Autor: Iván González Vilaboa

An IIS-Centric View of the Application Security Administration Model for Distributed ASP.NET Applications—Part 1

An IIS-Centric View of the Application Security Administration Model for Distributed ASP.NET Applications—Part 2

Bill Staples, Group Program Manager en el equipo de IIS 7 habla en Channel9. Durante la entrevista realiza varias demos que demuestran algunas de las novedades más importantes de IIS.

http://channel9.msdn.com/showpost.aspx?postid=109430

Brent Hill y Roger Grimes hablan acerca de la seguridad en IIS 7.0

http://channel9.msdn.com/showpost.aspx?postid=109426

El fallo permite modificar el valor de la variable «SERVER_NAME». Esto supone un problema para todas aquellas páginas ASP que en su código hagan uso de la misma. Incluso la página «500-100.asp» que incluye IIS 5.X y IIS 6 hace uso de esta variable. Eso permite revelar código de aquellas páginas que por algún motivo produzcan un error y lanzen esta página. Modificando la petición podemos lograr que la variable «SERVER_NAME» cambie su valor a «localhost» con lo cual la página «500-100.asp» revelará el código ASP causante del error.

Consejos

· Configurar siempre las cabeceras de host aunque sólo tengamos un sitio con un solo nombre en la misma dirección IP.

· Asociar el sitio a un interfaz de red específico.

· Modificar la página 500-100.asp localizada en %windir%/iishelp/common. Hacer el siguiente cambio, reemplazar la línea de código:

If (strServername = «localhost» Or strServerIP = strRemoteIP) And objASPError.File <> «?» Then

por

If (strServerIP = strRemoteIp) And objASPError.File <> «?» Then

Referencias

Remote IIS 5.x and IIS 6.0 Server Name Spoof

http://ingehenriksen.blogspot.com/2005/08/remote-iis-5x-and-iis-60-server-name.html

The custom error page 500-100.asp may return sensitive information in Internet Information Services 5.0 and in Internet Information Services 5.1 (KB-906910)

http://support.microsoft.com/default.aspx?scid=kb;en-us;906910

CAN-2005-2678 (under review)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2678

Microsoft IIS «500-100.asp» Source Code Disclosure

http://secunia.com/advisories/16548/

El equipo de IIS ya lleva bastante tiempo trabajando en la que será la nueva versión, la 7.0. Esta nueva versión será la que previsiblemente venga incluida con Windows Longhorn Server, y también es probable que aparezca una versión «reducida» en Windows Vista como hasta ahora ha venido sucediendo con las versiones anteriores de IIS. La primera Beta pública de IIS se espera que vea la luz con Windows Vista Beta 2 (si, si, la versión de cliente de Windows). En Windows Vista Beta 1 por ahora nada de IIS 7.0.

Por todos los materiales a los cuáles he tenido acceso, IIS 7.0 promete. Y mucho. Es probable que para finales de 2005 o primeros de 2006 hagamos una serie de Webcasts acerca de IIS 7.0. Esperamos vuestras opiniones e intereses para que esta serie de Webcasts sea del mayor interés para todos.

 

Mientras tanto, podéis ir abriendo el apetito con esta presentación:

http://download.microsoft.com/download/9/d/1/9d1eba25-ea08-4375-a053-705129128f25/WEB340_Volodarsky.ppt

 

Iván

Al hilo del Webcasts que David Salgado y yo realizamos sobre migración de IIS 4.0, 5.0 y Apache a IIS 6.0, os remito a esta interesante herramienta de formación on-line que os permite explorar y entender un poco más cómo funciona IIS Migration Tool.

Iván

A veces a lo largo de la vida, uno se encuentra con situaciones que escapan a los designios de la lógica. Estas situaciones tienden a ponernos a prueba y suelen actuar cómo motor del pensamiento humano. El ir un poco más allá, el entender un poco más…

 

En una de estas situaciones se debió de ver un desafortunado usuario de las news que escribió solicitando ansioso ayuda para algo que el consideraba desconcertante; hasta cierto punto «paranormal».

