image

IIS vs. Apache: Wat is de juiste security keuze?

woensdag 17 augustus 2005, 10:59 door Redactie, 27 reacties

Niet zo heel lang geleden hadden beheerders niet veel keuze als het ging om het webserver platform binnen hun organisatie. Werd er Windows gebruikt, dan draaide er Microsoft's Internet Information Server (IIS), gebruikte men Linux/Unix, dan zat men vast aan Apache. Tijden zijn echter veranderd en het Apache HTTP Server Project heeft nu ook een Windows distributie van de webserver uitgebracht, die afstamt van de originele NCSA httpd server. Nu zijn er twee keuzes voor Windows beheerders, en heeft men tenminste enige flexibiliteit. Vanuit een security oogpunt gezien kan men over de keuze twisten. Daarom beschrijft dit artikel vier factoren die helpen bij het bepalen van het veiligste platform binnen de organisatie:

1. Inherente server lekken
2. Bestaande kennis van het platform
3. Gemak voor de systeembeheerder
4. Vaardigheden van de ontwikkelaars

Reacties (27)
17-08-2005, 11:28 door Anoniem
Voor mij Apache, draait op zowel als op unix/bsd/linux en
andere systeme. Wij/ons bedrijf houden niet van een lock-in
sollution. Overigens hebben wij ook goed ervaringen met de
beveiliging van apache ... nooit last van wormen oid gehad.
17-08-2005, 11:34 door Anoniem
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.

Dat is een groot voordeel van gratis software boven betaalde
software.
17-08-2005, 12:36 door Anoniem
Door Redactie
Niet zo heel lang geleden hadden beheerders niet veel keuze als het ging
om het webserver platform binnen hun organisatie. Werd er Windows
gebruikt, dan draaide er Microsoft's Internet Information Server (IIS),
gebruikte men Linux/Unix, dan zat men vast aan Apache. Tijden zijn echter
veranderd en het Apache HTTP Server Project heeft nu ook een Windows
distributie van de webserver uitgebracht, die afstamt van de originele
NCSA httpd server.
Uhmm... Bestaat er niet al heel lang een Windows versie van Apache?

Als je naar het archief van Apache gaat staat versie 1.3.17 voor Windows
met een 'laatst gewijzigd'-datum van 2 februari 2001.

Zie ook: http://archive.apache.org/dist/httpd/binaries/win32/
17-08-2005, 12:39 door Anoniem
Door Anoniem
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.

Dat is een groot voordeel van gratis software boven betaalde
software.

IIS zit gewoon bij windows , wat dat betreft zijn de pakketten dus gelijk. Voor
het geld wat je op die manier overhoud zul je dan weinig studie tijd
kunnen 'kopen'
17-08-2005, 12:42 door Anoniem
Door Anoniem
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.

Dat is een groot voordeel van gratis software boven betaalde
software.
En wat is het voordeel dan? IIS heb ik al voor 300 eurootjes, daar kun je
niet veel studie voor verrichten. Het is eerder lood om oud ijzer zou ik
zeggen. Als ik het bespaarde geld in studie moet steken ben ik natuurlijk
net zo duur uit.
17-08-2005, 12:52 door Anoniem
ik vind het zinloos..ik kies liever voor de webserver die
bij het package management hoort zodat ik makkelijk kan
updaten via windows update of yum.
Daarnaast hangt het ook af wat voor soort script taal evt
gebruikt gaat worden.
Als ik dan nog zou moeten kiezen dan zou ik zelf voor IIS
kiezen..IIS peformed veel beter voor statische content dan
Apache..(doe maar eens een goeie apache benchmark test op
een apache webserver en een iis webserver).
Maar nogmaals..het hangt er helemaal van af wat voor content
er geplaatst wordt
17-08-2005, 12:55 door egeltje
Apache is toch al sinds jaar en dag voor het Winows platform te verkrijgen?
Ik meen me te herinneren dat ik hier vijf jaar geleden al mee speelde, voor
ik naar FreeBSD overging.
17-08-2005, 13:15 door Anoniem
IIS zit standaard bij Windows XP Professional, het is niet
standaard geinstalleerd, dat moet je doen via Software in
configuratiescherm en dan Windows Onderdelen.

Apache is ook heel makkelijk te installeren met alles erop
en eraan.

