IMtrevista con Edgar Sanchez: LOGICSTUDIO
Esta IMtrevista la realizó Juan José Mena de Microsoft Ecuador, con nuestro querido colega Edgar Sánchez de Logicstudio.
Juan Jose Mena: Hola Edgar, nos puedes comentar un poco de ti...
Edgar Sanchez: Bueno, me he dedicado a desarrollar aplicaciones de negocios durante unos veinte años ya usando diversas plataformas a lo largo del tiempo. Hace unos seis años, fundamos con unos buenos amigos Logic Studio, una empresa de servicios de desarrollo de software muy enfocada en .NET Framework y en los últimos tiempos me he dedicado mucho al tema de arquitecturas distribuidas con Entity Framework, WCF, WPF, Silverlight, o sea, lo nuevo de .NET Framework 3.0 y 3.5
JJM: La experiencia es amplia en los temas que tratas. Se que IIS 7.0 es uno de tus fuertes, cuales estimas que son las bondades que trae el producto?
ES: Bueno, IIS 7.0 trae mejoras en muchos frentes, para mi trabajo, las dos áreas que tienen el mayor impacto son la arquitectura modular y la seguridad
JJM: Nos puedes ampliar un poco sobre los temas de seguridad. Cuáles son los principales beneficios que encuentras?
ES: Primero, como consecuencia de que IIS 7.0 está constituido por una serie de módulos independientes (HTTP estático, páginas dinámicas, autenticación, bitácora, etc., etc.) ahora se puede instalar específicamente los componentes necesarios lo que, además de reducir el consumo de recursos, minimiza la superficie expuesta a ataques. Esto reduce notablemente las oportunidades para "hackers" y otras pestes. Por otro lado, la autenticación basada en membrecía y las bitácoras detalladas (incluidas alertas y notificaciones) permiten que se publique contenido usando estándares como FTP a la vez que los administradores del servidor IIS 7 tienen mayor control y vigilancia sobre lo que se puede hacer y sobre lo que se está haciendo. Y una última joyita es que ahora los permisos en lugar de basarse en los recursos físicos (carpetas y archivos) de un servidor, pueden basarse en el archivo de configuración de una aplicación. Eso hace que si mueves la aplicación de un servidor a otro, los recursos de la aplicación siguen seguros! No hace falta ir dando y quitando permisos servidor por servidor
JJM: Es decir que aparte de la seguridad, también te facilita la administración. Cuáles son los principales riesgos de seguridad que estas eliminando con todas estas oportunidades que les estás negando a los hackers y otro tipo de ataques comunes?
ES: Bueno, cada módulo de IIS 7 que “NO” necesitas y que por tanto ni siquiera instalas es un puente menos que defender en tu castillo. Por ejemplo, si tu aplicación *no* requiere FTP, simplemente ni siquiera estará ahí.
JJM: Genial, es decir le estas quitando las puertas de entrada que antes las mantenías instaladas sin que las necesites..
ES: Exactamente
JJM: Tiene el IIS 7 algún monitor donde te identifica los posibles ataques o intentos de acceso no autorizado?
ES: IIS 7 cuenta con URL Scan, que permite definir el tipo de solicitudes HTTP que son aceptables como URL Scan tiene un control detallado sobre los URL's que se aceptan o no, ataques como la inyección de SQL o la redirección no autorizada son mucho menos probables.
JJM: Alguna sugerencia final que quisieras dar a los lectores respecto a las seguridades del IIS?
ES: Bueno, aunque parezca divertido, el solo hecho de migrar de IIS 5 o 6 a IIS 7, va a subir los niveles de fiabilidad (por ejemplo con el aislamiento de aplicaciones) y como por otro lado la compatibilidad a nivel de aplicaciones Web es muy alta, el mejor consejo que se me ocurre es migrar a Windows 2008 + IIS 7 ya.
JJM: Edgar, muchas gracias por tu tiempo y tus comentarios...
ES: No, gracias por la oportunidad