Seguridad en ASP.NET – IIS6 o IIS 7 Classic Mode

Para entender la seguridad de ASP.NET es importante entender la seguridad del IIS. Internet Information Services es la primera puerta que llama toda petición y es la ultima puerta que cierra toda respuesta. Te hablaré de las versiones IIS 6 y IIS 7 porque existe un cambio importante entre estas dos versiones. Aunque no tendría que importarte demasiado IIS 6, porque ASP.NET 4 tecnológicamente esta en la misma época que IIS 7, en realidad tus aplicaciones web pueden correr en cualquiera de las dos versiones. También te diría que te explico las dos versiones porque el mismo IIS 7 puede correr de dos formas: modo clásico – que es el mismo modo del IIS 6 – y el modo integrado – que es el nuevo -.
Para pasar de un modo a otro debes indicarlo en el pool de aplicaciones que esta asociado a tu aplicación web.
iis
IIS 6 o IIS 7 modo clásico

Es una capa más en la seguridad de ASP.NET. En todas las peticiones ASP.NET IIS realiza unas simples comprobaciones y en el caso de ser correctas se pasa la petición al proceso ASP.NET que realizará las otras comprobaciones. De este modo la seguridad que nosotros configuraremos solo se aplicará a las peticiones ASP.NET. En toda petición IIS lo primero que comprueba es si la IP es la correcta – en un IIS puedes configurar tu aplicación web para que acepte una o algunas IP’s de destino concretas como también de origen -, después comprueba que tengas acceso de lectura (en el caso de ficheros estáticos) o permisos de ejecución (en el caso de ficheros dinámicos).


iis_1

El siguiente paso es comprobar si la petición necesita ser autentificada en modo Windows. En el caso de que tengas una aplicación web que necesite una autenticación por formularios tienes que dar acceso anónimo a toda la aplicación web. Si es el caso de tener una aplicación web que necesite una autenticación por Windows – seria el caso de tener una Intranet donde los usuarios se identifican mediante Active Directory – puedes indicar que el acceso esta restringido a estos usuarios.


iis_3

Por ultimo se pasa la petición al proceso ASP.NET.


iis_2

Para más información puedes comprar mi libro Guia Práctica de Asp.Net

Anuncis

Deixa un comentari

Fill in your details below or click an icon to log in:

WordPress.com Logo

Esteu comentant fent servir el compte WordPress.com. Log Out / Canvia )

Twitter picture

Esteu comentant fent servir el compte Twitter. Log Out / Canvia )

Facebook photo

Esteu comentant fent servir el compte Facebook. Log Out / Canvia )

Google+ photo

Esteu comentant fent servir el compte Google+. Log Out / Canvia )

S'està connectant a %s