SERVICIO HTTP DE INTERNET INFORMATION SERVER (IIS)

Los servicios de Internet Information Server (a partir de ahora IIS) son una plataforma con unas
prestaciones completas, capaz de dar servicio HTTP (sitios web), FTP (transferencia de
archivos), NNTP (noticias) y SMTP (correo electrnico) a empresas, particulares,
instituciones, y debido a su integracin en los sistemas operativos Windows 2000 y XP es
relativamente fcil de configurar y de manejar.
De todos los servicios que proporciona, nos vamos a centrar en sus capacidades como
servidor World Wide Web (HTTP).
Caractersticas
La versin 5.1 de los Servicios de Internet Information Server presenta muchas caractersticas
que ayudan a los administradores Web a crear aplicaciones Web escalables y flexibles.
Seguridad
Autenticacin de texto implcita avanzada: la autenticacin de texto implcita avanzada
es compacta, permite una autenticacin segura y eficaz de los usuarios a travs de
servidores proxy y servidores de seguridad, no requiere software cliente adicional y
evita pasar el nombre de usuario y la contrasea en texto sin cifrar a travs de Internet.
Adems, la autenticacin de texto implcita, annima, bsica HTTP e integrada de
Windows (anteriormente llamada autenticacin de desafo/respuesta de Windows NT y
autenticacin NTLM) an estn disponibles.
Comunicaciones seguras: Secure Sockets Layer (SSL) 3.0 y Seguridad de capa de
transporte (TLS) proporcionan una forma segura para intercambiar informacin entre
clientes y servidores. Adems, SSL 3.0 y TLS proporcionan al servidor la forma de
comprobar quin es el cliente antes de que el usuario inicie una sesin en el servidor.
En IIS 5.1, los certificados de cliente estn expuestos a ISAPI y a las pginas Active
Server, de forma que los programadores puedan efectuar el seguimiento de los
usuarios a travs de los sitios. IIS 5.1 tambin puede asignar el certificado del cliente a
una cuenta de usuario de Windows, de forma que los administradores puedan controlar
el acceso a los recursos del sistema basado en el certificado del cliente.
Cifrado canalizado por servidor (SGC): es una extensin de SSL que permite a
instituciones financieras con versiones de exportacin de IIS utilizar un cifrado de alto
nivel de 128 bits.
Asistentes para seguridad: los asistentes para seguridad simplifican las tareas de
administracin del servidor.
Restricciones de dominio de Internet e IP: se puede conceder o denegar accesos Web
a equipos individuales, grupos de equipos o dominios enteros.
Almacenamiento de certificados: proporciona un nico punto de entrada que le permite
almacenar, realizar copias de seguridad y configurar certificados de servidor.
Fortezza: el estndar de seguridad del gobierno de EE.UU., habitualmente llamado
Fortezza, es compatible con IIS 5.1. Este estndar satisface la arquitectura de
seguridad Defense Message System con un mecanismo criptogrfico que proporciona
confidencialidad de mensajes, integridad, autenticacin y control de acceso a
mensajes, componentes y sistemas. Estas caractersticas se pueden implementar con
el software del explorador y el servidor, y con hardware de tarjeta PCMCIA.
Administracin
Reiniciar IIS: posibilidad de reiniciar los servicios Internet sin reiniciar el equipo.
Realizar copias de seguridad y restaurar la metabase: los cambios en la capacidad y
los procedimientos para realizar copias de seguridad y restaurar la metabase mejoran
la seguridad y permiten restaurar la metabase en otros equipos. La aplicacin se
ejecuta en el complemento IIS.
Almacenamiento en cach de plantillas ASP: los cambios en Ajustes de cach de
plantillas ASP proporcionan un mayor control del almacenamiento en cach de
archivos ASP.
Mensajes de error personalizados mejorados: ahora los administradores pueden
enviar mensajes informativos a clientes cuando se producen errores de HTTP en los
sitios Web. Tambin incluye capacidades de procesamiento de errores ASP detallados
