IIS vs Apache

[jej_maz]

Prosba. Staralem sie uzyskac informacje na forum Komputery, teraz zastanawiam
sie, czy wsrod Panstwa jest ktos kto pracowal na i zna IIS i Apache i ma
skale porownawcza tych dwoch systemow. Szczegoly o co chodzi tutaj;

forum.gazeta.pl/forum/72,2.html?f=34&w=12132623&v=2&s=0

Bede wdzieczny za uwagi.

Dziekuje - Mark

[broch]

1. jesli idzie o szybkosc to roznic nie ma zadnych
2. jesli idzie o stabilnosc to IIS jest mniej stabilny. Sprawdz netcraft. W domu
to nie ma znaczenia
3. jesli idzie o load jest podobnie ale patrz wyzej (punkt 2) a jesli to
naprawde wazne to radze zope lub xitami. Zope nie jest za darmo.

jesli idzie o firewall i Twoje "security"
przyklad:
http://<adres_Twojego_servera>/scripts/..%c1%pc../winnt/system32/cmd.exe?/c+dir+c:\

dotyczy to IIS 4.0 wiec kod bez znaczenia, ale jak widzisz do servera mozna sie
dostac przez nawet przez IE, wiec Twoja sciana jest niewiele warta. Kod jest
stary (i niepelny), bo to nie miejsce na takie rzeczy, ale pokazuje jak latwo
dostac sie na IIS.
Tak przy okazji pisales ze masz Exchange. Mozesz powiedzec jak chronisz server
przed relay (czyli przed (glownie) uzywaniem Twojego mail servera do wysylania
masowego spam, bez Twojej wiedzy)? Microsoft nie ma zadnej konfiguracji Exchange
ktora zapobiegalaby uzywaniu Twojego servera do relay. W przeciwienstwie do np
postfixa. Radze poczytac na temat relay.
Zakladam ze masz ppp wiec Twoje polaczenie jest wystarczajaco wolne/niestabilne
aby mialo to jakiekolwiek znaczenie. W polityce MS nie podoba mi sie to iz
propaguje glupote przez latwosc instalacji. Zabezpieczenie serwera wymaga duzo
czasu. W wypadku produktow MS jest to praktycznie nie mozliwe aby uzyskac
rozsadny poziom bezpieczenistwa bo oczywiscie 100% security nie ma nigdzie.

uklony

[sandbender]

>jesli idzie o firewall i Twoje "security"
>przyklad:
>http://<adres_Twojego_servera>/scripts/..%c1%
>pc../winnt/system32/cmd.exe?/c+dir+c:\

>dotyczy to IIS 4.0 wiec kod bez znaczenia, ale jak widzisz do servera mozna sie
>dostac przez nawet przez IE, wiec Twoja sciana jest niewiele warta. Kod jest
>stary (i niepelny), bo to nie miejsce na takie rzeczy, ale pokazuje jak latwo
>dostac sie na IIS.

No Broch. Nie dosc ze podajesz jako przyklad IIS 4.0, to na jego podstawie
wyciagasz wniosek o tym ze sie latwo dostac na IIS?

Chlopie, wez sie zastanow.

[broch]

Remote SYSTEM Level Access vulnerability dla IIS 5.0 tez jest dostepny. Powyzszy
przyklad mial pokazac ze firewall to za malo aby chronic web server chlopie.

[sandbender]

Wszystko zalezy od tego jak IIS jest skonfigurowany (patch jest). Tyle samo
uwagi co "zamykaniu" IIS trzeba poswiecic samej konstrukcji aplikacji.

I oczywiscie, ze sam firewall nie wystarczy.

Pozdrawiam

[jej_maz]

Dzieki wszystkim za opinie.

Zainstalowalem i powalczylem troche na Apache. Dobre, logiczne, ciekawe i chyle
kapelusz z szacunkiem. Stwierdzilem jednak, ze nie mozna mieszac, tzn; jezeli
ktos zna Unix, powinien zostac przy Apache, a ktos kto zna i lubi MS, uzywa cos
takiego jak Active Directory, MS SQL itd to niech lepiej zostanie przy IIS.
Jedynie co zrobie to upgrade to IIS 6.0 (Server 2003 Enterprise Edition).

Exchange socks. Przykre (dla mnie) ale prawdziwe. Znam to dziadostwo dosyc
dobrze, mam najnowsza Enterprise Edition wersje, dalem szanse (duza) ale dla
moich potrzeb nie spelnia wymagan bezpieczenstwa. Jednym z podstawowych zalozen
Exchange jest to, ze relay musi byc open (sort off) aby inny (adresata) server
zaakceptowal email. Co oznacza, ze kazdy kto chce (i umie) moze "podlaczyc sie"
i uzywac serwera do spamu. Testuje cos innego i na razie mam tzw; wersje
sondazowa. Po probach zobaczymy...

Dodam, ze co do firewalls, to... zgadzam sie z Panstwem i nie; zalezy przed
jakim atakiem sie bronimy! Juz samo zamkniecie NETBIOS ports 137, 139 a
zwlaszcza UDP 139, pozwala na duza redukcje zagrozenia.

Pozdrawiam serdecznie - Mark Hacia, MCSE, CCNP - Toronto, Canada

[kell99]

<zart>ooo;) toronto, to kiedy moge wpasc i skonfigurowac tobie apacza?:)))
</zart>

pozdrawiam ;)