 

Nuestro amigo debía deshabilitar una cuenta del sistema, usada en principio para dar acceso a un determinado usuario a su servidor de FTP. Cómo buen administrador que es, después de deshabilitar la cuenta y absolutamente decidido con lo que ha hecho decide probar que la cuenta está realmente deshabilitada como debería y no se puede acceder con ella al servidor FTP. Y aquí llega la sorpresa… usuario, password y… voilá!!! Ha conseguido acceder al FTP sin problema. Aunque acaba de deshabilitar la cuenta!!!. Dudando de si mismo decide comprobar si de verdad la cuenta está deshabilita. Revisa sus propiedades y efectivamente así es. Vuelve a intentar acceder al FTP y de nuevo lo consigue. No da crédito. Sale del FTP, intenta volver a entrar y… ahora ya no puede!!!

 

La respuesta a este efecto algo paranormal está en la caché de credenciales de usuario que hace IIS. ¿El motivo? Mejorar el rendimiento. Tener que recrear esas credenciales para cada petición sería una tarea en muchos casos innecesaria y con una penalización importante.

 

Existe una forma de modificar el comportamiento de IIS respecto a esta caché de credenciales a través del parámetro del registro UserTokenTTL que podéis encontrar en HKLMSystemCurrentControlSetServicesInetInfoParameters. El tiempo durante el cual se cachean estas credenciales es por defecto 10 minutos. A través de esta clave podéis configurar este tiempo.

 

Más información:

Changing the Default Interval for User Tokens in IIS

http://support.microsoft.com/?id=152526

IIS Common Registry Parameters

http://support.microsoft.com/kb/q143180/

 

Muahs a todos.

Iván

P: POR FAVOR PONER NUEVAMENTE LOS PUERTOS QUE DEBO ABRIR EN EL FIREWALL

80, 443 5060 tcp/udp

P: Que es FDDI?

Fiber Distributed Data Interface

P: FDDI

Perdón, continuo con la respuesta O=), es un protocolo de intercambio de datos en redes, ¿ puedes concretar un poco más?

P: podrian dar mas detalle de la mac multicast y como funciona este modelo, gracias

Los nodos NLB que están en modo multicast, además de la MAC de cada uno de ellos tienen una mac que pertenece a un grupo multicast. Este tipo de macs permite que haya varias IPs de varios equipos escuchando en la misma MAC (grupo multicast) el problema es que el switch que pongamos tiene que soportar esta característica. En un NLB multicast, los pc’s conservan su MAC para hablar entre ellos. ¿alguna cosa más concreta?

P: CLB ?

Me parece que se me ha pasado comentar las siglas de CLB. Vienen de component Load Balancing. Así como hemos dicho que Cluster service es para backend (SQL, Exchange, …), NLB es para frontend (IIS/ISA…) CLB es para la capa de negocio, hace balanceo de componentes de negocio. Más adelante comentaremos un poco más.

P: Esta presentacion estara disponible para ver offline?

estará disponible a partir de mañana

P: donde?

he dado a intro antes de tiempo :), podrás descargarla de…http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.asp (Microsoft Technet > Webcast > Webcast grabados) pero no antes de mañana 🙂

P: gracias

a ti 🙂

P: existe un link o articulo donde describan paso a paso la conf del nlb y el cluster

www.isaserver.org y www.microsoft.com

P: no se puede imprimir a pdf la presentacion

Acabamos de habilitarlo, gracias

P: de momento no puedo descargarla en pdf?? se actualiza rápido los cambios??

Acabamos de habilitarlo, gracias 🙂

P: Se puede usar NLB con servidores de ficheros

comentándolo de viva voz 🙂

P: Es recomendable usar NLB sobre virtualizaciones en GSX Server de VMWare creando varias máquinas virtuales (host) en a su vez varios servidores físicos.

solo una física que cada vez irá peor de rendimiento.

P: que tan complejo es conf un cluster de dos nodos de controladores de dominio?

replicación != de cluster, lo comentamos de viva voz

P: Para el IIS que se recomienda NLB o Cluster ?