Kheb met beide ervaring, Apache / PHP tegenwoordig wat beter
als IIS / ASP. PHP kan ook op IIS maar daar moet je niet
alles van verwachten :) Werkt verder wel gewoon goed hoor.
ASP heb ik al een jaar niet meer gedaan en heb ik ook nooit
met enige databases gewerkt. Meer om alles een beetje te
bekijken en leren/testen.

Verder is Apache gewoon een prachtige en hele stabiele
webserver.
17-08-2005, 13:38 door Anoniem
en free (as in speech)
17-08-2005, 14:03 door raboof
IIS zit standaard bij Windows XP Professional
Ik gebruik het zelf niet, maar meen me te herinneren dat dat een enigszins
kreupele versie is (onder andere geen ondersteuning voor vhosts).

Persoonlijk zou ik voor Apache kiezen, omdat het onder linux e.d. kan
draaien, en omdat (hier) meer mensen ervaring hebben met Apache dan
met IIS.
17-08-2005, 15:46 door Anoniem
Het beveiligingsniveau van beide webserver pakketten is tegenwoordig
goed. Apache werd lang afgeraden (in hun eigen docs) om productie mee
te draaien op windows (wegens performance/stabiliteit). Blij te lezen dat
dat tegenwoordig blijkbaar wel kan.

Net zo belangrijk als de veiligheid is de kwaliteit van de
ontwikkelmogelijkheden. ASP.Net is een zalige ontwikkelomgeving dus dat
betekent voor mij IIS. (moet bekennen dat ik Mono nog niet heb
uitgeprobeerd).

PHP/ASP zijn leuke handige talen, maar op een gegeven moment wil je
een niveau hoger. En dan is het dus ASP.Net of Java.
17-08-2005, 16:02 door Anoniem
apache httpd op windows servers is geen goed idee; het is een keupele
versie mbt. authenticatie, threading, process separation.. ed. erg veel werk
om goed op te zetten. extensies als php en perl en servlets/jsp doen het
prima met iis via de isapi interface en iis is een fluitje van een cent om op
te zetten op huidige windows servers (win2003).
17-08-2005, 16:07 door Anoniem
het gaat hier wel om wat je zou kiezen op een
windowsplatform, dat je apache gebruikt omdat je unix draait
is niet boeiend ivm het artikel.
17-08-2005, 16:50 door Anoniem
Door Anoniem

PHP/ASP zijn leuke handige talen, maar op een gegeven moment
wil je
een niveau hoger. En dan is het dus ASP.Net of Java.


Een niveau lager bedoel je.
17-08-2005, 18:31 door Anoniem
Door Anoniem
Door Anoniem

PHP/ASP zijn leuke handige talen, maar op een gegeven moment
wil je
een niveau hoger. En dan is het dus ASP.Net of Java.


Een niveau lager bedoel je.
Mischien moet je je even wat meer in die talen verdiepen.
17-08-2005, 23:04 door Anoniem
Door Anoniem
Door Anoniem
Gebruik het geld dat voor IIS betaald moet worden voor
studie (kost tijd=geld) van Apache. Hiermee bereik je dat je
Apache goed beheerst en alle security goed kunt tweaken.

Dat is een groot voordeel van gratis software boven betaalde
software.

IIS zit gewoon bij windows , wat dat betreft zijn de
pakketten dus gelijk. Voor
het geld wat je op die manier overhoud zul je dan weinig
studie tijd
kunnen 'kopen'

Mmmm..., je hebt toch voor Windows betaald of niet?

Apache is gratis; en neem daarbij een gratis
besturingssysteem als bijv. Debian of FreeBSD. Kosten noppes.

Verder werd hierboven 300 euro genoemd; dat staat gelijk aan
6 uur studie voor Apache.

Als je alleen Windows wilt, dan moet je betalen en blijf je
betalen.
17-08-2005, 23:08 door Anoniem
Als ik het bespaarde geld in studie moet steken ben
ik natuurlijk net zo duur uit.

Maar je begrijpt meer! Meer kennis = beter salaris.
17-08-2005, 23:08 door Anoniem
Java is voor luie programmeurs die liever 1x een pakketje ontwikkelen op
een buggy virtualisatielayer in plaats van native te programeren.

Het idee achter java is goed, bovenstaand, maar de uitwerking is dat je
regelmatig je JRE weer mag deinstalleren omdat je met een ander op java
gebasseerd wanproduct moet werken en die draait nu net niet meer onder
de huidig geinstalleerde JRE versie.
18-08-2005, 09:09 door Anoniem
Dat Sun zijn beloften niet kan waarmaken moet je niet afschuiven op luie
eindgebruikers...
18-08-2005, 10:00 door Anoniem
''Daarom beschrijft dit artikel vier factoren die helpen bij
het bepalen van het veiligste platform binnen de organisatie:''

Jammer dat er voordat je zover bent nog een hele andere
belangrijke afweging moet maken, techniek mag best een rol
spelen in een beslissing, maar is buseniss wise nooit de
drijfveer.

Wanneer je als organisatie gebonden bent aan allerlei
regelwetgeving kan het zo maar eens zijn dat 'gratis', (dus
geen officiele support mogelijkheden) al niet eens in
aanmerking komt voor de realisatie van je project.

Wanneer alle verplichte criteria zijn doorlopen, ga je dan
eens druk maken om techniek en de (on)mogelijkheden die
hierbij horen.

Overigens denk ik in dit geval dat beide producten elkaar
niet zoveel zullen ontlopen.
18-08-2005, 10:03 door Anoniem


Verder is Apache gewoon een prachtige en hele stabiele
webserver.[/quote]
Totaal zinloos en niet onderbouwde conclusie.
Waar baseer je dit op, op die zolderkamer configuratie van je ?
18-08-2005, 12:22 door Anoniem
Door Anoniem
Als ik het bespaarde geld in studie moet steken ben
ik natuurlijk net zo duur uit.

Maar je begrijpt meer! Meer kennis = beter salaris.
Daar heb ik als organisatie toch helemaal geen bal aan? Niet alleen moet
ik geld uitgeven aan extra studie maar ik moet ook nog eens meer salaris
betalen. Niet aantrekkelijk
18-08-2005, 12:58 door Anoniem
Ik heb het artikel nog niet gelezen, maar ik uit eigen
ervaring trek ik de conclusie dat bij beiden de configuratie
het grootste risico is. Bij IIS vanwege al het
gebruikersvriendelijke maar onoverzichtelijke gefuck met
venstertjes, bij Apache vanwege de onoverzichtelijke
inconsistente config-file spaghetti.

Aan Apache stoort het me dat je flink moet klooien om de
(vaak lekke) applicaties van users in een multi-hosting
omgeving veilig in hun eigen gebiedje in te metselen. Ik
weet niet hoe dat tegenwoordig met IIS zit. Maar een veilige
LAMP install (vervang naar voorkeur Linux voor een BSD en
MySQL voor Postgress), de meest gebruikte toepassing van
Apache, zoniet webservers in het algemeen, zou toch
zolangzamerhand wel de default mogen zijn.
18-08-2005, 15:47 door Anoniem
Ik werk al een jaar voor mijn werkgever met Apache / PHP / MySQL onder
Windows.

De Windows 2003 server met Apache draait al meer dan een jaar foutloos!

Onze conclusie is dat deze combinatie veilig en bijzonder stabiel draait.
18-08-2005, 18:55 door spatieman
je hebt ook kompleet packages waar alles in zit voor windows :)
draait ook wel lekker
18-08-2005, 20:38 door Anoniem
20-08-2005, 17:16 door Rob Jansen
Dat IIS bijna net zo veilig als Apache ben ik niet mee eens,
het aantal security warnings zal bijna gelijk zijn. 28 voor
IIS en 25 Apache ben ik niet mee eens.

Maar de succesvolle aanvallen op IIS servers zijn veel
groter, ik zie vaak genoeg aanvallen op IIS servers in m'n
Apache log, een worm die succesvol Apache aanvalt kan ik me
niet herrinneren.

Bij Apache kijken veel meer mensen naar de code, iedere
beveiligings deskundige die een puntje wil scoren kan een
beveiligings lek in Apache zoeken, dus volgens mij is het
nivo van de beveilingslekken in Apache veel lager, IIS is
closed source, beveiliging door ontwetendheid.

Dus het aantal beveilingswaarschuwingen zal bij open source
hoger zijn, maar dat zijn meestal fouten die je heel
moeilijk kunt uitbuiten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.