a travs del uso de mensaje de error personalizado 500-100.asp. Puede usar los
errores personalizados que proporciona IIS 5.1 o crear los suyos propios.
Opciones de configuracin: puede establecer los permisos para las operaciones Web
de Lectura, Escritura, Ejecucin, Secuencia de comandos y FrontPage en el nivel de
sitios, directorios o archivos.
Administracin remota: IIS 5.1 tiene herramientas de administracin basadas en Web
que permiten la administracin remota del servidor desde casi cualquier explorador en
cualquier plataforma.
Administracin centralizada: las herramientas de administracin para IIS utilizan
Microsoft Management Console (MMC). MMC aloja los programas, llamados
complementos, que los administradores utilizan para administrar los servidores.
Capacidades de programacin
Pginas Active Server (ASP): proporciona una alternativa fcil de utilizar a CGI e ISAPI
que permite a los programadores de contenido incrustar cualquier lenguaje de
secuencias de comandos o componente del servidor en las pginas HTML. ASP
proporciona acceso a todas las peticiones HTTP y secuencias de respuesta, as como
conectividad con bases de datos basada en estndares y la capacidad para
personalizar el contenido para diferentes exploradores.
Nuevas caractersticas de ASP: las pginas Active Server tienen algunas
caractersticas nuevas y mejoradas para aumentar el rendimiento y simplificar las
secuencias de comandos del servidor.
Proteccin de aplicaciones: IIS 5.1 ofrece mayor proteccin e incrementa la
confiabilidad de las aplicaciones Web. De manera predeterminada, IIS ejecutar todas
las aplicaciones en un proceso comn o agrupado que est separado de los procesos
bsicos de IIS. Adems, tambin puede aislar aplicaciones cuyas misiones sean
crticas y que deban ejecutarse fuera tanto de los procesos de ncleo de IIS como de
los agrupados.
Estndares de Internet
Basado en estndares: los Servicios de Internet Information Server de Microsoft 5.0 y
5.1 cumplen con el estndar de HTTP 1.1 e incluyen caractersticas como PUT y
DELETE, capacidad de personalizar mensajes de error de HTTP y compatibilidad con
encabezados HTTP personalizados.
Varios sitios, una sola direccin IP: gracias a la compatibilidad con encabezados de
host, puede alojar varios sitios Web en un solo equipo en el que se ejecute Microsoft
Windows 2000 Server con una nica direccin IP. Esto es til para los proveedores de
servicios Internet y las intranets corporativas que alojan varios sitios.
Sistema distribuido de creacin y control de versiones Web (WebDAV): permite a los
usuarios remotos crear, mover o eliminar archivos, propiedades de archivos, directorios
y propiedades de directorios en el servidor a travs de una conexin HTTP.
Noticias y correo: puede utilizar los servicios SMTP y NNTP para configurar el correo y
los servicios de noticias en intranet que funcionan junto con IIS.
Restricciones PICS: puede aplicar las restricciones PICS (Platform for Internet Content
Selection, Plataforma para la seleccin del contenido de Internet) a los sitios que tienen
contenido para adultos.
Reiniciar FTP: ahora las descargas de archivos de Protocolo de transferencia de
archivos se pueden reanudar sin tener que descargar todo el archivo de nuevo cuando
se produce una interrupcin durante la transferencia de datos.
Compresin HTTP: proporciona transmisiones ms rpidas de pginas entre el servidor
Web y los clientes que admiten la compresin. Comprime y almacena en cach los
archivos estticos y realiza una compresin a peticin de los archivos generados
dinmicamente.
Instalacin
Para instalar el servicio HTTP de IIS hay que ir al Panel de Control dentro del men Inicio y
hacer clic en Agregar o quitar componentes de Windows. En la lista de componentes se debe
seleccionar Servicios de Internet Information Server (IIS), tal como se muestra a continuacin.