NLB sin duda

P: ¿Donde se puede encontrar una guía paso a paso para instalar un cluster o un NBL?

www.isaserver.org y www.microsoft.com pero lo pondremos con más detalle en weblogs.golemproject.com/ivan

P: en un caso de NLB para webs en IIS, ¿hay que tener alguna cosa en cuenta con las variables (de sesion) en ASP.NET o alguna otra cosa?

tener en cuenta los modelos de almacenamiento de la memoria….stateserver, sqlserver

P: Cuantas NIC hay que usar en cada servidor de un NLB ? Hay limite ?

al menos 2

P: Pero que es GSX?

producto de vmware

P: en q seccion de la pagina q distes podemos encontrar la gui paso a paso?

http://weblogs.golemproject.com/ivan

P: resto de respuestas en…http://weblogs.golemproject.com/ivan

<—>

P: IVAN –> ivanQuita/Borra_EstoplainconceptsPuntocom David -> davidsbQuita/Borra_EstomicrosoftPuntocom

Nuestras direcciones de mail por si queda algo en el tintero

P: Ok, se puede grabar el webcast con el Live Meeting =

it will be available for download in a couple of days

P: Que tipo de visores funcionan en Windows para ver logs de apache ?

Dependiendo del formato de los logs de apache ( por ejemplo si son w3c ) se puede hacer con logparser

P: Funciona esta herramienta con versiones anteriores a Apache ? Tipo 1.2, etc

si, sin problema

P: Estupenda idea del Blog !!!! Haber si pasais la dirección cuando esté disponible.

por ahora en http://weblogs.golemproject.com/ivan tendreís las actualizaciones, pero presumiblemente será http://weblogs.golemproject.com/IIS ( por ahora no funciona, don’t blame me 😉 )

P: Commerce server 2002 + Sp2 es compatible con IIS 6.0 ?

me has pillado, no estoy seguro, lo comprobaré con los compañeros de commerce server y posteamos la respuesta. Gracias

P: Para el que tenia dudas con Commerce server y W2003 -> http://support.microsoft.com/default.aspx?scid=kb;en-us;820677

gracias

P: Para obtener la metabase para revisarla en IIS5, vais al directorio adminscritps desde una linea de comandos y ejecutaís lo siguiente….

cscript.exe adsutil.vbs enum_all > C:metabase.txt

P: http://www.microsoft.com/spain/eventos/default.mspx

…página de recursos

P: ok

www.microsoft.com/spain/technet

P: Estamos rellenando el cuestionario !!!

gracias, feeeeeerback pls 🙂

P: Estamos rellenando el cuestionario !!! Y yo tambien quiero saber que tal fue el TechEd ! Ya que no pude ir 🙁

=DD

P: Esta garantizada la estabilidad al migrar a IIS 6?

abreviando…si 🙂

P: SE PUEDE EJECUTAR EN IIS 6 JSP COMO SE PODRIA IMPLEMENTAR

si, un filtro isapi por ejemplo 🙂

P: nos vemosss!!!!!!

😉

P: nos vemos entonces el jueves 😉

=D te esperaremos

P: Que pasa con OWA 😉 No os estareis metiendo con Exchange, eh !?!?

😛

Internet information Services. Clustering en servidores Web (14 de julio de 2005)

Descargar presentación: http://download.microsoft.com/download/a/7/2/a7245e12-bc9a-4474-93a7-c84228e1eca7/BalanceoISSclusteringFinal.ppt

Ver sesión grabada: http://msevents-eu.microsoft.com/CUI/EventDetail.aspx?EventID=118761509&Culture=es-ES

 

Internet Information Services. Migración a IIS 6 desde IIS 4, IIS 5 y Apache (12 de julio de 2005)

Descargar presentación: http://download.microsoft.com/download/0/3/d/03dc65b3-a322-4221-93d2-c698f121e91d/MigracionIIS.ppt

Ver sesión grabada: https://msevents-eu.microsoft.com/cui/WelcomePage.aspx?EventID=118761458&culture=es-ES

Copio y pego la respuesta que David dió en su día durante el Webcasts. Próximamente profundizaremos en el tema:

«Los nodos NLB que están en modo multicast, además de la MAC de cada uno de ellos tienen una mac que pertenece a un grupo multicast. Este tipo de macs permite que haya varias IPs de varios equipos escuchando en la misma MAC (grupo multicast) el problema es que el switch que pongamos tiene que soportar esta característica. En un NLB multicast, los pc’s conservan su MAC para hablar entre ellos.«

Iván