• Tweet

No hace mucho tiempo, los administradores de Web no tenían una gran cantidad de opciones para montar su plataforma de servidor Web. Si trabajaban en Windows, corrían el Internet Information Server (IIS) de Microsoft, mientras que aquellos que usaban Linux/Unix estaban atados a Apache. Sin embargo, los tiempos han cambiado y el proyecto Apache HTTP ha tirado los muros al liberar una distribución para Windows que tiene sus raíces en el servidor http original de NCSA. Ahora hay dos "chicos grandes en el vecindario" y los administradores de Windows, al menos, tienen cierta flexibilidad. (No esperemos que Microsoft libere un IIS para Linux, en el corto plazo!)

Desde una perspectiva de seguridad, la decisión es debatible. Aquí hay algunos factores que pueden ayudar a decidir que plataforma es más segura para tu organización.

- Vulnerabilidades inherentes. Aparte de los malos comentarios de la prensa hacia Microsoft, las dos plataformas son igualmente atacadas. Una búsqueda reciente en la base de vulnerabilidades del CERT arrojó 28 vulnerabilidades para IIS y 25 para Apache. Eso es equitativo, en el mundo de la seguridad de la información.

- Conocimiento existente sobre la administración Web. Si tu administrador Web está usando ya alguna de las plataformas y se siente satisfecho con sus características de seguridad, ese es un importante factor. Un gran número de rupturas de la seguridad son debidas a mala configuración por parte de los administradores cuyas habilidades no son adecuadas. Es más fácil cometer errores cuando se trabaja con una plataforma nueva!

- Tranquilidad para los administradores del SO. La seguridad de un servidor Web es tan buena como la seguridad del SO que lo soporta. Si un atacante es capaz de obtener acceso al SO, comprometer la seguridad del servidor Web es trivial.

- Habilidades del desarrollador. Si estás creando páginas dinámicas (ASP, PHP, CGI) considera las habilidades de seguridad de tus desarrolladores. Al igual que los administradores del SO, los desarrolladores están menos propensos a cometer errores en un ambiente conocido.

Es importante tener en mente que hemos analizado esta cuestión desde un punto de vista de seguridad exclusivamente. A pesar de que IIS y Apache tienen características similares, si uno tiene alguna característica importante o de interés para la organización, es algo que debe dar definitivamente peso para realizar el análisis de riesgos/beneficio.