencia como profesional considero que este punto es primordial, sin contar de que servidor es mas seguro y cual no?.

  6. la verdad este tema tenemos para discutir para largo la mayoría dice que IIS es mucho más seguro que apache pero se han fijado la inmensa cantidad de servidores apache que existen en el mundo…pues creo que se contarían por millones frente a una absoluta minoría que tiene IIS las razones son muchas para que esto suceda creo que en verdad las licencias son los limintantes para IIS….pues bien a mi parecer deberíamos fijarnos en estos detalles para tomar nuestras conclusiones es obvio que tendrá mas ataques apache por ser tan popular en el mundo imagínense los hackers con lo que mas se topan es con servidores apache ahhhhh….pues bien es mi punto de vista aunque sinceramente prefiero apache tiene muchos puntos a favor

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *