domenica 18 novembre 2018

Centralino IP PBX su Windows - 3CX Phone System which links here: http://www.3cx.it/centralino/index.html

 

 

RSS Feed RSS Feed

Login

Newsletter Newsletter

Registrati

RisorseGuide e Articoli

 

26

IIS 6.0 : potenza , sicurezza e scalabilità.

Che Microsoft stia puntando tutto sul web lo si è capito gia' da tempo con il rilascio della nuova piattaforma .NET , insieme di prodotti (ambienti di Sviluppo . sistemi operativi , rdbms ...) che danno il meglio di se' attraverso la loro integrazione e attraverso il web sfruttando la potenza dell'' XML e dei Web Services.

Ed è in questa direzione che Microsoft ha spinto moltissimo con il rilascio qualche mese fa' del nuovo sistema operativo Windows 2003 aggiungendo una nuova versione server : Windows 2003 Web Edition , versione light che comprende solo funzionalità web compreso la nuova versione di IIS e proposto agli ISP con un costo di molto inferiore rispetto alle altre versioni commercializzate. (Windows 2003 Standard Edition , Enterprise Edition , Datacenter Edition)

Molte novità sono state introdotte in questa major release a partire dalla sicurezza che è stata fortemente migliorata, ai nuovi servizi disponibili come ad esempio i servizi di POP3, ma la vera novità è rappresentata dalla nuova versione del server web di Microsoft : IIS 6.0 quasi interamente riscritto per supportare le nuove esigenze de FrameWork .NET.

Le novità che subito saltano agli occhi sono che IIS 6.0 non è installato in bundle con il sistema operativo (deve essere esplicitamente installato) e che le funzionalità ASP sono disattivate.

Dopo l'installazione , IIS 6.0 parte in una modalità "tutto disabilitato" , ovvero la stessa modalità di IIS 5.0 dopo l'applicazione del "Lockdown Tool".

Il nuovo Web Server di Microsoft puo' girare in due modalità : IIS 5.0 Isolation Mode (per garantire la compatibilità con le vecchie applicazioni) e WorkerProcess isolation mode (modalità di default).

Nella prima modalità IIS si comporta in maniera simile ad IIS 5.0 di Windows 2000 , ovvero le applicazioni in-process (DLL , ISAPI Filter) continuano a girare nel processo inetinfo.exe mentre quelle out-of-process (eseguibili EXE , componenti COM+ , ISAPI Extensions) in un processo separato chiamato DLLHOST.EXE.

Questa modalità viene mantenuta solo per compatibilità con le vecchie applicazioni scritte per IIS 5.0.

Ma la vera potenza di IIS 6.0 , sia in termini di prestazioni che di sicurezza , si ottiene quando il web server gira in modalita' WorkerProcess.

Il nuovo IIS prevede un accodamento delle richieste a livello kernel: questo comporta l'esecuzione di ogni applicazione in un ambiente isolato, quello che Microsoft chiama WorkerProcess isolation mode e l'assegnazione di un pool di applicazioni (Application Pools) a singole aree di lavoro del processore.

Un Application Pools puo' essere definito come un insieme di applicazioni web che condividono uno o piu' WorkerProcess.

Nella modalità WorkerProcess isolation mode tutte le risorse di ogni Application Pool vengono fisicamente separate in memoria in diversi WorkerProcess di modo che un crash anche di un solo sito/web application non comporti il blocco totale degli altri siti.

Come già anticipato precedentemente il nuovo web server accoda le richieste a livello kernel , tutto questo tramite un nuovo driver / listner : HTTP.sys.

Il nuovo driver kernel HTTP.sys (che sostituisce il vecchio inetinfo.exe) si mette in ascolto delle richieste provenienti dall' esterno e le smista a code , ognuna delle quali corrisponde ad un Application Pool ,in questo modo è stato totalmente abbandonato il vecchio concetto di in-process molto meno sicuro e poco performante.

