Feeds:
Posts
Comentários

IIS 6.0 3 Parte

IIS 6.0 3 Parte

Serviço de FTP

Objetivos

Eu não gostaria de escrever mais um artigo sobre simplesmente como criar um servidor FTP com IIS. Em minhas pesquisas pela Internet tenho visto isso aos ‘baldes’ e, sinceramente, seria muito difícil escrever algo original e melhor que meus antecessores.

Assim, mesmo correndo o risco de ainda não ser tão original, resolvi escrever sobre o assunto da maneira mais completa possível, do passo-a-passo de como instalar e configurar um servidor FTP (File Transfer Protocol) até a funcionalidade, explorando os problemas de gerenciamento e segurança na publicação de servidor na web. Vamos estudar os tipos de configurações possíveis do servidor e suas implementações de segurança em cada um deles.

Introdução

História

Para não perder o hábito, e como um pouco de história não faz mal a ninguém…

A primeira RFC (Request For Comments), a descrever o FTP foi a RFC 114, de 1971. Isso criou uma afobação de interesse entre os cientistas, o que levou á um grande números de RFCs que foram escritas no período de 1971 a 1975. Todo mundo queria entender e escrever sobre FTP.

Inicialmente, o FTP rodava em servidores dentro do MIT (Massachusetts Institute of Technology). Posteriormente, ele foi adaptado para a ARPANET. Finalmente em 1980, Jon Postel escreveu a RFC 765, o que pareceu acalmar as discussões sobre o assunto. A RFC 765 definiu o FTP rodando sobre o topo do TCP.

O Protocolo FTP

Segundo a Wikipédia, FTP significa File Transfer Protocol (Protocolo de Transferência de Arquivos), e é uma forma bastante rápida e versátil de transferir arquivos sendo uma das mais usadas na internet.

O FTP é um dos meios mais comum de se copiar arquivos de um lugar para outro na Internet. É bastante antigo, inclusive existe suporte até para os sistemas Mainframe.

Por esse fato, é desnecessário dizer que é um protocolo bastante simples e não foi projetado pra atender os requisitos de segurança que se fazem necessários nos dias atuais. Por isso mesmo, precisamos entender o seu funcionamento (pelo menos o básico), pra ajustarmos nosso ambiente de rede (corporativo ou não), pra melhor configurar a disponibilidade e a segurança do processo.

O Protocolo FTP faz parte da suíte de protocolos TCP/IP e trabalha na camada de Aplicação de sua Arquitetura. Diferentemente do http, por exemplo, e de outros protocolos usados na Internet, o FTP usa no mínimo duas conexões durante uma sessão: uma conexão half-duplex para controle e uma conexão full-duplex para transferência de dados. Para isso, utiliza as portas 20 e 21 para se comunicar e transmitir dados. A RFC 959 é atualmente o documento oficial que dita seus padrões.

A porta 21 é utilizada para estabelecer e manter a comunicação entre o cliente e o servidor. Essa sessão também é conhecida como ‘Control Channel’. É ela quem verifica se a conexão com o servidor ainda existe.

A porta 20 é utilizada para a transferência dos dados (arquivos), propriamente dita. É conhecida também como ‘Data Channel’. É nela que é feito o controle do fluxo e integridade dos dados.

Para utilizar o FTP, a estação cliente realiza uma conexão com o servidor FTP na porta 21. Após a conexão estabelecida, para cada arquivo transferido estabelece-se uma nova conexão, chamada de conexão de dados. Por padrão, a porta TCP 21 é usada no servidor para controlar a conexão, mas a conexão de dados é determinada pelo método que o cliente usa para se conectar ao servidor. Assim, existem 2 tipos de conexões:

» Conexões FTP de modo ativo são algumas vezes chamadas de conexões “gerenciadas pelo cliente” porque o cliente envia um comando PORT ao servidor na conexão do controle. O comando solicita ao servidor que estabeleça uma conexão de dados da porta TCP 20 no servidor até o cliente com a porta TCP especificada pelo comando PORT.

» Conexões FTP de modo passivo são às vezes chamadas de conexões “gerenciadas pelo servidor” porque, depois que o cliente emite o comando PASV, o servidor responde com uma de suas portas temporárias usadas como a porta do servidor na conexão de dados. Depois que um comando de conexão de dados é emitido pelo cliente, o servidor se conecta ao cliente usando a porta imediatamente acima da porta do cliente na conexão do controle.

FTP Ativo e Passivo

Modelo de Conexão FTP

1. Interface com o usuário – Aplicativo responsável pela comunicação entre o usuário e o interpretador do protocolo;

2. Interpretador de protocolo (Client/Server PI) – através da conexão de controle (Porta 21), conversa com o interpretador de protocolo do lado servidor (Server PI) e juntos controlam a transferência. Também controla o processo de transferência de dados do cliente (Client DTP).

3. Processo de transferência de dados (Client/Server DTP) – responsável pela comunicação com o Server DTP através da conexão de dados (Porta 20). É a parte do cliente que realmente realiza transferência de dados. Controla também o sistema de arquivos local (4).

Transferência de dados e firewalls

O problema que ocorre com mais freqüência no FTP pela Internet envolve a transferência de dados por servidor proxy, firewall ou dispositivo de conversão de endereços de rede (NAT). Em muitos casos, esses dispositivos de segurança de rede permitem que a conexão de controle seja estabelecida na porta TCP 21 (ou seja, o usuário faz o logon com êxito no servidor FTP); porém, quando o usuário tenta realizar uma transferência de dados do tipo DIR, LS, GET ou PUT, o cliente FTP aparentemente para de responder porque o dispositivo de segurança da rede bloqueia a porta de conexão de dados especificada pelo cliente. Se o dispositivo de segurança da rede der suporte a logs, você poderá verificar o bloqueio da porta consultando os logs de negação/rejeição do dispositivo de segurança.

O firewall com filtro de pacotes com base no estado da conexão consegue analisar todo o tráfego da conexão FTP, identificando qual o tipo de transferência que será utilizada (ativa ou passiva) e quais as portas que serão utilizadas para estabelecer a conexão. Sendo assim, todas as vezes que o firewall identifica que uma transferência de arquivos se realizará, é acrescentado uma entrada na tabela de estados, permitindo que a conexão seja estabelecida. As informações ficam armazenadas na tabela somente enquanto a transferência do arquivo é realizada.

Com FTP ativo, quando um usuário se conecta ao servidor FTP remoto e solicita informações ou um arquivo, o servidor FTP abre uma nova conexão com o cliente para transferir os dados. Esta é a chamada conexão de dados. Para iniciar, o cliente FTP escolhe uma porta aleatória para receber a conexão de dados. O cliente envia o número da porta escolhida para o servidor FTP e fica esperando uma conexão nessa porta.

Então o servidor FTP inicia a conexão com o endereço do cliente na porta escolhida e transfere os dados. Isto se torna um problema para usuários atrás de um gateway NAT tentando se conectar a servidores FTP.

Por causa da forma como NAT funciona, o servidor FTP inicializa a conexão de dados se conectando ao endereço externo do gateway NAT na porta escolhida. A máquina fazendo NAT receberá o pedido, mas como não possui mapeamento para o pacote na tabela de estado, descartará o pacote sem entrega-lo ao cliente.

No modo FTP passivo, o cliente pede ao servidor que escolha uma porta aleatória para ouvir esperando a conexão de dados. O servidor informa ao cliente a porta escolhida e o cliente se conecta na porta para transferir os dados. Infelizmente, isto nem sempre é possível ou desejável, por causa da possibilidade do firewall em frente ao servidor FTP bloquear a conexão de dados em portas aleatórias.

Em resumo, há dois pontos a considerar. O primeiro é o modo de conexão, que pode ser passivo ou ativo; o segundo é o modo de transferência de dados, que pode ser de fluxo, de bloco ou compactado.

O serviço FTP do IIS dá suporte às conexões de modo ativo e passivo, dependendo do método especificado pelo cliente. O IIS FTP não permite desabilitar os modos de conexão ativo ou passivo.

O modo de transferência de dados padrão do FTP do IIS é de fluxo. No momento, o IIS não dá suporte ao modo de transferência de dados de bloco ou compactado.

A tabela a seguir contém clientes FTP fornecidos pela Microsoft e o modo de conexão a que cada cliente dá suporte.

Clientes FTP Microsoft

O FTP é um auxiliar indispensável para webdesigners, DBAs, e outros profissionais que necessitam constantemente publicar, criar ou sincronizar dados, planilhas, pagínas html, etc.

Mais uma vez, vale a pena lembrar-se de que entender os processos básicos de conexão e transmissão de dados via FTP é importante para a correta configuração de seu ambiente de rede, tanto no que se diz respeito ao seu bom funcionamento como aos aspectos de segurança dos dados.

Segurança

Porque a preocupação com segurança?

Bom, em princípio, vamos deixar a parte mais ‘fantasiosa’ de lado que são ataques como descritos em filmes clássicos como A Rede e Swordfish e olharmos o lado prático e real.

