Resumo da minha palestra sobre Web Application Proxy no MVP ShowCast 2014

24 de setembro de 2014 Deixe um comentário

Saudações,

Na última segunda (22/09/2014) entreguei a palestra “Proxy Reverso com Web Application Proxy no Windows Server 2012 R2”. Tivemos uma audiência de 10 pessoas que conseguiram me aguentar até o final e aprender um pouco sobre como proteger suas aplicações que precisam ser acessadas externamente.

Falei sobre o conceito do produto – Uma função agregada à role Remote Access do Windows Server 2012 R2 – e finalidade dentro da corporação, possibilitando acessar aplicações corporativas de qualquer lugar com qualquer dispositivo (notebook, tablets, smart phones).

Mostrei sua integração ao Active Directory Federation Services 3.0 (o usando como base de dados e para autorização e pré-autenticação).

Mostrei também que é possível fazer a pré-autenticação usando Claims-based identity, MSFBA, OAuth, KCD e Client Certificate Authentication (via ADFS) e passthrough (acesso direto do WAP Server ao BackEnd Server). É possível também (via Power Shell) fazer a autenticação via certificado a partir do próprio WAP.

Mostrei também a topologia mais adequada ao produto:

image

Mantenha sempre o WAP em uma DMZ com um back-firewall protegendo sua rede interna e assim as requisições que chegam ao proxy reverso e não são autorizadas e pré-autenticadas pelo ADFS interno, não são passadas ao rede local.

Falei que o WAP também atua como um AD FS Proxy – lembrando que a partir do Windows Server 2012 R2, o AD FS Proxy não existe mais, cabendo ao WAP este papel.

Foi falado da atenção que se deve ter na questão do deployment do WAP. Você precisa conecta-lo a um ADFS pré-definido para pré-autenticação, autorização e para base de dados do produto. Mostramos que, para que essa parte seja bem sucedida vc precisa ter instalado no WAP o certificado do seu ADFS interno e também apontar para ele através do ADFS Name (e não com o hostname da máquina…erro esse que até eu cometi). Além disso é necessário que o WAP Server e o ADFS interno se comuniquem a partir das portas 80, 443 e 49443 (para client certificate autentication).

Mostrei o passo a passo da instalação do WAP e as configurações iniciais que devem ser feitas. Além disso, mostrei algumas limitações do produto que deverão ser corrigidas na próxima versão.

Os contratempos

Como em todas as áreas da vida, a lei de Murphy também afeta os evangelistas técnicos, os MVP´s e MTAC´s como eu. No momento da Palestra meu note não se conectava a sala de transmissão, visto estarmos usando o LiveMeeting e, por muito pouco não tivemos que cancelar a apresentação.

Para evitar esse desastre, e para minha sorte, tinha outro notebook com o client do LiveMeeting instalado e aí foi possível entregar a palestra, porém, não tive tempo de migrar minhas VM´s de um lado para o outro….dessa forma, não foi possível fazer a demo que preparei. Só espero que meu amigo MVP Alberto Oliveira não me estrangule…rs..rs..rs…

Brincadeiras a parte, consegui demonstrar o processo de publicação de aplicações via passthrough a partir de screen shots. Não foi como eu queria, mas, deu pra mostrar algo.

O que me esqueci de falar nesse desespero todo:

1 – Cuidado com a parte de certificados digitais que fazem o trust entre ADFS e WAP. Apesar de ter dito que é necessário ter a chave privada exportável, eu me esqueci de dizer que, qualquer alteração de certificado no ADFS afeta o WAP, visto que, o Federation Services só valida as alterações de certificado no http.sys após uma série de comandos power shell (problema este que será resolvido na próxima versão do produto).

2 – Me esqueci de falar que o WAP não deve ser inserido no domínio, a menos que você vá autenticar na aplicação a partir de KCD (Kerberos Constrained Delegation)…nesse caso é imprescindível que o WAP seja inserido em seu domínio.

Continuando

Fiz um pequeno overview do Azure AD Application Proxy. A ferramenta de proxy reverso do Microsoft Azure que faz o mesmo papel do WAP, porém, totalmente voltado para núvem.