Por defecto, al seleccionar esta opcin se instalarn todos los componentes de los IIS,
incluyendo soporte para HTTP, FTP, NNTP y SMTP. Como nosotros slo deseamos instalar
HTTP, haremos clic en Detalles tras seleccionar Servicios de Internet Information Server
(IIS), con lo que veremos la siguiente ventana:

Podemos ver en detalle las opciones:
Archivos comunes: archivos necesarios para los componentes de IIS.
Complemento de servicios de Internet Information Server: sirve para administrar el IIS.
Documentacin: documentacin necesaria para profundizar en el funcionamiento del
IIS.
Extensiones de servidor de Frontpage2000: estas extensiones permiten que nuestro
servidor pueda incluir formularios, contadores, etc.
Servicio de protocolo de transferencia de archivos (FTP): solo necesario si queremos
un servidor FTP.
Servicio SMTP: Simple Mail Transfer Protocol (SMTP), nos permite montar un servicio
de mail dentro de nuestra intranet. Por razones de seguridad les recomiendo que esta
opcin est desactivada.
Servicio World Wide Web: necesario para poder montar nuestro servidor de paginas
web.
Seleccionaremos las mismas casillas que en la figura anterior: Archivos comunes,
Complemento de servicios de Internet Information Server, Documentacin y Servicio World
Wide Web. Tras pulsar Aceptar y Siguiente, comenzar la instalacin.
Administracin de sitios web
La administracin de sitios web se lleva a cabo mediante el Administrador de Servicios de
Internet MMC (Microsoft Management Console). Para acceder a este Administrador
seleccionaremos Inicio, Panel de control, Herramientas administrativas, Servicios de Internet
Information Server. Tiene un aspecto similar al de la siguiente figura:

Vemos que la ventana tiene dos paneles (izquierdo y derecho), en la izquierda seleccionamos
una opcin del rbol y en la derecha veremos los detalles de la seleccin.
En la imagen podemos ver en la parte de la derecha el nombre del equipo en el que hemos
instalado el servidor WEB, en nuestro caso se llama "FREAKY", luego vemos si es un equipo
local y la versin del Internet Information Server que estamos usando.
Por defecto el nombre de nuestro sitio WEB es "Sitio Web Predeterminado" podremos cambiar
el nombre en cualquier momento (lo he cambiado por Mi pgina web), simplemente pinchamos
dos veces en "Sitio Web predeterminado" y podremos modificarlo. Los archivos para nuestra
pgina web se van a colocar en el directorio C:\Inetpub\wwwroot\.
Ahora veremos algunas de las opciones ms generales para poder montar un servidor de
pginas WEB. Hacemos clic con el botn derecho sobre "Sitio Web Predeterminado" y
seleccionamos "Propiedades". La siguiente ventana se nos muestra, veremos cules son las
opciones ms relevantes de cara al buen funcionamiento de nuestro servidor HTTP:

Sitio Web
Veamos las opciones generales que podemos modificar:
Descripcin: podremos poner una breve descripcin de nuestro sitio web.
Direccin IP: aqu colocaremos la direccin IP del ordenador que har de servidor
WEB, esta IP corresponder a la IP local, es decir, la IP de la red local y no ser la que
usamos para entrar a internet, por ejemplo: http://192.168.1.33. Si tenemos registrado
un nombre de dominio podramos hacer clic en Avanzadas y podramos introducirlo en
el campo Nombre de encabezado Host.
Puerto TCP: el puerto que queremos que sea el que responda a las peticiones de los
visitantes, por norma el puerto a usar para paginas web es el 80. Si dispone de router,
se debe comprobar que dicho puerto se encuentra abierto.
Tiempo de espera de la conexin: establece el intervalo de tiempo en segundos que va
a esperar el servidor antes de desconectar a un usuario inactivo. De esta forma se
asegura que todas las conexiones se cierran si el protocolo HTTP no puede cerrar una
conexin.
Habilitar el mantenimiento de conexiones HTTP abiertas: permite a un cliente mantener
abierta la conexin con el servidor, en lugar de volver a abrir la conexin del cliente en
cada nueva peticin. El mantenimiento de conexiones abiertas est habilitado de forma
predeterminada; si se deshabilita, es posible que se degrade el rendimiento del
servidor. (HTTP 1.1)
Habilitar registro: esta opcin se utiliza para habilitar las caractersticas de registro del
sitio Web, que permiten registrar informacin detallada acerca de la actividad de los
usuarios y crear registros en el formato elegido. Despus de habilitar el registro,
seleccione un formato en la lista Formato de registro activo:
o Formato de archivo del registro IIS de Microsoft: formato ASCII fijo.
o Registro ODBC: formato fijo registrado en una base de datos (slo disponible
en Windows 2000 Server).
o Formato de archivo del registro extendido W3C: formato ASCII personalizable,
seleccionado de manera predeterminada. Para usar informacin de procesos
se debe seleccionar este formato. Haciendo clic en propiedades se muestra la
ventana siguiente en la que elegiremos el formato que deseamos para nuestro
archivo de registro, til para sacar estadsticas (ver las propiedades
extendidas).

Directorio particular
La siguiente pestaa relevante de la hoja de propiedades del sitio web, es Directorio particular,
que podemos ver en la siguiente figura:

Este grupo de ajustes permite controlar dnde buscar los IIS el contenido web y qu permisos
de seguridad usar al manejarlo.
Lo primero que hemos de elegir es dnde estar localizado en directorio de nuestro sitio web:
Un directorio particular de este equipo: aqu especificamos el directorio que contendr
nuestra pgina web en el ordenador.
Un recurso compartido de otro equipo: podremos seleccionar un recurso compartido
que se encuentre dentro de nuestra red y que ser el que contendr nuestra pgina
web.
Un redireccin a una direccin URL: con este mtodo podremos redireccionar a otro
sitio las peticiones que se haga a nuestra web.
Despus elegiremos la ruta de acceso, en nuestro caso dejaremos la configuracin por defecto,
con lo que tendremos que indicar en Ruta de acceso local (disponible solo con la opcin de "Un
directorio particular de este equipo), el directorio que viene.
Luego podremos dar los permisos que queramos para mantener la seguridad en nuestro sitio:
Acceso al cdigo fuente de secuencias de comandos: esta opcin es usa para permitir
que los usuarios tengan acceso al cdigo fuente si disponen de los permisos de
escritura o de lectura. El cdigo fuente incluye las secuencias de comandos en
aplicaciones ASP.
Lectura: mediante esta opcin se permite que los usuarios lean o descarguen archivos
o directorios y sus propiedades asociadas.
Escritura: esta opcin se selecciona para permitir que los usuarios carguen archivos y
sus propiedades asociadas en un directorio con este permiso del servidor o para
cambiar el contenido de un archivo con este permiso. La escritura slo se puede
realizar con un explorador que admita la caracterstica PUT del estndar de protocolo
HTTP 1.1.
Examinar directorios: esta opcin se usa para permitir que el usuario vea una lista con
formato de hipertexto de los archivos y subdirectorios de este directorio virtual. Los
directorios virtuales no aparecen en las listas de directorios. Los usuarios deben
conocer su alias.
Registrar visitas: Seleccione esta opcin para registrar las visitas de este directorio en
un archivo de registro. Las visitas slo se registran si est habilitado el registro para
este sitio Web.
Indizar este recurso: Seleccione esta opcin para que Servicios de Microsoft Index
Server incluya este directorio en un ndice de texto del sitio Web.
Documentos
Continuando con la configuracin de nuestro sitio Web, la siguiente pestaa de configuracin
en la hoja de propiedades es la pestaa documentos, que se muestra a continuacin.

Cuando los usuarios intentan conectarse con el servidor web sin especificar un documento en
concreto, los IIS buscarn en la lista de documentos por defecto (en caso de estar activada)
para devolverlo al usuario.
Si queremos que todas las pginas de nuestro sitio se enven con un pie de pgina comn
(como por ejemplo, un copyright) se puede configurar mediante esta ventana. Deberamos
crear un archivo HTML que contenga por ejemplo <h2>Pi e de pgi na ESI </ h2> y
colocarlo en Habilitar pie de pgina del documento.
Seguridad de directorios
La siguiente seccin de las fichas de propiedades es Seguridad de directorios, que nos permite
controlar quin accede a nuestro sitio web en funcin de la autentificacin, direcciones de
clientes IP o configuracin ACL en archivos, y da la posibilidad de proteger las comunicaciones
cuando los clientes se conectan al sitio. Tiene este aspecto:

El primer mtodo de proteger un sitio web es definiendo un mtodo de autenticacin para
validar a los usuarios. Como los navegadores por defecto, intentarn acceder a los sitios de
forma annima, una opcin disponible es eliminar el acceso annimo al web. Hacer clic en el
botn Modificar dentro de control de autenticacin y acceso annimo, se muestra entonces la
siguiente ventana:

Para permitir que cualquier usuario pueda acceder al sitio, se debe mantener activada la casilla
Acceso annimo, de lo contrario, el sitio estar protegido, y ser precisa una identificacin del
usuario antes de que se permita una conexin incluso a la pgina de inicio. Si seleccionamos el
acceso annimo, debemos especificar un usuario de la mquina pulsando sobre Examinar. En
caso de eliminar el acceso annimo hemos de especificar alguna opcin de autenticacin,
puesto que si no habremos deshabilitado por completo cualquier forma de acceso al sitio.
Las opciones que se encuentran debajo de Acceso autenticado controlan el nivel de
identificacin que los usuarios deben sortear para llegar a conectarse al sitio protegido. Existen
tres tipos de autenticacin, cabe resear que debe haber una cuenta de usuario en el equipo
para que la autenticacin funcione:
Autenticacin bsica: es el ms bsico y mediante este mtodo la contrasea se enva
sin cifrar, por lo que cualquier software espa de contraseas podra capturarla.
Autenticacin de texto implcita dirigida a servidores de dominio de Windows: en vez de
transmitir la contrasea en modo texto, aplica una funcin de hash y lo transmite,
manteniendo as la confidencialidad de las contraseas. En este caso existen varias
restricciones como que el cliente debe ser Internet Explorer 5 o superior y la
contrasea debe estar en el directorio sin codificar. Es el ms seguro.
Autenticacin de Windows integrada: es un mtodo seguro de autenticacin, ya que no
se enva a travs de la red el nombre de usuario ni la contrasea. Al habilitar la
autenticacin de Windows integrada, el explorador del usuario demuestra que conoce
la contrasea mediante un intercambio criptogrfico con el servidor Web, en el que
interviene el hashing. El cliente debe ser tambin Internet Explorer, a partir de la
versin 2.
Una vez comentados lo mtodos de autenticacin, hemos de ver que tambin podemos filtrar
el acceso al web dependiendo de la direccin IP, de un rango de direcciones IP o de un
nombre de dominio.

Copias de seguridad de la configuracin
Una de las grandes ventajas de IIS (para algunos administradores) es su configuracin grfica,
debido a su interfaz intuitiva y de fcil uso. Pero no sera prctico, sino pudiramos salvar la
informacin de configuracin para poder restaurarla despus.
Aunque lo mejor es un fichero de configuracin tipo texto, donde poder ir modificando variables
y as tener una copia del mismo (ver Apache), no hay que alarmarse debido a que IIS no
ofrezca esta caracterstica ya que si que soporta salvar la configuracin en un formato propio
de Windows para posteriormente restaurarla de forma sencilla.
Los pasos a realizar para hacer una copia de seguridad de la configuracin actual seran los
siguientes:
En el complemento, Administracin de servicios de Internet, se selecciona el icono del
equipo para resaltarlo en el panel izquierdo.
En el men Accin, elija la opcin Realizar o restaurar copia de seguridad de la
configuracin.
Hacer clic en el botn Realizar copia de seguridad, que mostrar un cuadro de dilogo
Realizar copia de seguridad que le permitir definir el archivo de copia de seguridad.
De forma predeterminada, el archivo de copia de seguridad se almacena en el directorio
c:\winnt\system32\inetsrv\Metaback
Encabezados HTTP
El penltimo grupo de configuraciones que se puede controlar se refiere a los encabezados
que los servicios IIS incluirn en las pginas HTML que se transmiten. Estos parmetros se
ajustan en la ventana siguiente:

Los encabezados HTTP permiten encontrar varios elementos que el servidor web transmitir a
los navegadores web, junto con las pginas HTML del web. Los componentes principales que a
los buenos administradores de sitios web les interesa controlar son la caducidad de contenidos,
la restriccin de contenidos y los tipos de archivos MIME. Pueden incluso aadirse
encabezados personalizados.
Habilitar caducidad de contenido: se utiliza con el fin de incluir informacin de
caducidad para material dependiente del tiempo, como las ofertas especiales o los
anuncios de eventos. El explorador comparar la fecha actual con la fecha de
caducidad para determinar si va presentar una pgina almacenada en memoria cach
o si va a solicitar una pgina actualizada del servidor.
Encabezados HTTP personalizados: se puede utilizar los encabezados HTTP
personalizados para enviar un encabezado HTTP personalizado desde el servidor Web
al explorador del equipo cliente. Se pueden usar los encabezados personalizados para
enviar instrucciones que no estn admitidas todava en la especificacin HTTP actual,
como los encabezados HTTP ms recientes que IIS puede no admitir inherentemente
en el momento de lanzamiento del producto.
Clasificacin de contenido: las restricciones de contenido se usan para incrustar
etiquetas descriptivas en los encabezados HTTP de las pginas Web. Algunos
exploradores Web, como Microsoft Internet Explorer 3.0 o posterior, pueden detectar
estas restricciones de contenido con el fin de ayudar a los usuarios a identificar el
contenido Web potencialmente ofensivo.
Asignacin MIME: Las asignaciones MIME establecen los distintos tipos de archivo que
el servicio Web devuelve a los exploradores.
Errores personalizados
Cuando se configura un servidor web y sus sitios web, habr ocasiones en las que quiera
controlar cmo y qu se muestra a los usuarios que reciben un error. Por ejemplo, podemos
tener una pgina HTML personalizada que muestre cuando un usuario ha llegado a un error
404 (pgina no encontrada). Para esto, hacemos clic en la pestaa de errores personalizados y
se muestra esta ventana:

Podemos escoger el error HTTP y hacer clic en l, con lo que se mostrar una ventana
indicativa de cuando suceder ese error. Por ejemplo, vemos el error 400 (solicitud incorrecta):

Directorios virtuales
A medida que crecen los sitios Web, existe una necesidad de organizar los niveles de
contenido en el subdirectorio fuera de la raz principal del sitio. Al igual que en un disco duro de
un ordenador, puede haber momentos en que existan muchos archivos que haya que
administrar en un nico directorio, por lo que es necesario el uso de subdirectorios. Existen dos
formas de hacer esto en un sitio web. La primera es crear un subdirectorio en el directorio raz
del sitio web. Por ejemplo, si se tiene la raz en C:\Inetpub\wwwroot al que se accede mediante
www.nombredelaempresa.com y decidimos crear un subdirectorio llamado
C:\Inetpub\wwwroot\imagenes, accederemos a dicho directorio mediante
www.nombredelaempresa.com/imagenes.
El segundo mtodo es mediante la definicin de races virtuales. Una raz virtual es un medio
para definir un subdirectorio fuera de la raz de nuestro sitio web (e incluso un nivel inferior de
dicho web). Veamos la siguiente figura, que aclarar un poco el concepto de directorio virtual:

Tenemos un servidor web con dos discos duros (C y D) con la raz del sitio en
C.\Inetpub\wwwroot, con lo que accederemos con un cliente desde la direccin
http://www.nombredelaempresa.com. Si definimos un directorio virtual en el disco D en la
ubicacin D:\monitor, podremos acceder (creando el alias oportuno) mediante la direccin
http://www.nombredelaempresa.com/monitor.
Creacin de un directorio virtual
Para crear un directorio virtual volvemos al MMC, resaltamos el sitio web donde vamos crear el
directorio virtual y hacemos clic en Accin, Nuevo, Directorio virtual, con lo que aparecer un
asistente que nos guiar en el proceso. El primer paso es el que se muestra a continuacin.

Tras crear el correspondiente directorio en nuestro equipo, por ejemplo C:\virtual, escribiremos
en el campo de texto, por ejemplo, virtual. Al hacer clic en siguiente, se nos mostrar la
ventana en la que debemos escribir la ruta donde se encuentra dicho alias. Podemos bien
crear un alias en nuestro equipo o en una ruta de internet, para lo que colocaramos aqu una
direccin vlida.
C
D
Windows con IIS
\Inetpub\wwwroot
\monitor
Lado del servidor Lado del cliente
http://www.nombredelaempresa.com
http://www.nombredelaempresa.com/monitor

El siguiente dilogo nos solicita las credenciales de usuario, es decir, los permisos de acceso al
directorio virtual.

Una vez que hayamos introducido toda la informacin necesaria, debemos tener un nuevo
directorio virtual listado en el sitio web que responder en consecuencia iniciando el navegador
y escribiendo http://localhost/virtual. (Ojo con los permisos). El tratamiento de un directorio
virtual es exactamente el mismo que como se hara para un sitio web, editando la hoja de
propiedades del directorio. Concretamente, podemos editar: Directorio virtual, Documentos,
Seguridad de directorios, Encabezados HTTP y Errores personalizados.