Apesar da Internet ser a “fonte de todos os males”, algo mais próximo e real é a pior de todas; nossos próprios usuários. Usuários insatisfeitos com a empresa, desonestos e ignorantes, no sentido de desconhecedores, deve ser sua maior preocupação. Os primeiros porque têm a intenção em causar danos, e isso faz com que eles porcurem agulha em palheiro pra atingirem seus objetivos e os últimos por total falta de conhecimento podem realizar acessos indevidos e cometerem os mais absurdos dos erros sem ao menos saberem que os fizeram. E não pense que isso é exclusivo de grandes corporações, se você tem um usuário você já tem um problema.

Diante disso, se você é um adminsitrador de redes como eu, deve ter uma preocupação quase que paranóica com a segurança de seus servidores porque, diante das leis atuais você é cúmplice de todo e qualquer dano causado aos negócios da empresa por uma falha de segurança explorada em seus servidores até que se prove o contrário. Essa segurança não se trata somente de questões técnicas mas também administrativas e de disponibilidade de serviços. Nos dias atuais, os administradores de rede devem ser além de especialistas na área, conhecedores das leis sobre recursos digitais, dos negócios da corporação em detalhes, atentos às normas de conduta (execrar os tais ‘jeitinhos brasieleiros’), e cientes de tudo o que acontece no seu território de trabalho.

Sem querer me extender mais sobre o assunto, leis como a SOX (Sarbanes & Oxley) e até mesmo algumas alterações no Código Civil Brasileiro, e normas como a ISO 17799, foram criadas diante do fato de que muito se pode fraudar eletrônicamente de dentro da própria corporação. Se, por exemplo, seu servidor de e-commerce se tornar indisponível por causa da exploração de uma vulnerabilidade que é conhecida e corrigida em um path e, esse path não foi aplicado por você por negligência (e não adianta usar a ‘falta de tempo’ como justificativa), o mínimo que pode lhe acontecer é dispensa por justa causa.

Por tudo isso é que devemos nos preocupar com essa tal segurança.

Serviço de FTP no IIS

O IIS é uma plataforma poderosa para se criar e hospedar web sites, tanto para a Internet quanto para Intranets corporativas e, da mesma forma, para se disponibilizar sites FTP para uso público ou corporativo.

A Microsoft é bastante ironizada pelo fato de promover seus produtos em cima dos próprios produtos em versão anterior. Realmente chega a ser cômico o fato dela destacar as deficiências de um produto na versão anterior pra salientar as melhorias da nova versão. Tenho o hábito de dizer que nós só conhecemos verdadeiramente um produto da Microsoft quando ela lança uma nova versão dele.

Discussões à parte, vejo esse episódio de uma forma muito otimista porque podemos estudar como garantir melhor a segurança e disponibilidade das versões anteriores do produto ou justificar a aquisição da nova versão, se as melhorias forem realmente importantes para o negócio.

Assim, vamos ver as características e problemas das versões anteriores do serviço de FTP e o que ele nos apresenta de novidade (e verdadeiramente útil), em sua versão 6.0.

Autenticação de Usuários no IIS

Através da autenticação do usuário são definidos os níveis de acesso às informações que ele pode acessar como também criar registros das ações realizadas por ele ao se gravar logs de acesso.

Na tabela abaixo, segue uma descrição rápida dos tipos de autenticação suportadas pelo IIS.

Métodos de Autenticação do IIS

Autenticação de Usuários em site FTP

Para sites FTP, no entanto, o IIS disponibiliza somente a autenticação anônima e básica.

Com base em seus requisitos de segurança, você poderá selecionar um método de autenticação do IIS para validar os usuários que estiverem solicitando acesso a seus sites FTP. A tabela a seguir resume os métodos de autenticação do FTP.

Métodos de Autenticação do IIS FTP

O acesso anônimo (Anonymous Authentication) é bastante comum porque permite que o usuário acesse aos sites (WWW ou FTP) sem a necessidade de fornecer nome de usuário e senha. Quando um site (WWW, FTP…) está configurado para permitir esse tipo de acesso uma conta anônima que é criada quando instalamos o IIS é utilizada para permitir o acesso. Geralmente essa conta de usuário tem o formato IUSR_Nome_do_Servidor (no nosso caso IUSR_PLUTAO). Essa conta é incluída em um grupo de usuários que tem restrições de segurança impostas pelas permissões do sistema de arquivo (NTFS) e que designam o nível de acesso e o tipo de conteúdo disponível para os usuários públicos, via acesso anônimo. Com isso, o usuário possui limitações sobre os recursos que pode acessar no servidor.

Serviço de FTP no IIS 5.0

Relembrando um pouco da arquitetura do IIS 5.0 (estudada no Capítulo 1), o serviço de FTP roda dentro do Inetinfo.exe juntamente com outros serviços como o SMTP e o NNTP. Além disso, alguns componentes do serviço WWW também são executados nele. O problema que podemos encontrar nesse modelo é que, se um aplicativo ou site www, ou um desses serviços se comportar mal ou for atacado, todos os serviços e componentes dependentes do Inetinfo.exe sofrerão o efeito colateral deixando de funcionar. Isso nos alerta pra que sejamos bastante criteriosos com a disponibilidade de qualquer serviço do IIS e devemos considerar sempre a possibilidade de distribuirmos os serviços entre dois ou mais servidores colocando, por exemplo, o IIS FTP e servidor diferente do que disponibiliza as Páginas da Intranet corporativa.

A segurança de acesso ao serviço FTP nas versão 5.0 é totalmente dependente do Sistema de Arquivos do Windows Server (NTFS). Se a configuração das devidas permissões nas pastas ou diretórios disponíveis para FTP, todos os usuários conseguem visualizar todos os conteúdos de todas as pastas a partir da raiz, independente da confidencialidade de cada um. Essa dependência apesar de eficiente , em termos de segurança, apresenta alguns problemas que devem ser considerados:

» Se o administrador esquecer de atribuir permissões ou atribuir permissões inadequadas alguma pasta, toda a segurança do servidor – quiçá da rede toda – pode ser comprometida;

» Configurar e manter os registros de permissões para um grande número de usuários requer um esforço descomunal, é altamente complicado e estressante, pra não dizer que é quase impossível ser feito por uma única pessoa (o que não é difícil de acontecer diante das conteções de despesas nos dias atuais).

Além da questão NTFS, existem mais alguns detalhes a serem considerados sobre a segurança dessa versão do IIS.

» Acesso Anônimo – Por padrão o IIS FTP permite ambos os acessos, anônimo e por autenticação. Para desabilitar o acesso anônimo é necessário desmarcar a opção “Allow anonymous connections”

» Autenticação – Como já vimos, embora o IIS tenha uma gama de opções muito boa para autenticação, o IIS FTP suporta somente a autenticação Anonymous e Basic-Like Authentication (Figura 5). Em geral, o FTP é considerado erradamente como um meio seguro de transferência de dados, já que o servidor FTP pode ser configurado para solicitar uma combinação de nome de usuário e senha válidos antes de conceder acesso aos dados. Esteja ciente de que tanto as credenciais especificadas no logon quanto os dados propriamente ditos não são criptografados nem codificados. O que significa dizer que todas as credenciais são transmitidos através da rede em ‘clear-text’, ou seja, sem formatação. Em outras palavras, todos os dados FTP podem ser facilmente interceptados e analisados por qualquer estação ou rede entre o cliente e o servidor FTP. O risco de credenciais em texto sem formatação é que pessoas estranhas consigam fazer logon no FTP e façam download de arquivos destinados a usuários específicos.

» FTP Logon – A utilização deautenticação via logon no IIS FTP requer alguns privilégios especiais aos usuários e à conta Anonymous. È necessário atribuir-lhe o direito do logon local (Logo n Locally).

» Isolamento de usuários – Isolamento de usuários significa garantir que cada usuário tenha acesso ao diretório FTP a partir de sua pasta de usuário e nunca a partir da raiz do serviço. Para conseguir isso nessa versão, como já foi dito, é necessário configurar as permissões do sistema de arquivo (no caso, NTFS), do servidor FTP.

» O IIS 5.0 não oferece suporte ao Secure FTP e FTPS (FTP sobre SSL). E nesse caso ainda temos mais um problema pra quem utiliza o ISA Server;ele também não oferece este tipo de suporte para publicação de sites FTP.

» O único mecanismo de limitação de acesso ao IIS FTP 5.0 é a “Restrição por Endereço IP”(Figura 6). Isso restringe o acesso por estações mas não por usuário.

Qualquer usuário, com permissão ou não pra utilizar o serviço, sentado a frente de uma estação com IP ‘válido’ pode acessar as pastas e diretorios FTP.

3 – Tipos de autenticação suportada no IIS 5.0

4 – IP Address Restriction

Resolvendo Alguns Problemas com Segurança na Versão 5.0.

Para minimizarmos esses potenciais problemas podemos adotar, como sugestão, as seguintes medidas:

» Retirar a permissão de escrita (Write), de pastas em que não serão necessários uploads de arquivos por parte dos usuários;

» Não instalar, em hipótese alguma, o serviço de FTP para utilização corporativa em servidores Controladores de Domínio.

» Em relação ao FTP Logon, criar as contas de usuários na base de usuários do servidor FTP é uma boa saída. Principalmente se os usuários não forem corporativos (clientes ou parceiros de negócios, por exemplo). Isso restringe o acesso somente ao servidor FTP e pode impedir uma provável invasão de outros servidores.

» Desabilitar o acesso anônimo é importante inclusive para questões de auditoria de sistemas. Se o modo de autenticação pode ser implementado e o conteúdo exposto no FTP não é considerado para domínio público, o acesso anônimo deve ser banido.

» Como os dados de usuário e senha trafegam em clear-text no modo de autenticação do FTP, se está previsto colocar dados sigilosos no site FTP ou se a segurança na comunicação entre os clientes e o servidor FTP for essencial,o estudo para implementação de um canal criptografado, como uma rede virtual privada(VPN), protegida com protocolo de encapsulamento ponto a ponto (PPTP) ou com protocolo IPSec, devem ser considerados e amplamente encorajados. Deve ser também considerado o uso do WebDAV, que utiliza a SSL (camada de soquetes de segurança).

Um cuidado extra deve ser dado aos sites FTP na Web ou diretórios virtuais configurados para usar isolamento com Active Directory (IIS 6.0), ou balanceamento de carga de FTP. Estes não devem ser mapeados para diretórios físicos usados em sites com as Extensões de servidor do FrontPage instaladas. Esse procedimento pode permitir que usuários vejam todos os arquivos dessa estrutura de pastas na rede.

» Criar políticas de grupos de trabalhos para determinar as permissões NTFS é uma boa saída para minimizar os esforços de manutenção. Ao menos os usuários corporativos devem ser organizados em grupos departamentais e as permissões NTFS atribuídas a esses grupos ao invés de usuário para usuário. Esses usuários geralmente possuem seu Home Directory para armazenar dados pessoais e não faz muito sentido criar um endereço FTP somente pra esse tipo de serviço. Serviços corporativos, via de regra, devem disponibilizar conteúdos corporativos e não pessoais.

Serviço de FTP no IIS 6.0

A arquitetura redesenhada do IIS 6.0 colaborou em muito para a confiança na establidade e disponibilidade dos seu diversos serviços. Como já vimos (também no Capítulo 1), agora os serviços FTP, SMTP e NNTP continuam rodando sobre o inetinfo.exe, porém os aplicavos web rodam totalmente em processo separados com maior controle sobre sua ‘saúde’. Assim, se um site web se comportar mal não comprometerá os outros serviços e vice-versa.

5 – Arquitetura dos Serviços IIS 6.0

No aspecto de segurança, a versão 6.0 do IIS inclui o isolamento de usuários para auxiliar os administradores e, particularmente os provedores de hospedagem na Internet, a manter a segurança e a eficiência dos serviços FTP e oferecer a seus clientes diretórios individuais de FTP para fazer o upload de arquivos e de conteúdo da Web.

Isso é muito útil quando você tem vários usuários acessando um ou mais sites.

O isolamento dos usuários de FTP impede que eles exibam ou sobrescrevam o conteúdo da Web de outros usuários, restringindo-os a seus próprios diretórios. Os usuários não podem navegar mais acima na árvore de diretórios porque o diretório de nível superior aparece como a raiz do serviço FTP. Dentro de seu site específico, os usuários têm a capacidade de criar, modificar ou excluir arquivos e pastas.

O isolamento do usuário de FTP é uma propriedade do site e não uma propriedade do servidor; o que significa dizer que cada site FTP pode ter o isolamento de usuários configurado de maneira diferente.

Se o seu site se localiza em uma intranet ou na internet, os princípios disponibilização de um local para trocas (uploads e downloads) de arquivos usando o FTP são os mesmos. Você grava seus arquivos em diretórios no seu servidor de FTP para que seus usuários possam estabelecer uma conexão FTP e transferir arquivos com um cliente FTP ou com o browser (Internet Explorer, Firefox,etc) habilitado para conexões FTP.

Porém, além de simplesmente armazenar arquivos em seu servidor, você precisa gerenciar como o seu site está instalado e, o mais importante, como seu site se desenvolve.

O isolamento do usuário de FTP oferece suporte a três modos de isolamento.

Cada modo ativa diferentes níveis de isolamento e autenticação. O modo desejado deve ser configurado no ato da criação do site e não poderá ser alterado depois. A única maneira de fazer isso é excluir o site e criá-lo novamente com a outra opção de isolamento porque essa propriedade está presente somente na criação do site.

» Não isolar usuários – Este modo não ativa o isolamento do usuário de FTP.

Ele foi criado para funcionar de maneira semelhante a versões anteriores do IIS. Aqui é necessário se preocupar diretamente com as permissões NTFS para evitar acessos indevidos às pastas de outros usuários. Todas as recomendações de segurança dadas nesse artigo para a versão 5.0 servem pra este tipo de configuração.

» Quando Utilizar: Como o isolamento não é imposto entre diferentes usuários que fazem logon no seu servidor FTP, esse modo é ideal para um site que oferece apenas recursos de download de conteúdo compartilhado ou para sites que não exigem proteção de acesso a dados entre os usuários.

» Isolar usuários – Este modo autentica os usuários em contas locais ou de domínio, antes que eles possam acessar o diretório base que corresponde ao seu nome de usuário. Todos os diretórios-base de usuários devem ser criados localmente, ou seja, é necessário criar uma estrutura de diretórios em um único diretório raiz do FTP em que cada usuário é colocado e restrito ao seu diretório base. Os usuários não têm permissão para navegar fora de seu diretório base. Se os usuários precisarem de acesso a pastas compartilhadas dedicadas, também é possível estabelecer uma raiz virtual. Este modo não é autenticado no serviço de diretórios do Active Directory.

» Quando Utilizar: Este modo de isolamento tem alguns pontos positivos e negativos. O lado positivo é que pode autenticar usuários locais ou remotos e é de fácil entendimento para o administrador. O lado negativo é que todos as sub-pastas do site precisam estar em um mesmo diretório raiz e o desempenho do servidor pode degradar quando este modo for usado para criar centenas de diretórios-base. Este modo é indicado nas seguintes condições:

» Quando houver um número pequeno de sites pra gerenciar;

» Quando houver um número pequeno de contas de usuários FTP. Lembre-se de que 100 usuários significam 100 FTP home directories.

» Quando a escalabilidade (potencial de crescimento), for baixo.

» Isolar usuários usando o Active Directory – Este modo autentica credenciais de usuário em um recipiente do Active Directory correspondente, em vez de procurar em todo o Active Directory, o que requer muito tempo de processamento. Instâncias específicas do servidor FTP podem ser dedicadas a cada cliente, para assegurar a integridade e o isolamento dos dados. Quando o objeto de um usuário estiver localizado no recipiente do Active Directory, as propriedades FTPRoot e FTPDir serão extraídas para fornecer o caminho completo para o diretório base do usuário, o que torna desnecessário a manutenção de uma estrutura de diretórios para o FTP. Se o serviço FTP puder acessar com êxito o caminho, o usuário será colocado no diretório base, que representa o local raiz do FTP. Para o usuário é exibido apenas seu local raiz do FTP e ele não pode navegar acima na árvore de diretórios. O usuário terá o acesso negado se a propriedade FTPRoot ou FTPDir não existir ou se essas duas juntas não formarem um caminho válido e acessível.

» Quando Utilizar:

» Quando houve a necessidade de se criar um FTP Farm ou Load Balance;

» Quando houver a necessidade de alta disponibilidade do serviço;

Observação: Este modo requer que um servidor do Active Directory seja executado em um sistema operacional da família Windows Server 2003. Um Active Directory do Windows 2000 também poderá ser usado, mas irá requerer extensão manual do esquema User Object.

Instalação

O processo de instalação do serviço de FTP que descrevo abaixo, foi copiado dos procedimentos indicados pela Microsoft. Após a instalação vamos estudar como configurar e gerenciar nosso servidor FTP.

Instalando o Serviço de FTP

1. Abra o “Add Remove Programs” no Painel de Controle e clique em “Add/Remove Windows Components”;

6 – Instalação do Serviço de FTP no Windows Server 2003

2. Clique em “Application Server” à “Details” e, em seus subcomponentes, procure e clique em “Internet Information Services (IIS)” à “Details”.

3. Nos subcomponentes de “Internet Information Services (IIS)”, selecione “File Transfer Protocol (FTP) Service” à OK.

4. Clique em “Next”. Se solicitado, insira o CD do Windows Server 2003.

6. Clique em “Finish”.

O IIS Manager cria um site FTP padrão durante a instalação dos serviços FTP.

Pode-se utilizar o diretório \Inetpub\Ftproot para publicar o conteúdo ou criar outro diretório.

Pronto! Instalamos o Serviço FTP. Agora precisamos configurá-lo adequadamente pra que você possa oferecer este serviço para sua empresa/clientes de maneira segura e adequada.

Criando um novo site FTP

1. No IIS Manager, expanda o computador local, clique com o botão direito na pasta FTP Sites, aponte para New… e clique em FTP Site. O Assistente para criação de site FTP aparece.

2. Clique em Next.

3. Na caixa Description, digite o nome do site e clique em Next.

4. Especifique, digitando ou clicando, o endereço IP (o padrão é (All Unassigned)) e a porta TCP para o site, e clique em Next.

5. Clique na opção de isolamanto do usuário que você deseja e clique em Next.

6. Na caixa Path, digite, ou procure, o diretório que contém ou conterá conteúdo compartilhado e clique em Next.

7. Marque as caixas de seleção correspondentes às permissões de acesso ao site FTP que você quer atribuir aos usuários e clique em Next.

8. Clique em Finish.

9. Para posteriormente alterar estas e outras configurações, clique com o botão direito no site FTP e clique em Properties.

Discutiremos posteriormente como manter vários sites FTP em um único servidor.

DICA: Ao terminar a instalação, se vocês estiver utilizando o servidor com algum Service Pack (SP1 no caso do Windows Server 2003), é interessante reaplicar o último Service Pack após a instalação do serviço.

O primeiro requisito de segurança é a aplicação do Service Pack mais atual do seu Sistema Operacional (no nosso caso, o Windows Server 2003). Os Service Packs são ‘programados’ para instalar as correções somente dos serviços em execução no servidor. Assim, se houver alguma correção a ser feita (e há!) no serviço de FTP, ela só será aplicada após o serviço instalado. Existem pelo menos 5 artigos inclusos no SP1 que tratam de problemas diretamente ligados ao serviço de FTP (KB826270 – KB828086 – KB830886 – KB830885 – KB831914 – KB887175).

É uma boa prática verificar a compatibilidade dos sistemas que estão rodando no servidor que foi escolhido para ser o servidor de FTP, com os patchs do Service Pack atual antes de re-aplicá-lo ou aplicá-lo pela primeira vez. Alguns sistemas, como banco de dados por exemplo, podem deixar de funcionar ou começar apresentar erros após uma substituição de dll feita pelo Service Pack. E, acredite, é melhor pesquisar pelas incompatibilidades antes do que durante a ocorrência do problema.

Configurando o Serviço de FTP para Acesso Anônimo

Se o servidor FTP tiver por finalidade simplesmente ser um repositório de documentos de domínio público que podem e devem ser pesquisados pela empresa toda (pela intranet), ou pelo mundo (através da internet), a simples configuração para permitir somente conexões anônimas será o suficiente.

Para configurar o Serviço FTP de modo a permitir somente conexões anônimas, siga estas etapas:

1. Abra o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS.

2. Expanda Nome_do_servidor, em que Nome_do_servidor é o nome do servidor.

3. Expanda FTP Sites.

4. Clique com o botão direito em Default FTP Site e clique em Properties.

5. Clique na guia Security Accounts.

7 – Propriedades de Segurança de Contas de Acesso

6. Clique para marcar as caixas de seleção Allow anonymous connections (se já não estiver selecionada) e Allow only anonymous connections.

Ao clicar para selecionar a caixa de seleção Allow only anonymous connections, você configura o Serviço FTP para permitir somente conexões anônimas. Os usuários não podem conectar-se usando nomes de usuário e senhas.

7. Clique na guia Home Directory.

8. Clique para marcar as caixas de seleção Read e Log Visits (se já não estiverem marcadas) e clique para desmarcar a caixa de seleção Write (se já não estiver desmarcada).

9. Clique em OK.

10. Feche o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS.

O servidor FTP está configurado para aceitar solicitações de entrada FTP. Copie ou mova os arquivos que deseja tornar disponível para acesso para a pasta de publicação em FTP. A pasta padrão é unidade:\Inetpub\Ftproot, onde unidade é a unidade na qual o IIS está instalado.

Tecnologias ›

O maior desafio da indústria mundial de software de segurança é prover soluções no espaço de tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz, que fosse capaz de deter um determinado vírus. Hoje em dia, os vírus de computador não são mais os únicos vilões do crime digital.

Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhia deve garantir que o correio eletrônico enviado desse mesmo computador passará pelo servidor da empresa, seguirá pela Internet (ou, em certos casos, por uma rede privada virtual), chegará a um outro servidor, que transmitirá a mensagem ao destinatário com a garantia de que se trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada.

Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar atrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo menos três fases principais:

1) O primeiro passo consiste em realizar o levantamento e a classificação dos ativos da empresa.

2) Concluída essa fase, é preciso avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a sua segurança.

3) A infraestrutura de tecnologias é a terceira fase desse planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.

Infraestrutura
Apresentar um organograma consolidado das ferramentas e soluções que compreendem a segurança de uma rede corporativa é algo, em certo sentido, até arriscado, considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaças. No entanto, algumas aplicações já fazem parte da rotina e do amadurecimento tecnológico de muitas organizações que, pela natureza de seus negócios, compreenderam quão críticas são suas operações.

Algumas dessas aplicações são:

– Antivírus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. – Balanceamento de carga: Ferramentas relacionadas à capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papéis da segurança corporativa é garantir a disponibilidade da informação, algo que pode ser comprometido se não houver acompanhamento preciso da capacidade de processamento da empresa.

– Firewall: Atua como uma barreira e cumpre a função de controlar os acessos. Basicamente, o firewall é um software, mas também pode incorporar um hardware especializado. – Sistema Detector de Intrusão (IDS, da sigla em inglês): Como complemento do firewall, o IDS se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, códigos de ataque etc.

– Varredura de vulnerabilidades: Produtos que permitem à corporação realizar verificações regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores.

– Rede Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados para o tráfego de dados criptografados entre divisões de uma mesma companhia, parceiros de negócios.

– Criptografia: Utilizada para garantir a confidencialidade das informações.

– Autenticação: Processo de identificação de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivíduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens, cartões inteligentes, certificados digitais); e em algo que ele seja (leitura de íris, linhas das mãos). – Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operações da companhia. Mais que uma solução, trata-se de um conceito.

– Sistemas antispam: eliminam a maioria dos e-mails não solicitados. – Software de backup: São programas para realizar cópias dos dados para que, em alguma situação de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuperá-los.

Pela complexidade de cada uma das etapas compreendidas em um projeto de segurança, especialistas recomendam que a empresa desenvolva a implementação baseando-se em projetos independentes.

Falsa sensação de segurança
O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento de problemas.

Por isso, os especialistas não confiam apenas em uma solução baseada em software. Quando se fala em tecnologia, é necessário considerar três pilares do mesmo tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são as tecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos os três não estejam equilibrados.

Ao se analisar a questão da Segurança da Informação, no entanto, além da importância relativa de cada um desses pilares, é preciso levar em conta um outro patamar de relevância, pois estará sendo envolvida uma gama muito grande de soluções de inúmeros fornecedores.

Por isso, a Segurança da Informação precisa envolver Tecnologias, Processos e Pessoas em um trabalho que deve ser cíclico, contínuo e persistente, com a consciência de que os resultados estarão consolidados em médio prazo.

Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependência entre as bases da atuação da segurança e de como cada parte é fundamental para o bom desempenho da proteção na corporação.

Recursos de proteção
A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma estrutura de Segurança da Informação, com política e normas definidas, sem soluções moderníssimas que cuidem da enormidade de pragas que infestam os computadores e a Internet hoje em dia.

Os appliances de rede, com soluções de segurança integradas, também precisam ser adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave para a produtividade, também podem ser alocados para dentro do chapéu da Segurança da Informação. Programas para controlar o acesso de funcionários, bloqueando as visitas a páginas suspeitas e que evitem sites com conteúdo malicioso, também são destaques. Mas antes da implementação da tecnologia, é necessária a realização de uma consultoria que diagnostique as soluções importantes.

Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa estrutura dentro de uma rotina corporativa que demanda urgência e dificilmente está completamente dedicada à segurança? A melhor resposta está no gerenciamento unificado. A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análise dos pré-requisitos em segurança.

Outro ponto do tripé são os processos, que exigem revisão constante. O grande combate realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia frágil, mas que, por outro lado, não endureça demais a produtividade, em busca do maior nível possível de segurança.

A visão da companhia como um emaranhado de processos causou grande revolução ao ir de encontro com os conceitos de gestão clássicos, focados na estrutura. Nesse novo enfoque, a adição de segurança segue a mesma linha turbulenta. Como no novo modelo, todos os processos estão integrados, um impacto causado pela segurança pode não apenas causar prejuízos para a rotina da empresa, mas também criar certo mal-estar entre as áreas. Tomar atitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prática do gestor.

Pessoas: desafio constante
A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para chegar à conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo, sobretudo em Segurança da Informação.

Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do inimigo interno. As pessoas estão em toda a parte da empresa e enxergam como ponto fundamental apenas a proteção da máquina. Os cuidados básicos com as atitudes das pessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas escritas e coladas no monitor, bem como a troca de informações sigilosas em ambientes sem confidencialidade, como táxi e reuniões informais são situações muito comuns. Assim, contar com a colaboração das pessoas é simplesmente fundamental numa atividade crítica para a empresa e que não tem final em vista. Mas o ponto principal da preocupação com as pessoas é que os fraudadores irão à busca delas para perpetrar seus crimes.

Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas, uma vez que elas podem causar muitos estragos e provocar sérios prejuízos. Mas ao se analisar o contexto de formação dos gerentes de segurança, talvez seja esse o ponto mais fraco. Investimento em formação profissional nesse sentido é uma iniciativa muito válida, assim como intercâmbio de informações entre áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das recomendações. O fato de envolver um dilema cultural também é outro complicador. Segurança da Informação representa um desafio de inédita magnitude para os profissionais do setor e, também, para a companhia como um todo.

IIS 6.0 2 parte

IIS 6.0 2 Parte

Introdução

O serviço WWW é a razão primordial da existência do IIS e de todos os servidores de Web existentes no mercado. As outras funcionalidades oferecidas pelas novas tecnologias acrescentam poder a esse serviço, mas não teriam a menor importância no mundo Internet se o serviço WWW não existisse. Ele ainda continua sendo o veículo mais leve para carregar as informações dos processamentos realizados pelas outras tecnologias e entregá-las a quem requisitar. Faz parte da logística da Internet!

Contando um pouco de história, lá pelos idos dos anos 90, mais precisamente em 6 de agosto de 1991, um Londrino de 36 anos chamado Tim Berners-Lee colocou on-line o que seria o primeiro web site da história humana.

Conhecimento nunca é demais não é verdade? Visite o endereço http://pt.wikipedia.org/wiki/Categoria:Hist%C3%B3ria_da_Internet e conheça um pouco da história da Internet.

Naquela época, as páginas criadas não tinham, nem de longe, a dinamicidade dos dias atuais. Foram criadas em cima da invenção de Theodor Holm Nelson que, em 1965, desenvolveu o hipertexto, hoje mais conhecido como World Wide Web ou WWW ou ainda simplesmente, HTML.

Eram simples documentos com extensão .html que continham uma série de tags, ou etiquetas, de comandos que eram interpretadas exclusivamente pelo lado ‘cliente’ com um programa que hoje conhecemos como Internet Browsers. Desse modo, o servidor dessas “páginas” se assemelhava em muito a um servidor de arquivos puro e simples que as disponibilizava em um diretório acessível pela Internet.

Daqueles tempos pra cá, a criatividade inerente do ser humano incrementou em muito as funcionalidades e possibilidades de exploração desse meio de comunicação, fazendo com que os servidores web também evoluíssem seus recursos disponíveis. Porém o velho e bom “WWW” continua presente e centro das atenções.

Surgimento do DNS (Domain Name System)

Falar sobre web sites e não fazer ao menos uma pequena referência ao DNS, deixa um vazio em qualquer artigo. Então, vamos lá!

Como todos sabem, a Internet utiliza a Suíte de protocolos TCP/IP para trafegar dados, o que significa dizer que o sistema de endereçamento de origem e destino dos pacotes de dados é controlado pelo Internet Protocol (IP).

Voltando à nossa aula de História, na infância da Internet, os endereços de sites eram, exclusivamente, os Ips dos servidores que armazenavam as páginas que queríamos visualizar. Se quiséssemos acessar a página http://www.netkon.com.br era necessário sabermos o endereço IP do servidor que a armazena e digitá-lo no Web Browser (http://63.247.87.202/, por exemplo), porque inclusive e muito provavelmente, nem saberíamos que o servidor era chamado de http://www.netkon.com.br.

Assim, encurtando a “aula” e pulando inúmeros detalhes e passos que se sucederam para isso acontecer, foi desenvolvido o Domain Name System. Ele se encarrega da tradução do nome do domínio (como são conhecidos os endereços das páginas atualmente) para o seu endereço IP já que, para a mente de nós, pobres mortais, é muito mais fácil guardar um nome do que uma seqüência de números.

Resumindo mais ainda, para você disponibilizar uma localização de páginas WWW em sua intranet, você precisa configurar o seu servidor DNS interno para traduzir o nome escolhido para o endereço IP do servidor web no qual você armazena essas páginas.

Deixando a nostalgia de lado e tentando justificar a historinha que eu contei aí em cima pra encher um pouco de lingüiça, vamos dar continuidade aos nossos artigos detalhando como criar um web site para hospedagem das páginas de nossa intranet e como deixá-lo disponível para nossos usuários corporativos.

Administração do IIS

As funções do IIS podem ser administradas através da console mmc Internet Information Services Manager encontrado, após a instalação do IIS no servidor, em START à Programs à Administrative Tools à Internet Information Services (IIS) Manager.

Console do Gerenciador do IIS

Nesta console podemos notar 3 componentes distintos que fazem parte da instalação padrão: 1. Application Pools; 2. Web Sites (Default Web Site) e; 3. Web Services Extensions.

Leia o artigo IIS 6.0 – Instalação, Administração e Configuração Parte 1 – Arquitetura e Instalação para detalhes de como instalar o IIS 6.0.

Application Pools

Como explicado no artigo anterior, este componente foi desenvolvido na versão atual do IIS com a finalidade de dar mais agilidade e segurança aos sites hospedados em um mesmo servidor. Através dele, você tem a possibilidade de isolar os processos que rodam em cada site. Se houver algum componente mal comportado em algum site que acarrete sua paralisação, o Application Pool (AppPool) isola este site permitindo que os outros continuem funcionando sem qualquer interferência.

Porém pra que isso aconteça, é necessário criar um AppPool para cada site ou para cada grupo de sites. Cada AppPool tem uma série de eventos que podem ser configurados independentes de outros AppPool.

Clique com o botão direito sobre “Default AppPool” e selecione “Properties” para estudarmos as características deste componente.

Em Recycling, estão alguns thresholds, ou diretivas, que podemos configurar para reinicializar os processos.

Você pode determinar que os processos deste AppPool devam ser reinicializados após um período de tempo, um nº. de requisições ou em horários determinados. Pode também dizer se isso deve acontecer caso os processos estejam consumindo uma determinada quantidade de memória virtual e/ou física.
Esses controles, como todas as outras propriedades, são muito importante pra manter a saúde do seu servidor de Web. Para “limpar” possíveis processos órfãos da memória do servidor você pode, por exemplo, programar para o AppPool ser reiniciado as 2 da madrugada, todos os dias.

Para administrar o desempenho do site existem os parâmetros:

•Idle timeout – Tempo de inatividade pode significar dispêndio desnecessário para um servidor. Configurar um limite de tempo de inatividade para realizar um shutdown tem o mesmo significado do tempo de standby que configuramos em nosso monitor para economizarmos energia elétrica. Não consumir recursos desnecessariamente.
•Request queue limit – Previne a sobrecarga do sistema por excesso de requisições em fila. Quando configurado, todas as requisições que excederem ao limite estabelecido serão descartadas e o servidor responderá a elas com o código de erro (Error Response) 503 ao cliente.
•Enable CPU monitoring – Quando selecionado, permite que o IIS contabilize a utilização da CPU para rastrear e parar Worker Processes que consomem muito tempo de processamento, excedendo o limite estabelecido em minutos para o uso em porcentagem. Este parâmetro não funciona para aplicativos CGI. É possível configurar a ação que o IIS deve realizar quando os parâmetros forem alcançados. O IIS pode realizar o shutdown do AppPool ou simplesmente criar um log do erro no EventLog caso o parâmetro Action perfomed… seja configurado para No action.
•Web garden – é configurado quando um AppPool utiliza mais que um worker process. Por exemplo, quando o site está configurado para utilizar mais de um filtro ISAPI, é necessário ajustar este parâmetro para suportar o número de filtros que serão executados com ele.

Para monitorar a saúde dos processos que rodam sob a administração de um AppPool, você pode: 1. Solicitar que seja testado o estado de resposta do worker process em freqüência de segundos; 2. Determinar o tempo máximo para a inicialização do worker process; 3. Determinar o tempo limite para início do shutdown do worker process e; 4. Habilitar a “Proteção Rápida contra Falhas”, que permite ajustar quantas falhas em um determinado período de tempo devem acontecer para que o AppPool seja desabilitado.

Nas propriedades “Identity”, os parâmetros disponíveis ajudam a aumentar a segurança dos processos que ocorrem sob um determinado AppPool. Você pode aceitar uma conta de segurança do sistema (Network Service, Local Service e Local System) ou configurar uma conta local ou do Active Directory como Owner do AppTool.

Web Sites e Diretório Virtual

É neste componente que as coisas acontecem. É aqui que você publica suas páginas, administra quem pode o quê, configura os parâmetros para o bom funcionamento do seu site, enfim, se diverte.

Na instalação padrão é criado o Default Web Site, que será a entidade padrão a responder pelas requisições feitas à porta 80 do seu servidor de Web (http://lynx ou http://companyweb, por exemplo).

Temos adotado como prática não utilizá-lo para fins de desenvolvimento quando temos a disponibilidade de somente um servidor de Web que atende tanto a intranet corporativa como o time de desenvolvimento interno. Em ambientes como o Small Business Server 2003, este site é muitas vezes utilizado pelos aplicativos que interagem com a web para armazenar seus diretórios virtuais. E o caso por exemplo do Outlook Web Access (OWA), alguns gerenciadores de antivírus para servidores e estações, o cartório digital do Windows Server 2003 e o Terminal Server. Assim, a melhor prática é sempre instalar um novo web site para as páginas que estamos desenvolvendo, (seja prestando serviços, seja pra nossa intranet corporativa), do que incorporá-las no Default Web Site. Utilizá-lo para desenvolvimento nesses casos, pode causar efeitos colaterais nesses diretórios virtuais.

A diferença básica entre um web site e um diretório virtual é que um diretório virtual sempre está contido em um web site e o web site sempre será a raiz do endereço solicitado, (http://companyweb, por ex.). O diretório virtual, sempre será uma sub-pasta ou subdomínio do endereço (http://companyweb/ctb ou http://ctb.companyweb, dependendo da configuração feita em seu servidor DNS). Você pode configurar os parâmetros do diretório virtual independente dos parâmetros do web site que o contém.

Criando um web site

O processo de criação de um web site e de um Diretório Virtual é exatamente o mesmo, com a ressalva de que, para criar um Diretório Virtual você precisa primeiro, selecionar o site dentro do qual ele será criado.

Exemplos de Diretórios Virtuais dentro do Default Web Site de um servidor Small Business Server 2003.

Abra a console do Internet Information Services Manager. Clique em Web Sites com o botão direito e selecione New » Web Site… no menu suspenso.
Você receberá a tela de boas vindas, clique em Next e digite a descrição do seu site. Essa descrição é o que aparecerá no nome do site dentro do IIS Manager. Em nosso exemplo, o nome que inserimos foi netkon. Clique em Next.

Se o seu servidor possuir mais de um IP (multihomed Server), você poderá selecionar o IP pelo qual o IIS deverá responder às requisições para este site. Você poderá também alterar a porta pelo qual esse web site deverá receber as requisições de acesso. Com exceção de sites que necessitam de um pouco mais de segurança, como os sites de administração do sharepoint, por exemplo, essa porta não deve ser alterada. Se você tomar como prática configurar cada site de sua intranet corporativa para ‘escutar’ uma determinada porta, isso pode tornar muito complicado o seu gerenciamento dependendo da quantidade de sites que você hospedar.

Note que preenchemos o Host Header com netkon.dev. Ou seja, quando quisermos acessar o conteúdo deste site, devemos digitar http://netkon.dev na linha de endereço no browser.

Se você deixar o host header em branco e a porta TCP em 80, quando você voltar para o IIS Manager notará que o status do site é “stopped” e não conseguirá iniciá-lo por que há um conflito de utilização de portas. O Default Web Site, que também não tem um host header já está respondendo pela porta 80. Por isso a necessidade de um host header diferente.

Posteriormente, precisaremos informar ao nosso DNS corporativo como resolver a requisição para este nome.

Aqui você deve inserir o caminho lógico para a pasta que armazenará o site.

Salvo em casos em que o site é de Administração de serviços ou executa algum sistema da empresa, você deve permitir o acesso anônimo ao site para que seus usuários não precisem realizar nenhuma autenticação para acessá-lo.

Neste passo você atribuirá as permissões de acesso que seus usuários terão ao site.

As 3 primeiras opções são suficientes para que seus usuários tenham permissão para executar os conteúdos dinâmicos do site.

Ao clicar em next neste ponto, o IIS criará o site dentro do IIS Manager com as configurações indicadas e finalizará o Wizard

Atribuindo um Application Pool

Antes de deixarmos este site disponível, vamos criar e atribuir para ele um Application Pool.

No console do IIS Manager, clique com o botão direito do mouse sobre Application Pools e selecione New » Application Pool… no menu suspenso.

Insira o nome escolhido para o AppPool. No nosso exemplo colocamos, Netkon AppPool para facilitar a localização do AppPool do site netkon.dev

Visualização do AppPool criado para o site netkon.dev

Agora que criamos um novo AppPool, vamos atribuí-lo ao site que acabamos de criar.

No IIS Manager, selecione o site criado e clique sobre ele com o botão direito do mouse.

No menu suspenso, clique em “Properties”. Na tela de propriedades do site que aparecerá, selecione a guia “Home Directory” e na parte inferior, selecione o nome do AppPool criado (Netkon AppPool) na diretiva ‘Application tool’. Clique em Apply e em OK.

No IIS Manager, ao selecionar o AppPool desejado você verá na tela, à direita o nome de todos os sites associados à este AppPool. De acordo com o que já estudamos até aqui, basta agora, configurar as propriedades do AppPool para as condições de performance e segurança que queremos dar a este site.

Web Server Extensions

Este componente é uma melhoria na questão de segurança do IIS. Através da configuração de containeres Web Server Extension você tem condição agora de proibir ou permitir a execução de componentes dinâmicos do IIS como extensões CGI, ISAPI, ASP, etc.

O seu funcionamento é muito simples. Para criar um container com o nome desejado, basta clicar com o botão direito do mouse sobre “Web Service Extensions” e selecionar “Add new Web service extension”. Na caixa que aparecer, clicar em “Add…”, inserir o nome dele e os componentes específicos; atribuir ‘Permitir’ ou ‘Proibir’ para todo o container ou para cada um dos componentes inseridos.

Adicionando os componentes do web service extension

Publicação DNS

Apesar de ser um assunto “off-topic” aos artigos sobre Internet Information Services, é necessário aqui, abrirmos um parênteses para falarmos sobre DNS.
Como vimos na criação de um web site, é necessário darmos um “host header” para cada site criado no IIS, caso contrário eles não funcionarão por estarem em conflito com o Default Web Site quanto à porta de comunicação (porta 80).

Porém, para que esses sites estejam disponíveis no ambiente web para os usuários corporativos, é necessário que o DNS esteja apto a resolver o ‘host header’ para o ip do servidor web que o hospeda.

Em nosso ambiente de rede, criamos no DNS uma zona destinada somente a resolver os nomes dos sites em desenvolvimento em nosso servidor web. Denominamos essa zona de .dev . Desse modo, todos os sites em desenvolvimento possuem a extensão .dev no nome e, netkon.dev, é o nosso exemplo. Ele é o site em desenvolvimento do domínio http://www.netkon.com.br.
•Clique com o botão direito do mouse sobre My Computer e selecione “Manage”;
•No Computer Management Console, clique para abrir o item “Services and Applications” e clique logo em seguida em “DNS” e abra o subitem “Forward Lookup Zones”.
•Como criamos uma zona destinada somente ao desenvolvimento, chamada dev, nós a selecionaremos. Você pode selecionar a zona do seu Active Directory ou seguir nosso exemplo e criar uma nova zona primária e depois criar o registro CNAME dentro dela.
•Clicando com o botão direito do mouse sobre a zona desejada, selecione a opção “New Alias (CNAME)…”;
•Na caixa “New Resouce Record” digite o nome do site (no nosso caso, netkon), e o FQDN do servidor (no nosso caso, plutão.netkon.corp). Clique em OK até fechar todas as caixas.

O host header que colocamos nas propriedades do site no momento de sua criação foi netkon.dev. Porém não é necessário inserir o .dev porque ele faz parte do nome da zona que será acrescentada como sufixo do nome netkon automaticamente.

A partir desse momento o servidor passará a responder pelas requisições ao nome netkon.dev. Pra comprovar isso, abra o Prompt de Comando em uma estação (2000 ou XP), e digite:

ipconfig /flushdns » para recarregar o cash do DNS;

ping netkon.dev

IIS 6.0 Introdução

IIS 6.0 Introdução

Introdução

Nos últimos 3 anos, tem sido muito claro a intenção das corporações em migrar, senão todo, grande parte de seu ambiente colaborativo para as tecnologias que envolvem a Internet. Não somente pela diminuição de custos que isso representa na maioria dos casos como também pelas facilidades imensas de acessibilidade, padronização e portabilidade que este ambiente fornece.

Grandes fornecedores de softwares e soluções corporativas têm voltado seus olhos para a migração de seus Sistemas de Gestão para essa plataforma. É o caso, por exemplo da SAP – com o MySAP e Netweaver – da IBM, com o WebSphere, e da própria Microsoft com a plataforma .NET, por entenderem que dessa forma, com a diminuição de custos e aumento de valor agregado, podem desembarcar na terra das pequenas e médias empresas (Small and Medium Business) com valores competitivos e acessíveis a esse nicho de mercado.

Com o anúncio da Microsoft sobre tornar os documentos do Office v.12 padrão XML, certamente o IIS terá um lugar ainda maior de destaque no cenário empresarial. Produtos como o SharePoint Portal e Sharepoint services e o WSUS, para citar somente os da Microsoft, já evidenciam o papel de importância que o IIS tem e terá na área de WebServers.

Desse modo, é de vital importância o entendimento, tanto de sua arquitetura como de seu funcionamento como um todo, por parte dos desenvolvedores para Web, webmasters e administradores de rede.

IIS – Arquitetura – Visão Geral

Arquitetura de Processos Tolerante a Falhas

O IIS 6.0 isola os sites da Web e aplicativos em unidades chamadas “Classes de Aplicativos”. As Classes de Aplicativos fornecem uma forma conveniente de administrar os sites na Web e aplicativos, e aumentam a confiabilidade, já que erros em uma Classe de Aplicativos não provocam erros em outras classes ou falhas no servidor.

Health Monitor

O IIS 6.0 verifica periodicamente o status das Classes de Aplicativos reiniciando-as automaticamente em caso de falhas nos sites da Web ou em aplicativos nessa Classe de Aplicativos, aumentando a disponibilidade. Ele também protege o servidor e outros aplicativos, desabilitando automaticamente sites na Web e aplicativos, se falharem em um curto período de tempo.

Novo modo driver kernel, HTTP.sys

O Windows Server 2003 introduz um novo driver kernel, protocolo HTTP (HTTP.sys), melhorando o desempenho e a escalabilidade. Esse driver foi desenvolvido especificamente para melhorar o tempo de resposta do Servidor da Web.

Integração com Aplicativos e Segurança

O IIS 6.0 oferece integração com o ASP.NET, o Microsoft .NET Framework e os Serviços da Web em XML, tornando-se a plataforma especialmente projetada para aplicações .NET.

Existe uma ação mais pró-ativa contra os usuários mal-intencionados. O IIS 6.0 não é instalado por padrão como acontece com o IIS 5.0 e o Windows 2000 Server. Além disso, o processo de instalação padrão da versão 6.0 é mais rígido que a versão 5.0 e é realizada em um ambiente altamente seguro e bloqueado. Ela desabilita mais de 20 serviços que vinham habilitados automaticamente no Windows 2000.

O IIS 6.0 é “Locked-down server By default”, em outras palavras, está protegido na sua instalação, exigindo que o administrador habilite as funções especiais e necessárias para executar o site na Web. Sem isso, ele só pode oferecer conteúdo estático e extensões dinâmicas desabilitadas. Isso faz com que o IIS 6.0 seja o servidor de Web mais seguro.

Veja as principais diferenças no processo de instalação:

Tabela 1 – Comparação de Instalação Padrão entre as versões 5.0 e 6.0 do IIS.

Componentes do IIS Instalação Padrão do IIS 5.0 Instalação Padrão do IIS 6.0
Suporte a arquivos estáticos Habilitado Habilitado
ASP Habilitado Desabilitado
Server-side Includes Habilitado Desabilitado
Internet Data Connector Habilitado Desabilitado
WebDAV Habilitado Desabilitado
Index Server ISAPI Habilitado Desabilitado
Internet Printing ISAPI Habilitado Desabilitado
CGI Habilitado Desabilitado
Extensões do FrontPage Habilitado Desabilitado
Funcionalidade de Troca de Senhas Habilitado Desabilitado
SMTP Habilitado Desabilitado
FTP Habilitado Desabilitado
ASP .NET X Desabilitado
BITS X Desabilitado
Tabela adaptada da apresentação do WebCast da Microsoft – “Windows Server 2003 – Gerenciando o Internet Information Services 6.0(IIS 6.0)”, apresentado em 05 de agosto de 2005.

Os recursos que permitem conteúdo dinâmico como o ASP, ASP .NET, WebDAV e extensões FrontPage, só funcionarão se forem habilitados manualmente. Se você não habilitou esses recursos após uma instalação “NNF” (Next, Next… Finish) do IIS, ele retornará um erro código 404 para as requisições de páginas ao servidor.

Além da necessidade de habilitação manual, se uma extensão de aplicativo não estiver mapeada no IIS (.php por ex.), ele também retornará um erro 404.

Ou seja, quase todas as funcionalidades da versão 6.0 precisam ser explicitamente desejadas e habilitadas manualmente para funcionar. Assim, o ambiente torna-se mais controlado. Veremos, no decorrer do nosso curso, como habilitar e configurar detalhadamente as principais funções e como resolver os problemas mais freqüentes.

No quesito autenticação, a autenticação Digest avançada traz importantes melhorias em relação à autenticação básica, pois as credenciais são enviadas pela rede como um hash MD5 e são armazenadas dessa forma no Active Directory do controlador do domínio. Esse mecanismo torna extremamente difícil, para os usuários mal-intencionados, descobrir senhas de usuários, e você não precisa modificar os aplicativos.

Se você tiver interesse em conhecer melhor o hash MD5, leia a RFC 1321 – http://www.faqs.org/rfcs/rfc1321.html.

Ainda comentando sobre as principais diferenças, segue uma tabela comparativa entre as versões 4.0, 5.0 e 6.0 do IIS.

Saber essas diferenças é importante, não somente para acompanhar a evolução do produto mas também ter conhecimento das funcionalidade que vocês encontrará em cada versão do produto ainda ativa no mercado.

Tabela 2 – Principais diferenças entre as versões ativas no mercado.

IIS 4.0 IIS 5.0 IIS 6.0
Plataforma Windows NT 4.0 Windows 2000 Windows Server 2003
Arquitetura 32-bits 32-bits 32-bits e 64-bits
Configuração do metabase Binário Binário XML
Segurança
Windows Authentication
SSL
Windows Authentication
SSL
Kerberos
Windows Authentication
SSL
Kerberos
Security Wizard
Suporte a Passa-portes
Administração Remota HTMLA
HTMLA
Terminal Services
Remote Administration Tool (HTML)
Remote Desktop
Suporte a Cluster In Windows NT 4.0 IIS Clustering Windows support
Suporte a E-Mail SMTP SMTP SMTP & POP3
Suporte ao Ipv6 IPv4 IPv4 IPv4 e IPv6
Tabela adaptada da apresentação do WebCast da Microsoft – “Windows Server 2003 – Gerenciando o Internet Information Services 6.0(IIS 6.0)”, apresentado em 05 de agosto de 2005.

Confiabilidade – Modo de Isolamento

O IIS 6.0 é mais confiável do que as versões anteriores devido a uma nova arquitetura de processamento de solicitação, que fornece um ambiente de isolamento de aplicativo que permite o funcionamento de aplicativos da Web individuais em seu próprio processo.

Você pode configurar o IIS 6.0 para execução em modo de isolamento por processos, que executa todos os processos em um ambiente isolado, ou no modo de isolamento do IIS 5.0, por questões de incompatibilidade de aplicativos Web com o modo de isolamento da versão 6.0.

O IIS 6.0 funciona em um dos seguintes modos de operação, denominados modos de isolamento de aplicativos (Isolation Modes): Worker Processes e IIS 5.0 Isolation Modes (modos de isolamento do IIS 5.0). Ambos dependem do HTTP.sys como escuta do Hypertext Transfer Protocol (HTTP); no entanto, suas funções internas são basicamente diferentes.

Como configurar os modos de isolamento de aplicativos será detalhado nos próximos capítulos.

O modo de isolamento de aplicativos do IIS que você escolher influencia o desempenho, a confiabilidade, a segurança e a disponibilidade de recursos.

Worker Process

IIS 5.0 Isolation Mode

O modo de isolamento do IIS 5.0 garante a compatibilidade dos aplicativos desenvolvidos para o IIS 5.0. O processamento de solicitações do IIS 6.0 executado em modo de isolamento do IIS 5.0 é quase igual ao do IIS 5.0. No modo de isolamento do IIS 5.0, os recursos de pools de aplicativos, reciclagem e detecção de integridade não estão disponíveis.

Nesse modo o HTTP.sys é usado da mesma maneira que no modo de isolamento do Worker Process. A única exceção é que ele encaminha as solicitações apenas a uma única fila de solicitações, mantida pelo serviço WWW. Perceba que todos os serviços juntamente com os processos rodam sob o Inetinfo.exe. Se este componente falhar, o IIS todo para.

Compare abaixo as funcionalidades presente nos dois modos de processos do IIS 6.0

Tabela 3 – Comparando funções do IIS 6.0

Função do IIS IIS 5.0 Isolation Mode Host / Componente Worker Processes Host / Componente
Gerenciamento de Worker Processes Não Disponível (N/D) Svchost.exe / serviço WWW
Worker Process N/D W3wp.exe / Worker Process
Execução de extensões ISAPI no processo Inetinfo.exe W3wp.exe
Execução de extensões ISAPI externas ao processo DLLHost.exe N/D (todas as extensões ISAPI são executadas no processo)
Execução de filtros ISAPI Inetinfo.exe W3wp.exe
Configuração do http.sys Svchost.exe / serviço WWW Svchost.exe / serviço WWW
Suporte ao protocolo http Kernel do Windows / HTTP.sys Kernel do Windows / HTTP.sys
Metabase do IIS Inetinfo.exe Inetinfo.exe
FTP Inetinfo.exe Inetinfo.exe
NNTP Inetinfo.exe Inetinfo.exe
SMTP Inetinfo.exe Inetinfo.exe
Adaptação da tabela de referência às funções no tópico IIS Isolation modes do Help do IIS (iismmc.chm).

Notas

O IIS 6.0 não é capaz de executar os dois modos de isolamento de aplicativos simultaneamente. Portanto, não é possível executar alguns aplicativos da Web no modo Worker Process e outros em modo IIS 5.0 Isolation Process no mesmo servidor IIS. Se existirem aplicativos que requerem modos diferentes, você terá que executá-los em servidores separados.
Na pasta %SystemRoot%\help, onde %SystemRoot% = caminho de instalação do sistema (geralmente C:\Windows ou C:\Winnt), existem vários arquivos de help (.chm) interessantíssimos. Invista um tempo em estudá-los.

Se você quiser saber mais detalhes sobre todos os recursos implementados e melhorados da versão 6.0 do IIS, leia o tópico Getting Start – IIS 6.0 Features (Guia de Introdução – Recursos do IIS) do arquivo de help do IIS 6.0 (ismmc.chm, localizado em %SystemRoot%\help).

Instalação

Depois desta breve descrição de suas funcionalidades, vamos passar para a parte prática, descrevendo o processo deinstalação padrão do IIS

O processo foi realizado em um Windows Server 2003 – Standard Edition (English).

1. Clique em START » Settings » Control Panel » Add or Remove Programs;

2. Clique em Add/Remove Windows Components;

3. Selecione & Application Server

4. Clique em ‘Details’ para que os sub-itens de ‘Application Server’ apareçam;

5. Selecione o item ‘Internet Information Services (IIS) e clique em ‘Details…’;

Ao selecionar o item ‘Internet Information Services(IIS), todos os componentes necessários para uma instalação básica do IIS serão selecionados automaticamente.

Veremos posteriormente a função de cada um desses sub-componentes, o que deveremos fazer e quando deveremos habilitá-los. No momento vamos nosdeter na instalação básica pois o objetivo é instalar o IIS e colocá-lo para atender como WebServer.

Você notará que somente 3 itens dos Sub-componentes do IIS estarão selecionados. Ainda, se selecionarmos o item ‘World Wide Web Service’, veremos que somente o serviço World Wide Web está assinalado. Todos os outros sub-componentes, necessários para desenvolvimento de sites dinâmicos estão desabilitados por padrão.

Bom, aogra que você visualizou todos os sub-componentes disponíveis para o IIS, clique em ‘OK’ quantas vezes for necessário para voltar à tela do ‘Application Server’ e clique em ‘Next’.

A caixa ‘Configuring Components’ aparecerá e solicitará para que você insira o disco do Windows Server 2003 que, no nosso caso, é a versão Standard. Esse procedimento é o mesmo para todas as versões do Windows Server 2003, inclusive para a Web Edition.

Ao inserir o CD do Sistema Operacional, ele continuará a instalação e a finalizará com a tela já conhecida do ‘Finish’.

Clique em Finish e abra o Gerenciador do IIS através do START » Programs » Administrative Tools » Internet Information Services (IIS).

Pronto! Seu IIS está ativo e pronto para atender requisições de páginas. Porém, nessa configuração padrão ele somente atenderá requisição de páginas estáticas, retornando, como já vimos, o erro 404 para qualquer requisição de páginas dinâmicas.

Você poderia pergunta por exemplo, porque iria querer ter um IIS sem funcionalidades de páginas dinâmicas. Temos um exemplo disso em nossa empresa! Temos um IIS servindo somente o SMTP e outro com os sites em desenvolvimento.

Isso é interessante por diversas razões, desde o balanceamento de carga de trabalho até por questões de segurança. No nosso caso, temos alguns sistemas que emitem relatórios e enviam-nos pelo correio (o ISA Server por exemplo). Desse modo, em nossa DMZ temos um IIS Server somente para essa função. Desse modo, a carga de correio fica ao encargo desse servidor, liberando nosso Web Server de desenvolvimento e caso haja algum comprometimento deste IIS, não teremos nosso trabalho de desenvolvimento comprometido.

Backup e Restauração do 2003 Server

Fazer o backup Active Directory é uma tarefa bem simples se comparado a complexidade de Administração que é gerenciar o Active directory.

Quando fazemos o backup do Active Directory, o sistema de backup faz a copia de segurança dos seguintes itens:

· O Active Directory

· A pasta SYSVOL

· Os registros

· Os Arquivos de Inicialização

· A Base de Classes COM+

· A Base de Certificados Digitais

Fazer o backup do Active Directory e uma tarefa quase que rotineira para o Administrador, isto porque traz a devida tranqüilidade de manter o banco de dados preservado.

É importante frisar que quando fizer o backup o Windows Server 2003 reúne todos os itens acima em um só lugar chamado de “Estado do Sistema”. Quando se faz um backup do “Estado do Sistema“ o Windows 2003 Server irá realizar o backup do

Active Directory apenas se o servidor no qual você estiver realizando esta operação for o Controlador de Domínio.

A pasta compartilhada SYSVOL. Que contém arquivos de Diretivas de Grupo e scripts de login. A pasta compartilhada SYSVOL está presente somente em controladores de domínio.

O registro Este repositório de banco de dados contém as informações sobre a configuração dos computadores.

Arquivos de inicialização do sistema O Windows Server 2003 exige esses arquivos durante sua fase de inicialização. Eles incluem os arquivos do sistema e inicializações que estão protegidos pela proteção do arquivo do Windows.

Banco de dados COM+ Registro de Classe O banco de dados do Registro de Classe contém informações sobre aplicativos de Serviços de Componente.

O banco de dados dos Serviços de Certificado Este banco de dados contém os certificados do servidor que o Windows Server 2003 utiliza para autenticar usuários. Esse banco só está presente se o servidor estiver funcionando como servidor de certificados.

Então, vamos logo fazer este backup.

1. Clique em Backup no menu Iniciar, Todos os Programas, Acessórios, Ferramentas do Sistemas ,Backup.

2. Clique em Avançar na página Bem-vindo ao Assistente de Backup ou Restauração.

3. Na página Faça backup ou restaure, clique em Fazer backup de arquivos e configurações e depois clique em Avançar.

4. Na página Backup, clique em Eu escolherei os itens para backup e depois clique em Avançar.

5. Na página Itens para backup, expanda Meu computador, selecione Estado do Sistema, e depois clique em Avançar.

6. Na página Tipo, destino e nome do backup, clique em Procurar, selecione um local para backup, clique em Salvar e depois clique em Avançar.

7. Na página Concluindo o Assistente para backup ou restauração, clique em Concluir.

8. Após o backup ser realizado, na página Progresso do Backup clique em Fechar.

Restaurando uma cópia do Active Directory

Existem 03 métodos para a restauração do Active Directory são elas:

1. Restauração primária. Este método reconstrói o primeiro controlador de domínio no domínio quando não há outra maneira de reconstruir o domínio. Faça uma restauração primária somente quando todos os controladores de domínio em um domínio estiverem perdidos e você quiser reconstruir o domínio usando o backup.

2. Restauração Normal. Este método reinstala os dados do Active Directory no estado antes do backup e atualiza os dados com o processo normal de replicação. Realize uma restauração normal quando quiser restaurar um único controlador de domínio a um estado previamente conhecido.

3. Restauração com autoridade. Você executa esse método junto com uma restauração normal. Uma restauração com autoridade marca os dados específicos e evita que a replicação substitua esses dados. Os dados autorizados são replicados através do domínio.

Iremos abordar apenas a primeira Restauração primária, isto porque estaremos fazendo uma restauração de um Active Directory que também e um Controlador de Domínio.

Então vamos lá.

1. Reinicie seu controlador de domínio no Modo Restauração do Serviço de Diretório.

2. Inicie o utilitário de Backup.

3. Clique em Modo Avançado na página Bem-vindo ao Assistente para Backup ou Restauração.

4. Na página Bem-vindo ao modo avançado do utilitário de backup, em Restaurar e gerenciar mídia, selecione o que deseja restaurar e depois clique em Iniciar Restauração.

5. Clique em Cuidado e depois em OK.

6. Na caixa Confirmar Restauração, clique em Avançado.

7. Na caixa Opções Avançadas de Restauração clique em Ao restaurar dados replicados, marcar os conjuntos de dados como primários para todas as replicações e depois clique em OK duas vezes.

8. Na caixa Progresso da Restauração, clique em Fechar.

9. Na caixa Utilitário de Backup, clique em Sim.

Terminado a restauração é necessário reiniciar o Windows Server 2003.

Vaga de Administrador de Redes com Inglês e Espanhol Fluente. Interessados encaminhe CV para karine.silva@wa.com.br

Instalando o Windows 2008 AD DS

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 302 outros seguidores