Após a palestra, eu e o Luciano Lima (moderador) falamos sobre os programas Microsoft para disseminação de conteúdo, tais como o Programa MVP, o MVP Mentoring, o Microsoft Curah e o Microsoft Virtual Academy.

Diferente das outras palestras que entreguei, nesta eu só mostrei os links de referência para estudo no final. E para agilizar o Luciano Lima criou um curah com todos os links da minha apresentação e neles você terá um vasto material para aprendizado do WAP, podendo inclusive ver videos e montar seu laboratório de testes.

Para acessar curah criado pelo Luciano Lima, clique no link http://curah.microsoft.com/210943/mvp-showcast-2014-proxy-reverso-com-web-application-proxy-no-windows-server-2012-r2

Para assistir o video da palestra, basta acessar o mesmo link no qual foi feito a inscrição. Ao entrar na página, você deverá clicar no botão “exibir online” na parte direita da tela e será direcionado a área de download.

Como falei posteriormente, o aprendizado do WAP requer um conhecimento no AD Federation Services. Dessa forma disponibilizei uma página no Curah da Microsoft onde você encontra dois links com vasto conteúdo sobre a ferramenta e também o passo a passo para deployment. Clique no link abaixo:

http://curah.microsoft.com/211422/windows-server-2012-r2-passo-a-passo-instalando-o-active-directory-federation-services-30

Para os próximos dias estarei trabalhando numa série de posts sobre WAP e ADFS que serão publicados não só aqui, mas também nos canais que escrevo (TechNet Wiki e CooperaTI).

Finalizando, queria agradecer ao amigo Alberto Oliveira pela nova oportunidade (espero contribuir em outros eventos) e ao Luciano Lima pela imensa ajuda na moderação da palestra!

Espero que o conteúdo ajude e até a próxima!

Abraços

Uilson

Funcionalidades de Proxy no Windows 8.1

2 de setembro de 2014 2 comentários

Saudações,

No fim do ano passado, o mestre Fábio Hara precisava de alguém que falasse sobre as funcionalidades de proxy no Windows 8.1 em um mini treinamento online. Aceitei a incumbência e fiz o trabalho. O video inicialmente está no site do Channel9 da Microsoft. Em breve deverá fazer parte de um treinamento do MVA, ainda não definido.

Entretanto, já é possível assisti-lo e tirar suas dúvidas com relação a essa funcionalidade. Clique na imagem abaixo e assista esse mini treinamento:

image

Espero que o video possa ser útil e ajudar a otimizar as suas tarefas diárias.

Abraços

Uilson

MVP ShowCast 2014 – Estarei lá novamente!

25 de agosto de 2014 Deixe um comentário

Saudações,

Mais uma vez o grupo MVP (Most Valuable Professional) da Microsoft promove o evento MVP ShowCast! Uma grande quantidade de palestras para ITPro´s e profissionais de DEV com ênfase em ferramentas Microsoft. Nestas palestras você verá algumas melhores práticas e dicas de implementação que vão ajudar no seu dia a dia.

Serão 64 webcast´s que ocorrerão entre os dias 15 de setembro a 09 de outubro de 2014, sempre as 12:00 hs e as 20:00 hs.

Como no ano passado, mais uma vez tive a honra de ser convidade para palestrar e este ano estarei falando sobre Web Application Proxy – nova feature de reverse proxy do Windows Server 2012 R2.

Se você ainda usa o Forefront TMG para reverse proxy e está a procura de uma opção para substitui-lo, não perca minha palestra que ocorrerá no dia 22 de setembro as 20:00 hs com moderação do meu amigo MVP Alberto Oliveira. Para se inscreverem na minha palestra basta clicar na imagem abaixo e você será direcionado a página de inscrição:

banner

Além da minha palestra teremos temas muito importantes e interessantes a ser tratados que recomendo a você que não perca! Para tal, visite a página do MVP ShowCast 2014, veja todas as trilhas e faça a sua inscrição nas palestras de seu interesse. Clique aqui para ser direcionado ao site do MVP Show Cast.

Espero que, aqueles que se inscreverem na minha trilha gostem do conteúdo, pois, estou fazendo o meu melhor para oferecer um conteúdo dos melhores para ajudar a tantos quantos for possível!

Um bom evento a todos e um abraço!

Uilson

Certificados SHA2 e CA Windows Server 2003

15 de agosto de 2014 Deixe um comentário

Saudações,

Hoje em um cliente, vimos uma situação que achei interessante compartilhar aqui. O ambiente consiste em Domain Controllers Windows Server 2008 R2 e uma gama de sabores de Windows espalhados pelo ambiente (desde 2003 até 2012).

Uma aplicação usada no cliente necessitava de um certificado geral internamente, porém, a origem da requisição solicitava um certificado no padrão SHA2 (CNG – Cryptography Next Geneation), o que não era possível ser gerado.

Aí você me pergunta: Porque?

Simplesmente porque o Windows Server 2003 não dá suporte ao SHA2, deixando a geração de PKI´s limitada ao SHA1. Preocupante para quem precisa de certificados para logon de smart card e autenticação TLS.

Uma workaround para este caso é a aplicação do KB938397 que coloca o Windows Server 2003 (a partir do SP2) no mesmo nível funcional do Windows XP pós service pack 3.

Como seria isso?

Antes do service pack 3, o Windows XP também não oferecia suporte ao SHA2. Pós SP3 foram inseridas algumas funcionalidades limitadas no módulo rsaenh.dll, incluindo as seguintes hashes SHA2: SHA-256, SHA-384, SHA-512. A hashe SHA-224 não foi incluída..

No KB 938397 é possível fazer o download o fix para ser instalado na sua estrutura de CA´s Windows Server 2003.

O conteúdo deste post é resultado de pesquisa no Windows PKI Blog – http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Maiores dúvidas, deixem seus comentários que responderei assim que possível.

Espero que este post possa ajudar!

Abraços,

Uilson

CategoriasNão categorizado

Appliances Celestix para Direct Access – Solução eficaz e de fácil implementação

31 de julho de 2014 Deixe um comentário

Saudações,

Ontem (30/07/2014) participei de um WebMinar entregue pelo amigo Richard Hicks sobre as funcionalidades dos appliances da Celestix Networks para implementação do Direct Access.

O produto, além de implementar o Direct Access, também permite fazer proxy reverso com Web Application Proxy e também o Remote Desktop Gateway. O Appliance vem com uma versão customizada do Windows Server 2012 R2, porém, o uso deve ser unica e exclusivamente para as finalidades citadas:

1. Uma plataforma integrada que provê acesso seguro, dinâmico e abrangente através de datacenters e núvem para usuários externos.

2. Windows Server 2012 R2 based Unified Remote Access para conexões já usadas atualmente (RRAS based VPN, DirectAccess e Web Application Proxy) pelas corporações e também suporte a BYOD (Bring your own device)

3. Implantação rápida e uma interface de gerenciamento única

4. Acesso Remoto seguro para paplicações em núvem e on-premisses

5. Acesso Site to Site VPN entre ambientes privados, núvem pública ou núvem híbrida

6. Simplifica e garante a segurança do processo de migração através de um processo fim a fim de monitoramento e auditoria da conexão estabelecida.

Considerando o tamanho de sua infra e a abrangência do seu acesso externo, o produto é uma solução eficaz que alia alta performance, eficácia e facilidade no deployment com um custo mais baixo.

Para todas as informações referentes aos appliances da Celestix Networks, bem como os modelos e a documentação, clique no link abaixo:

http://www.celestix.com/products/cloud/

Espero que as informações acima possam ajudar e ser úteis.

Abraços

Uilson

Como fica o reverse proxy pós Forefront TMG e UAG

7 de julho de 2014 1 comentário

Saudações,

Tenho visto na Microsoft muitos projetos de implementação e muitas perguntas acerca de como fica a parte de proxy reverso agora que o TMG irá ser descontinuado.

As corporações até podem manter sua estrutura atual do TMG para reverse proxy até 2020 (prazo em que o suporte extendido se encerra), porém, algumas questões devem ser levadas em consideração e aí você assume (ou não) o risco.

1. O suporte ao Windows Server 2008 R2 deverá estar ativo, e as atualizações continuarão, porém, em termos de performance e até mesmo segurança entramos numa zona de risco. Como estará o cenário de segurança daqui a alguns anos, meses ou até mesmo dias? Não sabemos.

2. Os métodos de autenticação no TMG hoje estão aquém daquilo que as novas versões do Windows oferecem. Portanto, temos um decréscimo na segurança também neste ponto.

3. Qual o custo que a corporação terá que assumir para manter um sistema legado desses e quais os problemas que isso pode gerar em questões como a atualização da aplicação no servidor de destino? A atualização no servidor WEB não está atrelada a versão ou métodos que o TMG utiliza para fazer o tráfego entre a origem e o destino. Portanto, pense bem antes de assumir o risco de manter o produto se uma atualização na aplicação não irá causar erros no acesso por parte dos usuários.

4. Ainda na questão do custo, imagine que você tem um contrato de licenciamento que lhe gere um custo anual de acordo com o que você tem instalado em termos de sistema operacional e aplicações. Dependendo do tamanho da sua estrutura de proxy reverso, a manutenção do mesmo poderá gerar um custo que não seria tão alto caso você pense em migrar.

Esses são apenas alguns fatores a serem pensados por nossos clientes e nós da Microsoft estamos ajudando com essas e outras questões que aparecem de acordo com cada ambiente.

Outro ponto relevante é o caso de alguns clientes que migraram suas infras de Exchange para a versão 2013. É possível publicar o Exchange 2013 no TMG, porém, não é um cenário suportado. Caso haja problemas, a corporação não tem a cobertura da Microsoft para uma eventual análise de caso.

Para quem pensa em migrar, é interessante pensar numa solução completa que englobe todos os pontos que o Forefront TMG cobre (Inspeção de Malware, Rede, filtro de conteúdo, proxy, firewall, cache e proxy reverso).

Hoje, a solução mais interessante no que tange a preço e serviços como um todo é o UTM da Sophos – veja detalhes em www.sophos.com – que cobre praticamente todos os pontos de atuação do Forefront TMG. Tanto que o pessoal da FastVue postou um artigo com os passos para se montar um proxy reverso usando Sophos – veja em http://fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection/ .

Voltando ao universo Microsoft, a chegada do Windows Server 2012 e o Windows Server 2012 R2 veio suprir muitas lacunas deixadas com a saída do TMG. Como o conceito agora é ter sempre um ambiente seguro pensando em todas as soluções (e não só em uma), o serviço de reverse proxy pode ser oferecido a partir do próprio Windows a um custo muito mais baixo (em se tratando de licenciamento) a partir do Web Application Proxy e do ARR (Application Request Routing) do IIS 8.5.

No fim de 2013 entreguei diversos webcasts sobre o tema “Segurança para Redes Microsoft” onde dei uma pincelada nestas duas ferramentas. Você pode ver o conteúdo de uma das apresentações clicando aqui.

A proteção a suas aplicações fica mais confiável, pois, o acesso a elas dependerá de diversos fatores inclusos nas features de segurança do Windows Server 2012 R2. A autenticação via kerberos é fortalecida com o conceito de “claims”, onde o processo de autenticação vem muito mais forte do que nas versões anteriores. Veja o que há de novo em Kerberos a partir do Windows Server 2012 em http://technet.microsoft.com/en-us/library/hh831747.aspx

O Web Application Proxy faz parte da feature Remote Access do Windows Server 2012 R2 e é uma evolução do Active Directory Federation Services Proxy no Windows Server 2012. Com ele vc pode publicar aplicações usando autenticação Kerberos com claims (http://support.microsoft.com/kb/2722087) e KDC (http://technet.microsoft.com/en-us/library/cc734104(v=WS.10).aspx).

Para conhecer o produto vá em http://technet.microsoft.com/en-us/library/dn584107.aspx

Uma documentação completa com o passo a passo da implementação do WAP (Web Application Proxy) para acesso a aplicações internas vá em http://technet.microsoft.com/en-us/library/dn383650.aspx.

