SERVICIO HTTP DE INTERNET INFORMATION SERVER (IIS)

Los servicios de Internet Information Server (a partir de ahora IIS) son una plataforma con unas prestaciones completas, capaz de dar servicio HTTP (sitios web), FTP (transferencia de archivos), NNTP (noticias) y SMTP (correo electrnico) a empresas, particulares, instituciones, y debido a su integracin en los sistemas operativos Windows 2000 y XP es relativamente fcil de configurar y de manejar. De todos los servicios que proporciona, nos vamos a centrar en sus capacidades como servidor World Wide Web (HTTP).

Caractersticas
La versin 5.1 de los Servicios de Internet Information Server presenta muchas caractersticas que ayudan a los administradores Web a crear aplicaciones Web escalables y flexibles. Seguridad Autenticacin de texto implcita avanzada: la autenticacin de texto implcita avanzada es compacta, permite una autenticacin segura y eficaz de los usuarios a travs de servidores proxy y servidores de seguridad, no requiere software cliente adicional y evita pasar el nombre de usuario y la contrasea en texto sin cifrar a travs de Internet. Adems, la autenticacin de texto implcita, annima, bsica HTTP e integrada de Windows (anteriormente llamada autenticacin de desafo/respuesta de Windows NT y autenticacin NTLM) an estn disponibles. Comunicaciones seguras: Secure Sockets Layer (SSL) 3.0 y Seguridad de capa de transporte (TLS) proporcionan una forma segura para intercambiar informacin entre clientes y servidores. Adems, SSL 3.0 y TLS proporcionan al servidor la forma de comprobar quin es el cliente antes de que el usuario inicie una sesin en el servidor. En IIS 5.1, los certificados de cliente estn expuestos a ISAPI y a las pginas Active Server, de forma que los programadores puedan efectuar el seguimiento de los usuarios a travs de los sitios. IIS 5.1 tambin puede asignar el certificado del cliente a una cuenta de usuario de Windows, de forma que los administradores puedan controlar el acceso a los recursos del sistema basado en el certificado del cliente. Cifrado canalizado por servidor (SGC): es una extensin de SSL que permite a instituciones financieras con versiones de exportacin de IIS utilizar un cifrado de alto nivel de 128 bits. Asistentes para seguridad: los asistentes para seguridad simplifican las tareas de administracin del servidor. Restricciones de dominio de Internet e IP: se puede conceder o denegar accesos Web a equipos individuales, grupos de equipos o dominios enteros. Almacenamiento de certificados: proporciona un nico punto de entrada que le permite almacenar, realizar copias de seguridad y configurar certificados de servidor. Fortezza: el estndar de seguridad del gobierno de EE.UU., habitualmente llamado Fortezza, es compatible con IIS 5.1. Este estndar satisface la arquitectura de seguridad Defense Message System con un mecanismo criptogrfico que proporciona confidencialidad de mensajes, integridad, autenticacin y control de acceso a

mensajes, componentes y sistemas. Estas caractersticas se pueden implementar con el software del explorador y el servidor, y con hardware de tarjeta PCMCIA. Administracin
Reiniciar IIS: posibilidad de reiniciar los servicios Internet sin reiniciar el equipo.

Realizar copias de seguridad y restaurar la metabase: los cambios en la capacidad y los procedimientos para realizar copias de seguridad y restaurar la metabase mejoran la seguridad y permiten restaurar la metabase en otros equipos. La aplicacin se ejecuta en el complemento IIS.
Almacenamiento en cach de plantillas ASP: los cambios en Ajustes de cach de

plantillas ASP proporcionan un mayor control del almacenamiento en cach de archivos ASP.
Mensajes de error personalizados mejorados: ahora los administradores pueden enviar mensajes informativos a clientes cuando se producen errores de HTTP en los sitios Web. Tambin incluye capacidades de procesamiento de errores ASP detallados a travs del uso de mensaje de error personalizado 500-100.asp. Puede usar los errores personalizados que proporciona IIS 5.1 o crear los suyos propios.

Opciones de configuracin: puede establecer los permisos para las operaciones Web de Lectura, Escritura, Ejecucin, Secuencia de comandos y FrontPage en el nivel de sitios, directorios o archivos. Administracin remota: IIS 5.1 tiene herramientas de administracin basadas en Web que permiten la administracin remota del servidor desde casi cualquier explorador en cualquier plataforma. Administracin centralizada: las herramientas de administracin para IIS utilizan Microsoft Management Console (MMC). MMC aloja los programas, llamados complementos, que los administradores utilizan para administrar los servidores.

Capacidades de programacin Pginas Active Server (ASP): proporciona una alternativa fcil de utilizar a CGI e ISAPI que permite a los programadores de contenido incrustar cualquier lenguaje de secuencias de comandos o componente del servidor en las pginas HTML. ASP proporciona acceso a todas las peticiones HTTP y secuencias de respuesta, as como conectividad con bases de datos basada en estndares y la capacidad para personalizar el contenido para diferentes exploradores.
Nuevas caractersticas de ASP: las pginas Active Server tienen algunas caractersticas nuevas y mejoradas para aumentar el rendimiento y simplificar las secuencias de comandos del servidor. Proteccin de aplicaciones: IIS 5.1 ofrece mayor proteccin e incrementa la confiabilidad de las aplicaciones Web. De manera predeterminada, IIS ejecutar todas las aplicaciones en un proceso comn o agrupado que est separado de los procesos bsicos de IIS. Adems, tambin puede aislar aplicaciones cuyas misiones sean crticas y que deban ejecutarse fuera tanto de los procesos de ncleo de IIS como de los agrupados.

Estndares de Internet Basado en estndares: los Servicios de Internet Information Server de Microsoft 5.0 y 5.1 cumplen con el estndar de HTTP 1.1 e incluyen caractersticas como PUT y DELETE, capacidad de personalizar mensajes de error de HTTP y compatibilidad con encabezados HTTP personalizados. Varios sitios, una sola direccin IP: gracias a la compatibilidad con encabezados de host, puede alojar varios sitios Web en un solo equipo en el que se ejecute Microsoft

Windows 2000 Server con una nica direccin IP. Esto es til para los proveedores de servicios Internet y las intranets corporativas que alojan varios sitios.
Sistema distribuido de creacin y control de versiones Web (WebDAV): permite a los usuarios remotos crear, mover o eliminar archivos, propiedades de archivos, directorios y propiedades de directorios en el servidor a travs de una conexin HTTP.

Noticias y correo: puede utilizar los servicios SMTP y NNTP para configurar el correo y los servicios de noticias en intranet que funcionan junto con IIS. Restricciones PICS: puede aplicar las restricciones PICS (Platform for Internet Content Selection, Plataforma para la seleccin del contenido de Internet) a los sitios que tienen contenido para adultos.
Reiniciar FTP: ahora las descargas de archivos de Protocolo de transferencia de

archivos se pueden reanudar sin tener que descargar todo el archivo de nuevo cuando se produce una interrupcin durante la transferencia de datos. Compresin HTTP: proporciona transmisiones ms rpidas de pginas entre el servidor Web y los clientes que admiten la compresin. Comprime y almacena en cach los archivos estticos y realiza una compresin a peticin de los archivos generados dinmicamente.

Instalacin
Para instalar el servicio HTTP de IIS hay que ir al Panel de Control dentro del men Inicio y hacer clic en Agregar o quitar componentes de Windows. En la lista de componentes se debe seleccionar Servicios de Internet Information Server (IIS), tal como se muestra a continuacin.

Por defecto, al seleccionar esta opcin se instalarn todos los componentes de los IIS, incluyendo soporte para HTTP, FTP, NNTP y SMTP. Como nosotros slo deseamos instalar

HTTP, haremos clic en Detalles tras seleccionar Servicios de Internet Information Server (IIS), con lo que veremos la siguiente ventana:

Podemos ver en detalle las opciones: Archivos comunes: archivos necesarios para los componentes de IIS. Complemento de servicios de Internet Information Server: sirve para administrar el IIS. Documentacin: documentacin necesaria para profundizar en el funcionamiento del IIS. Extensiones de servidor de Frontpage2000: estas extensiones permiten que nuestro servidor pueda incluir formularios, contadores, etc. Servicio de protocolo de transferencia de archivos (FTP): solo necesario si queremos un servidor FTP. Servicio SMTP: Simple Mail Transfer Protocol (SMTP), nos permite montar un servicio de mail dentro de nuestra intranet. Por razones de seguridad les recomiendo que esta opcin est desactivada. Servicio World Wide Web: necesario para poder montar nuestro servidor de paginas web.

Seleccionaremos las mismas casillas que en la figura anterior: Archivos comunes, Complemento de servicios de Internet Information Server, Documentacin y Servicio World Wide Web. Tras pulsar Aceptar y Siguiente, comenzar la instalacin.

Administracin de sitios web

La administracin de sitios web se lleva a cabo mediante el Administrador de Servicios de Internet MMC (Microsoft Management Console). Para acceder a este Administrador seleccionaremos Inicio, Panel de control, Herramientas administrativas, Servicios de Internet Information Server. Tiene un aspecto similar al de la siguiente figura:

Vemos que la ventana tiene dos paneles (izquierdo y derecho), en la izquierda seleccionamos una opcin del rbol y en la derecha veremos los detalles de la seleccin. En la imagen podemos ver en la parte de la derecha el nombre del equipo en el que hemos instalado el servidor WEB, en nuestro caso se llama "FREAKY", luego vemos si es un equipo local y la versin del Internet Information Server que estamos usando. Por defecto el nombre de nuestro sitio WEB es "Sitio Web Predeterminado" podremos cambiar el nombre en cualquier momento (lo he cambiado por Mi pgina web), simplemente pinchamos dos veces en "Sitio Web predeterminado" y podremos modificarlo. Los archivos para nuestra pgina web se van a colocar en el directorio C:\Inetpub\wwwroot\. Ahora veremos algunas de las opciones ms generales para poder montar un servidor de pginas WEB. Hacemos clic con el botn derecho sobre "Sitio Web Predeterminado" y seleccionamos "Propiedades". La siguiente ventana se nos muestra, veremos cules son las opciones ms relevantes de cara al buen funcionamiento de nuestro servidor HTTP:

Sitio Web Veamos las opciones generales que podemos modificar: Descripcin: podremos poner una breve descripcin de nuestro sitio web. Direccin IP: aqu colocaremos la direccin IP del ordenador que har de servidor WEB, esta IP corresponder a la IP local, es decir, la IP de la red local y no ser la que usamos para entrar a internet, por ejemplo: http://192.168.1.33. Si tenemos registrado un nombre de dominio podramos hacer clic en Avanzadas y podramos introducirlo en el campo Nombre de encabezado Host. Puerto TCP: el puerto que queremos que sea el que responda a las peticiones de los visitantes, por norma el puerto a usar para paginas web es el 80. Si dispone de router, se debe comprobar que dicho puerto se encuentra abierto. Tiempo de espera de la conexin: establece el intervalo de tiempo en segundos que va a esperar el servidor antes de desconectar a un usuario inactivo. De esta forma se asegura que todas las conexiones se cierran si el protocolo HTTP no puede cerrar una conexin. Habilitar el mantenimiento de conexiones HTTP abiertas: permite a un cliente mantener abierta la conexin con el servidor, en lugar de volver a abrir la conexin del cliente en cada nueva peticin. El mantenimiento de conexiones abiertas est habilitado de forma predeterminada; si se deshabilita, es posible que se degrade el rendimiento del servidor. (HTTP 1.1) Habilitar registro: esta opcin se utiliza para habilitar las caractersticas de registro del sitio Web, que permiten registrar informacin detallada acerca de la actividad de los usuarios y crear registros en el formato elegido. Despus de habilitar el registro, seleccione un formato en la lista Formato de registro activo: o o o Formato de archivo del registro IIS de Microsoft: formato ASCII fijo. Registro ODBC: formato fijo registrado en una base de datos (slo disponible en Windows 2000 Server). Formato de archivo del registro extendido W3C: formato ASCII personalizable, seleccionado de manera predeterminada. Para usar informacin de procesos se debe seleccionar este formato. Haciendo clic en propiedades se muestra la ventana siguiente en la que elegiremos el formato que deseamos para nuestro archivo de registro, til para sacar estadsticas (ver las propiedades extendidas).

Directorio particular La siguiente pestaa relevante de la hoja de propiedades del sitio web, es Directorio particular, que podemos ver en la siguiente figura:

Este grupo de ajustes permite controlar dnde buscar los IIS el contenido web y qu permisos de seguridad usar al manejarlo. Lo primero que hemos de elegir es dnde estar localizado en directorio de nuestro sitio web: Un directorio particular de este equipo: aqu especificamos el directorio que contendr nuestra pgina web en el ordenador. Un recurso compartido de otro equipo: podremos seleccionar un recurso compartido que se encuentre dentro de nuestra red y que ser el que contendr nuestra pgina web. Un redireccin a una direccin URL: con este mtodo podremos redireccionar a otro sitio las peticiones que se haga a nuestra web.

Despus elegiremos la ruta de acceso, en nuestro caso dejaremos la configuracin por defecto, con lo que tendremos que indicar en Ruta de acceso local (disponible solo con la opcin de "Un directorio particular de este equipo), el directorio que viene. Luego podremos dar los permisos que queramos para mantener la seguridad en nuestro sitio: Acceso al cdigo fuente de secuencias de comandos: esta opcin es usa para permitir que los usuarios tengan acceso al cdigo fuente si disponen de los permisos de escritura o de lectura. El cdigo fuente incluye las secuencias de comandos en aplicaciones ASP. Lectura: mediante esta opcin se permite que los usuarios lean o descarguen archivos o directorios y sus propiedades asociadas. Escritura: esta opcin se selecciona para permitir que los usuarios carguen archivos y sus propiedades asociadas en un directorio con este permiso del servidor o para cambiar el contenido de un archivo con este permiso. La escritura slo se puede realizar con un explorador que admita la caracterstica PUT del estndar de protocolo HTTP 1.1.

Examinar directorios: esta opcin se usa para permitir que el usuario vea una lista con formato de hipertexto de los archivos y subdirectorios de este directorio virtual. Los directorios virtuales no aparecen en las listas de directorios. Los usuarios deben conocer su alias. Registrar visitas: Seleccione esta opcin para registrar las visitas de este directorio en un archivo de registro. Las visitas slo se registran si est habilitado el registro para este sitio Web. Indizar este recurso: Seleccione esta opcin para que Servicios de Microsoft Index Server incluya este directorio en un ndice de texto del sitio Web.

Documentos Continuando con la configuracin de nuestro sitio Web, la siguiente pestaa de configuracin en la hoja de propiedades es la pestaa documentos, que se muestra a continuacin.

Cuando los usuarios intentan conectarse con el servidor web sin especificar un documento en concreto, los IIS buscarn en la lista de documentos por defecto (en caso de estar activada) para devolverlo al usuario. Si queremos que todas las pginas de nuestro sitio se enven con un pie de pgina comn (como por ejemplo, un copyright) se puede configurar mediante esta ventana. Deberamos crear un archivo HTML que contenga por ejemplo <h2>Pie de pgina ESI </h2> y colocarlo en Habilitar pie de pgina del documento. Seguridad de directorios La siguiente seccin de las fichas de propiedades es Seguridad de directorios, que nos permite controlar quin accede a nuestro sitio web en funcin de la autentificacin, direcciones de clientes IP o configuracin ACL en archivos, y da la posibilidad de proteger las comunicaciones cuando los clientes se conectan al sitio. Tiene este aspecto:

El primer mtodo de proteger un sitio web es definiendo un mtodo de autenticacin para validar a los usuarios. Como los navegadores por defecto, intentarn acceder a los sitios de forma annima, una opcin disponible es eliminar el acceso annimo al web. Hacer clic en el botn Modificar dentro de control de autenticacin y acceso annimo, se muestra entonces la siguiente ventana:

Para permitir que cualquier usuario pueda acceder al sitio, se debe mantener activada la casilla Acceso annimo, de lo contrario, el sitio estar protegido, y ser precisa una identificacin del usuario antes de que se permita una conexin incluso a la pgina de inicio. Si seleccionamos el acceso annimo, debemos especificar un usuario de la mquina pulsando sobre Examinar. En caso de eliminar el acceso annimo hemos de especificar alguna opcin de autenticacin, puesto que si no habremos deshabilitado por completo cualquier forma de acceso al sitio. Las opciones que se encuentran debajo de Acceso autenticado controlan el nivel de identificacin que los usuarios deben sortear para llegar a conectarse al sitio protegido. Existen tres tipos de autenticacin, cabe resear que debe haber una cuenta de usuario en el equipo para que la autenticacin funcione: Autenticacin bsica: es el ms bsico y mediante este mtodo la contrasea se enva sin cifrar, por lo que cualquier software espa de contraseas podra capturarla. Autenticacin de texto implcita dirigida a servidores de dominio de Windows: en vez de transmitir la contrasea en modo texto, aplica una funcin de hash y lo transmite, manteniendo as la confidencialidad de las contraseas. En este caso existen varias restricciones como que el cliente debe ser Internet Explorer 5 o superior y la contrasea debe estar en el directorio sin codificar. Es el ms seguro. Autenticacin de Windows integrada: es un mtodo seguro de autenticacin, ya que no se enva a travs de la red el nombre de usuario ni la contrasea. Al habilitar la autenticacin de Windows integrada, el explorador del usuario demuestra que conoce la contrasea mediante un intercambio criptogrfico con el servidor Web, en el que interviene el hashing. El cliente debe ser tambin Internet Explorer, a partir de la versin 2.

Una vez comentados lo mtodos de autenticacin, hemos de ver que tambin podemos filtrar el acceso al web dependiendo de la direccin IP, de un rango de direcciones IP o de un nombre de dominio.

Copias de seguridad de la configuracin Una de las grandes ventajas de IIS (para algunos administradores) es su configuracin grfica, debido a su interfaz intuitiva y de fcil uso. Pero no sera prctico, sino pudiramos salvar la informacin de configuracin para poder restaurarla despus. Aunque lo mejor es un fichero de configuracin tipo texto, donde poder ir modificando variables y as tener una copia del mismo (ver Apache), no hay que alarmarse debido a que IIS no ofrezca esta caracterstica ya que si que soporta salvar la configuracin en un formato propio de Windows para posteriormente restaurarla de forma sencilla. Los pasos a realizar para hacer una copia de seguridad de la configuracin actual seran los siguientes: En el complemento, Administracin de servicios de Internet, se selecciona el icono del equipo para resaltarlo en el panel izquierdo. En el men Accin, elija la opcin Realizar o restaurar copia de seguridad de la configuracin. Hacer clic en el botn Realizar copia de seguridad, que mostrar un cuadro de dilogo Realizar copia de seguridad que le permitir definir el archivo de copia de seguridad.

De forma predeterminada, el archivo de copia de seguridad se almacena en el directorio c:\winnt\system32\inetsrv\Metaback

Encabezados HTTP El penltimo grupo de configuraciones que se puede controlar se refiere a los encabezados que los servicios IIS incluirn en las pginas HTML que se transmiten. Estos parmetros se ajustan en la ventana siguiente:

Los encabezados HTTP permiten encontrar varios elementos que el servidor web transmitir a los navegadores web, junto con las pginas HTML del web. Los componentes principales que a los buenos administradores de sitios web les interesa controlar son la caducidad de contenidos, la restriccin de contenidos y los tipos de archivos MIME. Pueden incluso aadirse encabezados personalizados. Habilitar caducidad de contenido: se utiliza con el fin de incluir informacin de caducidad para material dependiente del tiempo, como las ofertas especiales o los anuncios de eventos. El explorador comparar la fecha actual con la fecha de caducidad para determinar si va presentar una pgina almacenada en memoria cach o si va a solicitar una pgina actualizada del servidor. Encabezados HTTP personalizados: se puede utilizar los encabezados HTTP personalizados para enviar un encabezado HTTP personalizado desde el servidor Web al explorador del equipo cliente. Se pueden usar los encabezados personalizados para enviar instrucciones que no estn admitidas todava en la especificacin HTTP actual, como los encabezados HTTP ms recientes que IIS puede no admitir inherentemente en el momento de lanzamiento del producto. Clasificacin de contenido: las restricciones de contenido se usan para incrustar etiquetas descriptivas en los encabezados HTTP de las pginas Web. Algunos exploradores Web, como Microsoft Internet Explorer 3.0 o posterior, pueden detectar estas restricciones de contenido con el fin de ayudar a los usuarios a identificar el contenido Web potencialmente ofensivo. Asignacin MIME: Las asignaciones MIME establecen los distintos tipos de archivo que el servicio Web devuelve a los exploradores.

