Servidor HTTP Apache vs IIS (Internet Information Services)

Ventajas y desventajas

Ventajas Apache

  • Modular.
  • Código abierto.
  • Multi-plataforma.
  • Extensible.
  • Popular (fácil conseguir ayuda/soporte).
  • Actualizaciones de código abierto Se actualiza constantemente y puede agregar funcionalidad a medida que esté disponible.
  • Gratis. El software es gratis. Es difícil superar ese precio.
  • Soporte multiplataforma. Apache se puede usar en sistemas que tienen procesadores de la serie 80 × 86 (es decir, Intel) que ejecutan Linux o NT como sistema operativo o en otras computadoras que ejecutan un sistema operativo de tipo Unix en un procesador diferente.
  • Popular. Apache es el paquete de software de servidor web más utilizado en el mundo. Como tal, es poco probable que un mayor desarrollo del software cese alguna vez.

Desventajas Apache

  • Formatos de configuración no estándar.
  • No cuenta con una buena administración.
  • Falta de integración
  • Sin soporte. Los desarrolladores de Apache no proporcionan ningún tipo de soporte para su producto. Hay empresas de terceros que brindan asistencia de Apache, pero tiene que pagar por ello.
  • Funciona mejor en Linux. Dadas dos máquinas con el mismo hardware y diferentes sistemas operativos (Linux y NT), Apache funciona más rápido en la máquina Linux. Esto significa que si decides ir con Apache, también deberías usar Linux para obtener el máximo rendimiento. Si ha decidido usar NT, tiene más sentido usar el servidor web que Microsoft incluye con ese sistema operativo.

Ventajas de IIS:


  • Producto de Microsoft. Dado que IIS es un producto de Microsoft, no solo tiene el mismo respaldo que otros productos de Microsoft, sino que se integra perfectamente en el sistema operativo. Esto significa que puede hacer cosas como arrastrar y soltar archivos en el software para una disponibilidad instantánea en la Web con un mínimo de molestias. 
  • Viene gratis con NT. Si decide que NT es el mejor sistema operativo para usar, IIS se incluye en el cuadro. 
  • Limita el ancho de banda. A diferencia de otros softwares de servidor, IIS tiene la capacidad de limitar la cantidad de ancho de banda que tienen disponibles sus páginas web. Por lo tanto, si su ISP cobra un recargo adicional si usa más de una cantidad determinada de ancho de banda en un mes, puede configurar su servidor web para que se limite a usar ese ancho de banda, lo que le ahorrará tener que pagar una tarifa mensual adicional. 
  • Protección contra choques Si una aplicación que se ejecuta en el servidor falla, el servidor web y otras aplicaciones continúan ejecutándose y la aplicación fallida se reinicia la próxima vez que un usuario lo solicite. 

Desventajas IIS:


  • Limitado a sistemas basados ​​en NT. IIS no está disponible para su uso en sistemas que no sean NT. Esto significa que si piensa que un sistema operativo basado en UNIX es lo que está buscando, no puede usar IIS. 
  • Fuente cerrada al igual que con NT, es el código fuente de IIS. 
  • Información de propiedad de Microsoft: no puede obtener acceso a ella para realizar cambios. Esto también significa que no hay muchos desarrolladores de terceros trabajando para mejorar el software central.

Prueba de Rendimiento

La prueba se realizará con diferentes números de clientes, solicitudes por cliente y solicitudes por segundo.
Ambos servidores web usarán el mismo hardware en las instancias de nivel libre de AWS:
-CPU Intel Xeon - 2.4 GHz
-1GB de memoria RAM

La máquina virtual Apache tendrá el siguiente software:
-Ubuntu 14.04
-apache
-MySQL
-PHP 5

Por otro lado, el software de la máquina IIS se verá así:
-Windows Server 2012
-IIS 8.0
-MSSQL
-ASP .NET 4.5

La prueba medirá los siguientes parámetros:
-Tiempo de respuesta de latencia (en ms): el tiempo entre el envío de la solicitud y la recepción de la respuesta inicial
-Tiempo de muestra (en ms): el tiempo necesario para atender completamente la solicitud, es decir, latencia + respuesta
Las mediciones se tomarán mediante el uso de una herramienta popular de evaluación comparativa: Apache JMeter. JMeter se configurará para ejecutar 20 conexiones repartidas en 10 segundos, es decir, 2 solicitudes por segundo. Tenga en cuenta que los números de resultado solo se deben comparar entre los servidores web y no se deben ver como números absolutos, ya que el número de conexiones simultáneas depende de la PC en la que se ejecuta Apache JMeter.


LATENCIA

TIEMPO DE MUESTREO

Conclusión

En esta prueba, Apache fue significativamente más rápido que IIS tanto en tiempo de latencia como de respuesta en todas las categorías.


Principales incidentes o vulnerabilidades en IIS

La primera afecta a IIS4.0 y es la que esta siendo en la actualidad explotada por el virus Code Red, y en algunos medios no especializados fue informada como una falla del correspondiente parche.

 Esta falla permite lanzar una denegación de servicios y consiste en un error en la función de redireccionamiento de IIS 4.0 al procesar solicitudes cuyo tamaño real es distinto a aquel indicado en la solicitud.

 En caso de ser explotada exitosamente esta falla, el administrador deberá reiniciar el servidor.

 La característica de redireccionamiento no se halla habilitada por defecto y debe ser efectuada ex-profeso por el administrador.

 La segunda falla afecta a IIS 5.0 y permitiría a un usuario malicioso aprovecharse de la forma que WebDAV maneja una clase particular de solicitud invalida muy larga.

 El ataque malicioso no debería durar mucho, toda vez que una vez afectados los servicios IIS 5.0 se reinicia automáticamente, pero las sesiones en proceso se perderían.

 No es necesario para un usuario malicioso autenticación de ninguna clase para lanzar este ataque.

 Es de destacar que WebDAV se instala por defecto en IIS 5.0 pero no en IIS 4.0.

 WebDAV es una extensión del Protocolo de transferencia de hypertexto que permite el control de objetos y atributos en un servidor Web. También puede convertir un servidor de web ordinario en servidor de archivos de Internet, lo que permite a los usuarios crear y acceder con gran facilidad a documentos en la Web.

 La tercera vulnerabilidad afecta IIS 5.0 y también implica la posibilidad de lanzar un ataque de negación de servicios.

 La falla radica en la forma en que IIS maneja las cabeceras MIME no válidas. Si un usuario malicioso ubicase cierta clase de contenidos en un servidor afectado, (lo cual las sanas reglas de seguridad desaconsejan), y si éstos poseyeran cierta información MIME malformada de una manera especial, y luego se efectúa una solicitud a dichos contenidos, se podría lograr ingresar un registro inválido en la tabla del sistema. Esto generará que el servidor no pueda brindar contenidos hasta que la entrada invalida sea removida.

 La cuarta vulnerabilidad que afecta tanto a IIS4.0 y 5.0, se refiere a una falla de desbordamiento de búfer en una porción del código que procesa las directivas server-side include (SSI).

 Instalando en un servidor afectado un archivo server-side que contenga una directiva server-side include malformada, se podría lograr el desbordamiento al efectuar una solicitud a dicho archivo.

 "Server-side" es una tecnología utilizada en la programación Web avanzada, ya que se procesan las solicitudes en el servidor previo a enviarlas al navegador del usuario.

 La quinta y última falla afecta a IIS 5.0 y se refiere a una vulnerabilidad de elevación de privilegios, ya que un usuario malicioso podría instalar un programa de su elección en un servidor ISS 5.0 y bajo ciertas circunstancias ejecutarlo en el contexto de seguridad del sistema. La falla radica en que ISS 5.0 posee una tabla de los programas que corren como parte de ISS y que dicha tabla utiliza referencias tanto absolutas como relativas. El programa malicioso podría correr en un contexto de seguridad superior.

 Es de destacar que sanas reglas de seguridad indican que no cualquier usuario puede cargar y ejecutar programas en un servidor y deberían ser previamente inspeccionados.



Fuentes
https://www.candidhost.com/blog/selecting-a-server-operating-system/
http://webapache.blogspot.com/p/ventajas-y-desventajas.html
http://www.devx.com/webdev/performance-comparison-apache-vs.-iis.html

Comentarios

Publicar un comentario

Entradas populares de este blog

DOMINIO Y DNS EN EL PARAGUAY

Imagen
¿Cuál es el procedimiento para solicitar un dominio? El proceso de delegación de dominios es muy sencillo; se compone de los siguientes pasos: El interesado toma conocimiento de las pautas y los procedimientos. El interesado envía la solicitud al NIC con los datos completos. El NIC recibe la solicitud, la verifica y espera la confirmación del solicitante. El solicitante envía la confirmación o la información adicional al NIC. El NIC realiza el estudio de aprobación de la solicitud. Si la solicitud es aprobada, el NIC informa al usuario el resultado y espera el pago correspondiente. Si la solicitud es rechazada, el NIC informa al usuario y la solicitud es desestimada. En el caso de las solicitudes aprobadas, el usuario realiza el pago e informa al NIC. Posteriormente, el NIC activa el dominio e inicia la publicación del mismo. Para más detalles, consultar el procedimiento de delegación en www.nic.py/procedimientos . QUIENES SON LOS RESPONSABLES DE DNS EN EL PAIS: Entidad...
Leer más

MODELOS DE E-COMMERCE

"El e-commerce consiste en la distribución, venta, compra, marketing y suministro de información de productos o servicios a través de Internet". -B2B (Business-to-Business):   se utiliza como terminología para hablar de la transmisión de información entre fabricantes y distribuidores de un producto, y se ha puesto muy en boga en el ámbito del comercio telemático. Esto, implica que la acción se enfoca en el proveedor de bienes y servicios, y no en el cliente final. Una pagina que cumple esta característica en el Paraguay es: http://www.inventarios.com.py/ INVENTARIOS S.A. empresa pionera en el país que se especializa en la toma de inventarios físicos tanto de bienes de cambio como bienes del activo fijo. * Se orienta a desarrollar e implementar soluciones reales y confiables para las empresas. * Logra minimizar los tiempos de toma de inventarios y aumentar la precisión en la captura de datos. -B2C (Business-to-Consumer) : se refiere a la actividad comercial entre u...
Leer más

COMPILADORES - EJERCICIO DE APLICACIÓN Y SU ESTRUCTURA

En el siguiente código se procede a hacer el análisis Léxico, Semántico y Sintáctico: #include "stdafx.h" #include <iostream> #include <string> using namespace std; int main() { char nombre[30]; char edad[30]; char sexo[30]; cout << "Ingrese su nombre: " ; cin.getline(nombre, 20); cout << "Ingrese su edad: " ; cin.getline(edad, 20); cout << "Ingrese su sexo: " ; cin.getline(sexo, 20); cout << "Hola mundo:  " << nombre; cout << " Edad: " << edad; cout << " Sexo: " << sexo; system( "pause" );     return 0; } Análisis Léxico: La definición y/o declaración de variables char  nombre[30]; char  edad[30]; char  sexo[30]; Análisis Sintáctico: La estructura sintáctica: comillas en las cadenas, las reglas del lenguaje y los procesos de inserción en las variables. cout <<  "Ingrese su nombre...
Leer más