Restricciones de direcciones IP dinámicas de IIS 8.0

  • Artículo

por Robert McMurray

Compatibilidad

Versión Notas
IIS 8.0 Restricciones de direcciones IP dinámicas integradas para IIS 8.0.
IIS 7.5 Las restricciones de direcciones IP dinámicas estaban disponibles como módulo fuera de banda para IIS 7.5.
IIS 7.0 Las restricciones de direcciones IP dinámicas estaban disponibles como un módulo fuera de banda para IIS 7.0.

Problema

IIS 7 y versiones anteriores tenían funcionalidad integrada que permitía a los administradores permitir o denegar el acceso a direcciones IP individuales o intervalos de direcciones IP. Cuando se bloqueó una dirección IP, cualquier cliente HTTP de esa dirección IP recibiría un error HTTP "403.6 Forbidden" del servidor. Esta funcionalidad permite a los administradores personalizar el acceso para su servidor en función de la actividad que ven en los registros o la actividad del sitio web del servidor. Sin embargo, se trata de un proceso manual. Aunque la funcionalidad se puede crear un script para detectar usuarios malintencionados mediante el examen de los archivos de registro de IIS mediante una herramienta como la utilidad LogParser de Microsoft, esto todavía requiere intervención manual.

Solución

En IIS 8.0, Microsoft ha ampliado la funcionalidad integrada para incluir varias características nuevas:

  • Filtrado dinámico de direcciones IP, que permite a los administradores configurar su servidor para bloquear el acceso a direcciones IP que superan el número especificado de solicitudes.
  • Las características de filtrado de direcciones IP ahora permiten a los administradores especificar el comportamiento cuando IIS bloquea una dirección IP, por lo que el servidor puede anular las solicitudes de clientes malintencionados en lugar de devolver respuestas HTTP 403.6 al cliente.
  • El filtrado de IP ahora incluye un modo de proxy, que permite que las direcciones IP se bloqueen no solo por la dirección IP del cliente que IIS ve, sino también por los valores que se reciben en el encabezado HTTP x-forwarded-for

Habilitación de la autenticación de Azure Active Directory Domain Services en Azure Files

Requisitos previos:

  • Máquina Windows Server 2012 con IIS 8.0 instalado.

    Nota:

    La característica Restricciones de dominio y IP debe instalarse como parte de IIS.

    Screenshot that shows a selected checkbox for I P and Domain Restrictions.

Soluciones alternativas para errores conocidos:

En este momento no hay errores conocidos para esta característica.

Configuración de IIS para denegar el acceso basado en solicitudes HTTP

IIS 8.0 se puede configurar para denegar el acceso a sitios web en función del número de veces que un cliente HTTP accede al servidor dentro de un intervalo de tiempo especificado o en función del número de conexiones simultáneas de un cliente HTTP.

Para configurar IIS para denegar el acceso en función del número de solicitudes HTTP que recibe, siga estos pasos:

  1. Regístrese como administrador en su equipo con Windows Server 2012.
  2. Abra Administrador de Internet Information Services (IIS).
  3. Resalte el nombre del servidor, el sitio web o la ruta de acceso de carpeta en el panel Conexiones y, a continuación, haga doble clic en Restricciones de dirección IP y dominio en la lista de características.
    Screenshot that shows the I I S Manager, with the Default Web Site Home pane open and I P Address and Domain Restrictions selected.
  4. Haga clic en Editar configuración de restricción dinámica en el panel Acciones.
    Screenshot that shows the I P Address and Domain Restrictions pane open. Edit Dynamic Restriction Settings is highlighted in the Actions pane.
  5. Cuando aparezca el cuadro de diálogo Configuración de restricción de IP dinámica, active Denegar direcciones IP en función del número de solicitudes simultáneas si desea impedir que un cliente HTTP establezca demasiadas conexiones simultáneas. Y active la casilla para Denegar dirección IP en función del número de solicitudes durante un período de tiempo si desea impedir que un cliente HTTP establezca demasiadas conexiones dentro de un período de tiempo específico.
    Screenshot that shows the Dynamic I P Restriction Settings dialog box. The first two items have selected checkboxes.
  6. Haga clic en OK.

Configuración del comportamiento de IIS al denegar direcciones IP

En IIS 7 y versiones anteriores, IIS devolvería un error HTTP "403.6 Forbbiden" respuesta del servidor cuando se bloqueó una dirección IP de cliente. En IIS 8.0, los administradores pueden configurar su servidor para denegar el acceso a las direcciones IP de varias maneras adicionales.

Para configurar el comportamiento que IIS usará al denegar direcciones IP, siga estos pasos:

  1. Regístrese como administrador en su equipo con Windows Server 2012.

  2. Abra Administrador de Internet Information Services (IIS).

  3. Resalte el nombre del servidor, el sitio web o la ruta de acceso de carpeta en el panel Conexiones y, a continuación, haga doble clic en Restricciones de dirección IP y dominio en la lista de características.
    Screenshot that shows the I I S Manager. I P Address and Domain Restrictions is selected in the Default Web Site Home pane.

  4. Haga clic en Modificar configuración de característica en el panel Acciones.
    Screenshot that shows the I P Address and Domain Restrictions pane, with Edit Feature Settings highlighted in the Actions pane.

  5. Cuando aparezca el cuadro de diálogo Editar IP y configuración de restricción de dominio , haga clic en el tipo de acción Denegar y elija el comportamiento que IIS usa de los siguientes valores:

    • No autorizado: IIS devuelve una respuesta HTTP 401.

    • Prohibido: IIS devuelve una respuesta HTTP 403.

    • No encontrado: IIS devuelve una respuesta HTTP 404.

    • Anular: IIS finaliza la conexión HTTP.

      Screenshot that shows the Edit I P and Domain Restrictions Settings dialog box. Forbidden is selected from the Deny Action Type list.

  6. Haga clic en OK.

Configuración de IIS para el modo proxy

Uno de los desafíos del filtrado de IP es que muchos clientes acceden a IIS a través de uno o varios firewalls, equilibrio de carga o servidores proxy; por lo tanto, la dirección IP siempre puede aparecer como el servidor en la ruta de acceso de solicitud más cercana al servidor IIS. En IIS 8.0, los administradores pueden configurar su servidor para examinar el x-forwarded-for encabezado HTTP, además de la dirección IP del cliente para determinar qué solicitudes se van a bloquear. Este comportamiento se denomina "Modo proxy".

Para configurar IIS para el modo de proxy, siga estos pasos:

  1. Regístrese como administrador en su equipo con Windows Server 2012.
  2. Abra Administrador de Internet Information Services (IIS).
  3. Resalte el nombre del servidor, el sitio web o la ruta de acceso de carpeta en el panel Conexiones y, a continuación, haga doble clic en Restricciones de dirección IP y dominio en la lista de características.
    Screenshot that shows the Default Web Site Home pane, with I P Address and Domain Restrictions selected.
  4. Haga clic en Modificar configuración de característica en el panel Acciones.
    Screenshot that shows the I I S Manager, with Edit Feature Settings highlighted in the Actions pane.
  5. Cuando aparezca el cuadro de diálogo Editar IP y configuración de restricción de dominio, active la casilla para Habilitar modo proxy.
    Screenshot that shows the Edit and Domain Restrictions Settings dialog box. Enable Proxy Mode is selected in the checkbox.
  6. Haga clic en OK.

Resumen

En esta guía, ha examinado la configuración de IIS para denegar dinámicamente el acceso al servidor en función del número de solicitudes de una dirección IP de cliente, así como la configuración del comportamiento que IIS usará cuando deniegue el acceso a usuarios potencialmente malintencionados.