Errores personalizados Cuando se configura un servidor web y sus sitios web, habr ocasiones en las que quiera controlar cmo y qu se muestra a los usuarios que reciben un error. Por ejemplo, podemos tener una pgina HTML personalizada que muestre cuando un usuario ha llegado a un error 404 (pgina no encontrada). Para esto, hacemos clic en la pestaa de errores personalizados y se muestra esta ventana:

Podemos escoger el error HTTP y hacer clic en l, con lo que se mostrar una ventana indicativa de cuando suceder ese error. Por ejemplo, vemos el error 400 (solicitud incorrecta):

Directorios virtuales
A medida que crecen los sitios Web, existe una necesidad de organizar los niveles de contenido en el subdirectorio fuera de la raz principal del sitio. Al igual que en un disco duro de un ordenador, puede haber momentos en que existan muchos archivos que haya que administrar en un nico directorio, por lo que es necesario el uso de subdirectorios. Existen dos formas de hacer esto en un sitio web. La primera es crear un subdirectorio en el directorio raz del sitio web. Por ejemplo, si se tiene la raz en C:\Inetpub\wwwroot al que se accede mediante www.nombredelaempresa.com y decidimos crear un subdirectorio llamado C:\Inetpub\wwwroot\imagenes, accederemos a dicho directorio mediante www.nombredelaempresa.com/imagenes.

El segundo mtodo es mediante la definicin de races virtuales. Una raz virtual es un medio para definir un subdirectorio fuera de la raz de nuestro sitio web (e incluso un nivel inferior de dicho web). Veamos la siguiente figura, que aclarar un poco el concepto de directorio virtual: Lado del servidor Lado del cliente

\Inetpub\wwwroot

http://www.nombredelaempresa.com

\monitor

http://www.nombredelaempresa.com/monitor

Windows con IIS

Tenemos un servidor web con dos discos duros (C y D) con la raz del sitio en C.\Inetpub\wwwroot, con lo que accederemos con un cliente desde la direccin http://www.nombredelaempresa.com. Si definimos un directorio virtual en el disco D en la ubicacin D:\monitor, podremos acceder (creando el alias oportuno) mediante la direccin http://www.nombredelaempresa.com/monitor. Creacin de un directorio virtual Para crear un directorio virtual volvemos al MMC, resaltamos el sitio web donde vamos crear el directorio virtual y hacemos clic en Accin, Nuevo, Directorio virtual, con lo que aparecer un asistente que nos guiar en el proceso. El primer paso es el que se muestra a continuacin.

Tras crear el correspondiente directorio en nuestro equipo, por ejemplo C:\virtual, escribiremos en el campo de texto, por ejemplo, virtual. Al hacer clic en siguiente, se nos mostrar la ventana en la que debemos escribir la ruta donde se encuentra dicho alias. Podemos bien crear un alias en nuestro equipo o en una ruta de internet, para lo que colocaramos aqu una direccin vlida.

El siguiente dilogo nos solicita las credenciales de usuario, es decir, los permisos de acceso al directorio virtual.

Una vez que hayamos introducido toda la informacin necesaria, debemos tener un nuevo directorio virtual listado en el sitio web que responder en consecuencia iniciando el navegador y escribiendo http://localhost/virtual. (Ojo con los permisos). El tratamiento de un directorio virtual es exactamente el mismo que como se hara para un sitio web, editando la hoja de propiedades del directorio. Concretamente, podemos editar: Directorio virtual, Documentos, Seguridad de directorios, Encabezados HTTP y Errores personalizados.