A questo punto sara' compito degli amministratori raggruppare differenti applicazioni web in diversi Application Pools.

Altra importante novità è il componente WWW Service Administration and Monitoring, questo componente infatti si occupa di monitorare i WorkerProcess effettuando un keep-alive ad intervalli periodici e in caso di malfunzionamento si preoccupa di deallocare e riallocare un nuovo WorkerProcess loggando l'operazione nell' Event Viewer di Windows.

E' la sicurezza ?!?

Un occhio particolare è stato riservato alla sicurezza del web-server, infatti dopo l'installazione pura e semplice , IIS puo' solo eseguire contenuti statici e non pagine ASP , questa funzionalità va attivata aggiungendo alla lista delle Web Service Extensions l'estensione .asp.(fig. 1)

Altro aspetto importante sempre legato alla sicurezza è che i processi degli utenti (WorkerProcess) vengono eseguiti con i permessi di NetworkService, un nuovo account predefinito con privilegi molto ridotti ; le richieste di pagine con estensione sconosciuta non vengono passati ad un handler (tipicamente un estensione ISAPI) e quindi vengono respinte.

Inoltre per rendere la vita un po' più difficile agli hacker attacchi di tipo Web Defacement , in cui viene sostituita l'home page di un sito saranno più difficili visto che l'utente Anonymous non puo' sovrascrivere i contenuti di un sito. Esecuzione di tools da riga di comando attraverso il Web Server non sono più possibili .

Ora IIS integra l'autenticazione con PassPort con cui si puo' effettuare un mapping tra l'utente Passport ed un utente Active Directory.

Microsoft ha inoltre dichiarato che il supporto SSL è stato migliorato di circa il 50%

 


Fig. 1

Il Metabase e il Logging.

Il vecchio concetto di Metabase che salva la configurazione di IIS in un file binario è stato totalmente rivisto ; infatti il nuovo Metabase è in formato XML editabile anche quando IIS è in esecuzione e con qualsiasi editor , le configurazioni inoltre sono esportabili su altri Web Server.
Il database XML si trova nella cartella Inetsrv sotto la directory %SYSTEMROOT%\System mentre l' history di tutte le modifiche apportate è salvata di volta in volta in una cartella history.
Il nuovo IIS 6.0 mantiene la modalità di logging del suo predecessore ma in piu' implementa una nuova (Centralized Binary Logging) che scrive i log in formato binario (.ibl) ed la lettura è possibile tramite un tool del Resource Kit di IIS.
La gestione è centralizzata perche' viene creato un unico file di log in cui vengono scritte tutte le richieste provenienti da tutti i siti web.

Gestione de Web Server - Scalabilità

La gestione del nuovo Web Server è possibile tramite WMI (Windows Management Instrumentation) e altri script (IISConfig , IISWeb , IISFtp) che permettono di automatizzare le operazioni piu' comuni come la gestione di siti Web e FTP , il backup e restore della configurazione.

Microsoft introduce un nuovo concetto di scalabilità : Web Gardens.
Si tratta in effetti di un cluster virtuale , un insieme di WorkerProcess equivalenti che condividono la coda delle richieste normalmente assegnata ad un unico WorkerProcess , permettendo cosi' uno sfruttamento ottimale dei sistemi multiprocessore.

Concludendo , il prodotto è sensibilmente migliorato in termini di performance , scalabilità e sicurezza , i benchmark effettuati da Microsoft parlano di un incremento del troughput pari ad almeno il 50% , non ci resta che provarlo.

(a cura di GB)


Scritto in: Guide e Articoli
AZIONI: E-mail | Permalink |
CONDIVIDI: del.icio.us   Facebook   Digg   Google   Live Bookmarks   Newsvine   StumbleUpon   Technorati   Yahoo   DotNetKicks
blog comments powered by Disqus

Copyright 2011 by SysAdmin.it