Um fator importante para quem vai publicar aplicações usando certificado digital. Os novos certificados SHA2 – CNG (Certificate New Generation) não são suportados pelo TMG. Além do que o conceito do SNI (Server Name Indication) fortalece a segurança para aplicações hosteadas no IIS a partir da versão 8. Para saber mais sobre o SNI clique aqui.

O WAP é a ferramenta recomendada para publicação de aplicações e para acesso remoto em SharePoint, aumentando sua segurança.

O único ponto a ponderar é que o WAP só trabalha com certificado digital, ou seja, somente aplicações SSL são tratadas pela feature. Se você publica alguma aplicação somente na porta 80 (HTTP) terá que usar alguma outra ferramenta, ou aguardar até o lançamento da próxima versão do produto que irá tratar esse tipo de requisição.

Para publicações em HTTP estamos sugerindo a manutenção do TMG ou UAG. Portanto, cabe em seu planejamento pensar nessa questão.

Uma sugestão de leitura também é o post do Ian Parramore da Microsoft sobre SSL Termination no WAP, publicado em 04/07/2014  – quando e como usar  – para ler o post clique aqui.

Sobre o Application Request Routing (ARR), confesso que ainda não tive tempo de fazer nenhum laboratório na funcionalidade, mas, se trata da viabilidade de publicar o Exchange 2013 a partir do IIS. Para conhecer sobre o produto, o link abaixo oferece a você uma série de links do site www.iis.net que irão ajuda-lo no planejamento, instalação e uso de forma geral:

http://www.iis.net/search?searchterm=arr

Espero que o conteúdo seja útil e possa ajuda-lo na fase de transição de sua infra estrutura de Rever Proxy.

Um abraço

Uilson

Saiu o Rollup 5 para o Forefront TMG Service Pack 2

1 de julho de 2014 Deixe um comentário

Saudações,

A correria do dia a dia me impediu de escrever, mas, aproveitando uma brechinha, vamos lá!

Saiu mais um pacote de atualização para o Forefront TMG no Service Pack 2. Trata-se do Rollup 5 que traz as seguintes correções:

2963805 (http://support.microsoft.com/kb/2963805/ )  FIX: Account lockout alerts are not logged after you install Rollup 4 for TMG 2010 SP2

2963811 (http://support.microsoft.com/kb/2963811/ ) FIX: The TMG Firewall service (wspsrv.exe) may crash when the DiffServ filter is enabled

2963823 (http://support.microsoft.com/kb/2963823/ ) FIX: "1413 Invalid Index" after you enable cookie sharing across array members

2963834 (http://support.microsoft.com/kb/2963834/ ) FIX: HTTPS traffic may not be inspected when a user accesses a site

2967726 (http://support.microsoft.com/kb/2967726/ ) FIX: New connections are not accepted on a specific web proxy or web listener in Threat Management Gateway 2010

2965004 (http://support.microsoft.com/kb/2965004/ ) FIX: EnableSharedCookie option doesn’t work if the Forefront TMG service runs under a specific account

2932469 (http://support.microsoft.com/kb/2932469/ ) FIX: An incorrect value is used for IPsec Main Mode key lifetime in Threat Management Gateway 2010

2966284 (http://support.microsoft.com/kb/2966284/ ) FIX: A zero value is always returned when an average counter of the "Forefront TMG Web Proxy" object is queried from the .NET Framework

2967763 (http://support.microsoft.com/kb/2967763/ ) FIX: The "Const SE_VPS_VALUE = 2" setting does not work for users if the UPN is not associated with a real domain

2973749 (http://support.microsoft.com/kb/2973749/ ) FIX: HTTP Connectivity verifiers return unexpected failures in TMG 2010

O download do fix pode ser feito em http://support.microsoft.com/kb/2954173/en-us

Não perca tempo, a atualização é mais que recomendada e vai evitar problemas no seu dia a dia.

Após a atualização o build vai para a versão 7.0.9193.644.

Abraços

Uilson

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 913 outros seguidores

%d blogueiros gostam disto: