Como fica o reverse proxy pós Forefront TMG e UAG

7 de julho de 2014 Deixe um comentário

Saudações,

Tenho visto na Microsoft muitos projetos de implementação e muitas perguntas acerca de como fica a parte de proxy reverso agora que o TMG irá ser descontinuado.

As corporações até podem manter sua estrutura atual do TMG para reverse proxy até 2020 (prazo em que o suporte extendido se encerra), porém, algumas questões devem ser levadas em consideração e aí você assume (ou não) o risco.

1. O suporte ao Windows Server 2008 R2 deverá estar ativo, e as atualizações continuarão, porém, em termos de performance e até mesmo segurança entramos numa zona de risco. Como estará o cenário de segurança daqui a alguns anos, meses ou até mesmo dias? Não sabemos.

2. Os métodos de autenticação no TMG hoje estão aquém daquilo que as novas versões do Windows oferecem. Portanto, temos um decréscimo na segurança também neste ponto.

3. Qual o custo que a corporação terá que assumir para manter um sistema legado desses e quais os problemas que isso pode gerar em questões como a atualização da aplicação no servidor de destino? A atualização no servidor WEB não está atrelada a versão ou métodos que o TMG utiliza para fazer o tráfego entre a origem e o destino. Portanto, pense bem antes de assumir o risco de manter o produto se uma atualização na aplicação não irá causar erros no acesso por parte dos usuários.

4. Ainda na questão do custo, imagine que você tem um contrato de licenciamento que lhe gere um custo anual de acordo com o que você tem instalado em termos de sistema operacional e aplicações. Dependendo do tamanho da sua estrutura de proxy reverso, a manutenção do mesmo poderá gerar um custo que não seria tão alto caso você pense em migrar.

Esses são apenas alguns fatores a serem pensados por nossos clientes e nós da Microsoft estamos ajudando com essas e outras questões que aparecem de acordo com cada ambiente.

Outro ponto relevante é o caso de alguns clientes que migraram suas infras de Exchange para a versão 2013. É possível publicar o Exchange 2013 no TMG, porém, não é um cenário suportado. Caso haja problemas, a corporação não tem a cobertura da Microsoft para uma eventual análise de caso.

Para quem pensa em migrar, é interessante pensar numa solução completa que englobe todos os pontos que o Forefront TMG cobre (Inspeção de Malware, Rede, filtro de conteúdo, proxy, firewall, cache e proxy reverso).

Hoje, a solução mais interessante no que tange a preço e serviços como um todo é o UTM da Sophos – veja detalhes em www.sophos.com – que cobre praticamente todos os pontos de atuação do Forefront TMG. Tanto que o pessoal da FastVue postou um artigo com os passos para se montar um proxy reverso usando Sophos – veja em http://fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection/ .

Voltando ao universo Microsoft, a chegada do Windows Server 2012 e o Windows Server 2012 R2 veio suprir muitas lacunas deixadas com a saída do TMG. Como o conceito agora é ter sempre um ambiente seguro pensando em todas as soluções (e não só em uma), o serviço de reverse proxy pode ser oferecido a partir do próprio Windows a um custo muito mais baixo (em se tratando de licenciamento) a partir do Web Application Proxy e do ARR (Application Request Routing) do IIS 8.5.

No fim de 2013 entreguei diversos webcasts sobre o tema “Segurança para Redes Microsoft” onde dei uma pincelada nestas duas ferramentas. Você pode ver o conteúdo de uma das apresentações clicando aqui.

A proteção a suas aplicações fica mais confiável, pois, o acesso a elas dependerá de diversos fatores inclusos nas features de segurança do Windows Server 2012 R2. A autenticação via kerberos é fortalecida com o conceito de “claims”, onde o processo de autenticação vem muito mais forte do que nas versões anteriores. Veja o que há de novo em Kerberos a partir do Windows Server 2012 em http://technet.microsoft.com/en-us/library/hh831747.aspx

O Web Application Proxy faz parte da feature Remote Access do Windows Server 2012 R2 e é uma evolução do Active Directory Federation Services Proxy no Windows Server 2012. Com ele vc pode publicar aplicações usando autenticação Kerberos com claims (http://support.microsoft.com/kb/2722087) e KDC (http://technet.microsoft.com/en-us/library/cc734104(v=WS.10).aspx).

Para conhecer o produto vá em http://technet.microsoft.com/en-us/library/dn584107.aspx

Uma documentação completa com o passo a passo da implementação do WAP (Web Application Proxy) para acesso a aplicações internas vá em http://technet.microsoft.com/en-us/library/dn383650.aspx.

Um fator importante para quem vai publicar aplicações usando certificado digital. Os novos certificados SHA2 – CNG (Certificate New Generation) não são suportados pelo TMG. Além do que o conceito do SNI (Server Name Indication) fortalece a segurança para aplicações hosteadas no IIS a partir da versão 8. Para saber mais sobre o SNI clique aqui.

O WAP é a ferramenta recomendada para publicação de aplicações e para acesso remoto em SharePoint, aumentando sua segurança.

O único ponto a ponderar é que o WAP só trabalha com certificado digital, ou seja, somente aplicações SSL são tratadas pela feature. Se você publica alguma aplicação somente na porta 80 (HTTP) terá que usar alguma outra ferramenta, ou aguardar até o lançamento da próxima versão do produto que irá tratar esse tipo de requisição.

Para publicações em HTTP estamos sugerindo a manutenção do TMG ou UAG. Portanto, cabe em seu planejamento pensar nessa questão.

Uma sugestão de leitura também é o post do Ian Parramore da Microsoft sobre SSL Termination no WAP, publicado em 04/07/2014  – quando e como usar  – para ler o post clique aqui.

Sobre o Application Request Routing (ARR), confesso que ainda não tive tempo de fazer nenhum laboratório na funcionalidade, mas, se trata da viabilidade de publicar o Exchange 2013 a partir do IIS. Para conhecer sobre o produto, o link abaixo oferece a você uma série de links do site www.iis.net que irão ajuda-lo no planejamento, instalação e uso de forma geral:

http://www.iis.net/search?searchterm=arr

Espero que o conteúdo seja útil e possa ajuda-lo na fase de transição de sua infra estrutura de Rever Proxy.

Um abraço

Uilson

Saiu o Rollup 5 para o Forefront TMG Service Pack 2

1 de julho de 2014 Deixe um comentário

Saudações,

A correria do dia a dia me impediu de escrever, mas, aproveitando uma brechinha, vamos lá!

Saiu mais um pacote de atualização para o Forefront TMG no Service Pack 2. Trata-se do Rollup 5 que traz as seguintes correções:

2963805 (http://support.microsoft.com/kb/2963805/ )  FIX: Account lockout alerts are not logged after you install Rollup 4 for TMG 2010 SP2

2963811 (http://support.microsoft.com/kb/2963811/ ) FIX: The TMG Firewall service (wspsrv.exe) may crash when the DiffServ filter is enabled

2963823 (http://support.microsoft.com/kb/2963823/ ) FIX: "1413 Invalid Index" after you enable cookie sharing across array members

2963834 (http://support.microsoft.com/kb/2963834/ ) FIX: HTTPS traffic may not be inspected when a user accesses a site

2967726 (http://support.microsoft.com/kb/2967726/ ) FIX: New connections are not accepted on a specific web proxy or web listener in Threat Management Gateway 2010

2965004 (http://support.microsoft.com/kb/2965004/ ) FIX: EnableSharedCookie option doesn’t work if the Forefront TMG service runs under a specific account

2932469 (http://support.microsoft.com/kb/2932469/ ) FIX: An incorrect value is used for IPsec Main Mode key lifetime in Threat Management Gateway 2010

2966284 (http://support.microsoft.com/kb/2966284/ ) FIX: A zero value is always returned when an average counter of the "Forefront TMG Web Proxy" object is queried from the .NET Framework

2967763 (http://support.microsoft.com/kb/2967763/ ) FIX: The "Const SE_VPS_VALUE = 2" setting does not work for users if the UPN is not associated with a real domain

2973749 (http://support.microsoft.com/kb/2973749/ ) FIX: HTTP Connectivity verifiers return unexpected failures in TMG 2010

O download do fix pode ser feito em http://support.microsoft.com/kb/2954173/en-us

Não perca tempo, a atualização é mais que recomendada e vai evitar problemas no seu dia a dia.

Após a atualização o build vai para a versão 7.0.9193.644.

Abraços

Uilson

Levantamento de dados de um ISA Server ou Forefront TMG com ISAInfo

26 de maio de 2014 Deixe um comentário

Saudações,

Apesar do fim do ISA Server e do Forefront TMG, muitos clientes ainda o usam e nós da Microsoft estamos atuando em diversas frentes que consistem em apoiar os clientes que pretendem permanecer usando o produto e também para aqueles que irão migrar.

Estamos ajudando corporações mostrando as opções que eles têm na troca do Forefront TMG desmembrando os serviços.

Para VPN, Acesso Remoto e proxy Reverso, o Windows Server 2012 R2 cobre todos esses pontos a um preço muito mais baixo que a concorrência e com eficácia igual ou superior. Para URL Filtering, é possível obter o mesmo serviço usando o Windows Intune.

Para continuidade do acesso internet via proxy, aí não tem jeito, os clientes têm de procurar por soluções de terceiros e nosso papel na função de DSE (Dedicated Support Engineer) é cooperar para que essa transição ocorra da melhor forma possível.

E como fazemos isso?

Em diversos clientes com grandes estruturas de ISA Server e/ou Forefront TMG, é necessário mapear de forma eficaz o que se tem configurado em seu servidor.

A equipe de projetos que irá implementar a nova funcionalidade de proxy precisa saber quais as regras criadas no ambiente atual que será decomissionado, qual a origem delas e o destino, quais os protocolos que as regras usam para definir um tipo de acesso, etc.

Quando falamos de portas personalisadas, é necessário informar de forma clara aos responsáveis pela nova estrutura quais são e como funcionam.

A grosso modo a única forma que um servidor ISA Server 2006 ou Forefront TMG provê essas informações é através do export do array ou parte dele (regras, networking, etc) para um arquivo XML. Entretando, ler um arquivo XML é meio complicado, leva tempo e alguns pontos podem ser meio complicados pra ler e a formatação vira um verdadeiro calvário.

Se você está nessa toada, eu aconselho o uso do ISAInfo. Essa ferramenta é de grande ajuda para coletar todos os dados de um array ISA Server ou Forefront TMG.

Antes que me perguntem…sim, tem muito lugar ainda usando o ISA Server 2006 e até ano passado eu atendia clientes com proxy e cache no ISA Server 2004. O mundo não é esse glamour né?

Mas, voltando ao ISAInfo, o processo de coleta de informações é muito simples. Vamos fazer uma coleta passo a passo para que você que está em fase de migração possa entregar todas as informações necessárias.

Vale também para quem quer documentar o ambiente porque ainda vai ficar com ele por algum tempo e quer ter mapeado tudo o que foi criado nele.

A ferramenta pode ser baixada do site http://isatools.org na aba ISA 2006 Tools. Ali você encontra uma série de utilitários para auxilia-lo na administração do seu proxy ISA Server 2000, ISA Server 2004, ISA Server 2006 e Forefront TMG (Standar, Enterprise e MBE editions).

Vale ressaltar que o Jim Harisson estará tirando este site do ar em 08 de agosto deste ano por questões que ele mesmo explica na página inicial. Caso você leia este post em data posterior a esta, deixe seu comentário aqui que eu disponibilizo a ferramenta em meu OneDrive.

Para este exemplo iremos usar o meu ambiente de laboratório onde tenho um servidor Windows Server 2008 R2 com o Forefront TMG 2010.

1. Gerando o backup do array (Export em XML)

Para este exemplo vamos gerar um backup de todo o array do Forefront TMG.

Clique com o botão direito do mouse sobre o array name do seu Forefront TMG e escolha a opção Export (Back Up):

image

No Welcome Screen, clique em Next:

image

Na tela Export Preferences, defina se vai usar uma senha e se vai exportar as configurações de permissão do usuário e clique em Next:

image

OBS: Definindo ou não uma senha neste ponto será irrelevante, pois as informações serão expostas no ISAInfo sem solicitação da mesma.

Na tela Export File Location defina a pasta e o nome do arquivo. Você também pode clicar em “Browse…” para definir pela interface gráfica o destino do seu arquivo. Feito isso clique em Next:

image

Na tela Completing the Export Wizard clique em Finish:

image

A barra de progesso abaixo indica que o arquivo XML que vc definiu anteriormente está sendo criado. Ao final da execução clique em OK:

image

Agora que você gerou o backup (export) do seu servidor Forefront TMG, você irá enfim iniciar o ISAInfo e a partir dele fazer a leitura do XML. No download do arquivo (conforme explicado acima neste post) vc ira receber um arquivo isainfo.zip. Descompacte o arquivo em uma pasta de sua preferência e veja que ele vai extrair 3 arquivos conforme abaixo:

image

O ISAInfo.hta é a ferramenta ISAInfo propriamente dita. Nele você vai carregar o XML gerado anteriormente para visualizar as informações desejadas.

O outro arquivo é o ISAInfo.js – um script que você pode usar para gerar o XML com as informações do seu proxy server, caso não queira fazer como foi ensinado acima.

O arquivo Readme.txt traz as sintaxes e opções a serem usadas com o ISAInfo.js.

Em nosso exemplo, iremos executar diretamente o arquivo ISAInfo.hta pois já geramos o XML. Ao dar o duplo clique no arquivo, a ferramenta irá abrir já solicitando o arquivo XML. Selecione o arquivo que você criou anteriormente e clique em Open:

image

Pronto! Você tem acesso a todas as informações de configuração criadas no seu ISA Server ou Forefront TMG:

image

Viram como o processo é simples? Melhor que ficar lendo arquivo XML né?

Aí você decide como vai fazer para entregar estas informações ou como vai guarda-las. Para transportar para um arquivo DOCX do Word tem que ser na unha mesmo (copy/paste). Se você se sente confortável em entregar o XML com a ferramenta para o responsável pela migração e se ele souber interpretar o conteúdo (o que, digamos, não é nenhum bicho de sete cabeças), fica por sua conta.

Espero que o conteúdo ajude a você que ainda usa ISA Server ou Forefront TMG e vai migrar a parte de proxy para uma solução de terceiros, ou ainda pensa em manter o produto e quer documentar as configurações feitas.

Meu agradecimento ao MPV Richard Hicks pelas dicas!

Um abraço

Uilson

Mudança no roadmap do Forefront Identity Manager e o fim da última ferramenta da brand Forefront

24 de abril de 2014 Deixe um comentário

Saudações,

Hoje a Microsoft anuncia alterações no roadmap do produto Forefront Identity Manager que teria um update para meados de 2015 conforme anunciado em Dezembro de 2013.

O Forefront Identity Manager, desenhado para fornecer acesso seguro a informações corporativas com gerenciamento de identidade foi movido para uma nova brand dentro da Microsoft, acabando de vez (segundo percebi) com toda suíte de produtos Forefront.

Diferente dos outros produtos que foram descontinuados e/ou movidos para suítes do Exchange e System Center, a nova versão será totalmente voltanda gerenciamento híbrido no que tange a Cloud Computing e dando mobilidade aos usuários para acesso via dispositivos móveis variados, sendo todos eles totalmente gerenciados.

Haverá tb a possibilidade de conexão com recursos hosteados no Microsoft Azure e muito mais.

A nova versão chegará com o nome Microsoft Identity Manager e para maiores detalhes cosulte o comunicado na íntegra postado pela equie Microsoft Server and Cloud Platform clicando aqui.

Abraços

Uilson 

CategoriasAnuncios, Segurança

Sobre filtros web de terceiros no Forefront TMG ou ISA Server

9 de abril de 2014 Deixe um comentário

Saudações,

Como não é mais segredo para quem me acompanha, comecei dia 25 de fevereiro deste ano como Green Badge Engineer na Microsoft. Durante este ano estarei alocado em clientes Microsoft como Premier Field Engineer cuidando da parte de segurança com suporte a ferramentas como Forefront TMG, AD RMS, AD FS, IIS e a parte de patche management. Com um bom trabalho e uma ajudinha do Papai do Céu, quem sabe não fico em definitivo!

A idéia deste post é mostrar casos que ainda se repetem em clientes que optaram por manter o Forefront TMG por mais algum tempo, fazendo a integração do mesmo com outras ferramentas para a parte de secure web gateway, como Filtro de Conteúdo por exemplo.

Para casos envolvendo o Forefront TMG, é muito dificil que um problema como esses ocorra, salvo pela falta de atualização do plug-in de terceiros e/ou problemas na própria instalação.

No que tange ao ISA Server 2006, é fundamental que a instalação não tenha nenhum tipo de erro e que a última versão do plug-in para ISA esteja instalado. Para maiores detalhes, procure informações com o fabricante do filtro de conteúdo terceiro e veja se a versão que vc usa é a correta.

Normalmente uma instalação danificada do plug-in, ou uma versão mais antiga sem suporte aos novos tipos de requisição e acessos, vai fazer com que o usuário final sinta latência em seus acessos ou até mesmo receba uma mensagem de “access denied” mesmo para sites permitidos pelas políticas.

Dependendo do problema, o plug-in pode também enfileirar requisições até consumir todos os recursos disponíveis do servidor, causando o crash do serviço do ISA ou TMG (mais comum no ISA  Server que, neste caso, divide sua engine no Kernel mode com a do plug-in).

Normalmente o restart do serviço resolve, mas, esse problema, se não tratado, começa a ocorrer com frequência afetando toda massa de usuários e causando os mais variados dissabores. Neste caso, prevenção e busca da solução definitiva é a única saída.

Veja abaixo os erros que podem ocorrer (os log´s abaixo são de uma infra estrutura grande de ISA Server, ainda em uso em um cliente):

Event Type:            Error

Event Source:        Microsoft Firewall

Event Category:    None

Event ID: 14057

Date:                      4/3/2014

Time:                      11:30:17 AM

User:                       N/A

Computer:            

Description:

The Firewall service stopped because an application filter module C:\Program Files\Microsoft ISA Server\w3filter.dll generated an exception code C0000005 in address 6472F7A3 when function CompleteAsyncIO was called. To resolve this error, remove recently installed application filters and restart the service.

No erro acima pode se ver que o filtro do próprio ISA é o primeiro a ser impactado pelo filtro de terceiros. Após a parada no w3filter.dll, ocorre o erro abaixo:

Event Type:            Error

Event Source:        Microsoft Firewall

Event Category:    None

Event ID: 14007

Date:                      4/3/2014

Time:                      11:30:17 AM

User:                       N/A

Computer:            

Description:

A shortage of available memory caused the Firewall service to fail. The ISA Server computer cannot support additional connections for the server. The Event Viewer Data window displays the number of active connections.

O erro acima mostra que o filtro de terceiros foi enfileirando requisições por não conseguir trata-las e consumiu todos os recursos do servidor. Após esse erro, pode ser encontrado outro conforme abaixo:

Event Type:            Error

Event Source:        Microsoft ISA Server 2006

Event Category:    None

Event ID: 1000

Date:                      4/3/2014

Time:                      11:30:20 AM

User:                       N/A

Computer:            

Description:

Faulting application wspsrv.exe, version 5.0.5723.527, stamp 4f7071bd, faulting module w3filter.dll, version 5.0.5723.527, stamp 4f70717d, debug? 0, fault address 0x0003f7a3.

O erro acima mostra o momento em que, influenciado pelo filtro w3filter.dll, o processo do proxy cai.

Caso o problema esteja ocorrendo por erros na própria instalação do plug-in ou por falta de alguma biblioteca da mesma, o erro abaixo ocorre (para quem usa web filter que encaminha para um WebSense Server):

Event Type:            Information

Event Source:        Websense-ISA

Event Category:    None

Event ID: 4096

Date:                      4/3/2014

Time:                      2:46:29 PM

User:                       N/A

Computer:            

Description:

The description for Event ID ( 4096 ) in Source ( Websense-ISA ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: Webfilter initialized..

Usar plug-in de web filters de terceiros é totalmente viável, mas, recomendo fortemente  que, se ainda usam ISA Server e entendem que o TMG pode suporta-los por algum tempo, que migrem o mais rápido possível. O uso do ISA Server fica muito limitad a uma plataforma 32 bits que a muito não suporte grandes cargas de acesso.

Caso contrário, analise no mercado a solução de proxy e secure web gateway que vai de encontro a suas necessidades, lembrando que, para publicação de aplicações, o Web Application Proxy do Windows Server 2012 R2 e o Application Request Routing do IIS 8.5 (para publicação de OWA) são opções eficazes e baratas para supir parte daquilo que o Forefront TMG faz em sua estrutura.

Abraços

Uilson

CategoriasNão categorizado

Configurando o Centralized Certificate Store no IIS 8.5 do Windows Server 2012 R2

24 de março de 2014 Deixe um comentário

Saudações,

Hoje quero falar sobre um tema que acho muito importante para quem administra o IIS com aplicações protegidas por certificado digital. Inclusive este foi um dos temas que falei nas minhas palestras sobre Segurança em Redes Microsoft para o projeto Quintas da TI, na série de webcasts dos MTAC´s e no MVP  ShowCast.

Em se falando de proteção SSL, o administrador de um webserver IIS tem que lidar com uma série de procedimentos para configurar uma aplicação com certificado. Vamos tentar entender todos os passos (ou parte deles):

1. Gerar a CSR no IIS e enviar para validação em uma CA externa ou interna (no caso de validação interna, para sites que serão acessados somente pelos usuários da corporação).

2. Após validação, aplicar este certificado através da conclusão da solicitação da CSR no próprio WEB Server

Pouco né?

Mas, imagine que vc tem diversos webserver´s em sua estrutura, sendo que, em muitos casos o mesmo certificado pode ser usado em N servidores da mesma farm ou de farm´s diferentes. Além disso uma série de aplicações podem requerer seu próprio certificado, gerando a necessidade de importar muitos certificados em muitos servidores.

Vc teria que exportar o certificado para um arquivo PFX de forma a importar nos servidores da farm, usando o Snap-in Certificates via MMC, para que o tráfego SSL ocorra sem problemas.

Para os casos de empresas que fazem host de aplicações WEB, entre outras, esse processo pode ser automatizado através da aplicação de políticas que irão replicar estes certificados a um determinado grupo de servidores.

Agora, a partir do Windows Server 2012, este processo ocorre de uma forma mais eficaz, em se tratando de grandes estruturas de web farms.

O IIS, a partir da versão 8, traz a funcionalidade “Centralized Certificate Store”. Com ele vc pode armazenar seus certificados em um file share, sem a necessidade de importar o mesmo para a conta Computer no Sna-In Certificates da máquina. Para que o CCS seja instalado com a role do IIS, é preciso seleciona-lo no momento da instalação.

Dessa forma, a aplicação vai buscar o certificado neste file share, sendo que você só precisa que toda a farm de webserver´s tenha acesso a esta pasta.

Vamos ver o passo a passo dessa configuração:

Para escrever este post, eu montei um laboratório com 1 servidor contendo o AD-DS e o AD-CS (Root CA), outro com o IIS e ainda mais dois servidores com AD-RMS e AD-FS que estão servindo para estudo e aprofundamento nessas tecnologias, além de serem fonte para muitos outros artigos a serem postados aqui.

O domínio responde pelo nome de uilson.net. A aplicação que iremos usar para o CCS (Centralized Certificate Store) responde pela URL www.uilson.net e nada mais é que a página default do IIS (iisstart).

Após criar o website no seu webserver e requisitar o seu certificado, ele deverá ser validado em um CA Externa ou na sua própria CA Interna (para o caso de aplicações internas que não serão compartilhadas com parceiros ou usuários externos) – Estou assumindo que o leitor deste post já sabe como fazê-lo.

A partir do certificado gerado e validado, exporte-o para um arquivo pfx e o copie para um compartilhamento no seu file server que será o repositório de certificados do IIS para sua estrutura.

OBS: o nome do arquivo PFX deverá ser o mesmo do common name do seu certificado, no exemplo que veremos aqui, o common name do meu certificado é www.uilson.net. Neste caso o nome do arquivo deverá ser www.uilson.net.pfx – qualquer coisa diferente disso, o acesso não funciona.

Para criar o PFX a partir do certificado válido, siga os passos abaixo:

Duplo clique no certificado, clicar na aba “Details” e clicar em “Copy to File”

image

O wizard abrirá e você deverá clicar em “Next”. Em seguida você será perguntado sobre exportar ou não a Private Key. No meu caso, vou exportar para este PFX. Após este passo, clique “Next”:

image

Na tela abaixo, selecione a última opção “Export all extended properties” e clique em “Next”:

image

Na tela abaixo defina uma senha para o arquivo PFX. No meu caso a senha nada mais é que 123456 (é apenas um lab ok?). Em seguida clique “Next”:

image

Na tela abaixo clique em “Browse”:

image 

Agora defina a pasta (compartilhamento) onde o arquivo deverá ser gravado. Obviamente, respeitando o que disse acima sobre o nome do arquivo. Feito isso, clique em “Save”:

image

Na tela abaixo, clique “Next”:

image

Na tela abaixo clique em “Finish”:

image

Você irá receber um aviso dizendo que o export ocorreu com sucesso. Clique em “OK” para fechar o aviso e OK para fechar as propriedades do certificado.

Agora que o certificado está validado, o PFX criado e copiado na pasta correta, vamos configurar o IIS. Entretanto, antes de configurar a aplicação WEB, vc precisa habilitar o serviço do Centralized Certificate Store.

Na imagem abaixo clique no array name (nome do servidor IIS) e no painel a direita de um duplo clique em “Centralized Certificates”:

image

Na tela abaixo vc irá visualizar todos os certificados que estiverem na pasta, ou file share, que foi previamente criado. Para que isso aconteça, clique em “Edit Feature Settings” no lado superior direito:

image

Na tela abaixo, habilitar o checkbox “Enable Centralized Certificates”, configure o caminho UNC do share ou pasta que irá servir de repositório dos seus certificados e defina uma conta que tenha acesso completo a esta pasta para que todos os servidores da sua farm possa ler o conteúdo. Depois você deverá inserir a senha que vc definiu para o arquivo PFX(no nosso exemplo aqui foi 123456). Feito isto, clicar  em “OK”:

image

Com as configurações acima feitas de forma correta, você visualizará o conteúdo do PFX que está no file share ou pasta e agora você já tem o seu primeiro certificado no repositório. Vide imgagem abaixo:

image

Agora que o repositório está configurado, vamos configurar a aplicação WEB para que use o certificado armazenado na CCS.

Clique com o botão direito do mouse no web site e escolha a opção “Edit Bindings…

image

Na tela abaixo clique em “ADD” e a tela “Add Site Biding” irá abrir. No campo “Type” escolha a opção “https” e em “hostname” você poderá inserir o endereço do seu web site. Para que a aplicação WEB use o repositório do Centralized Certificate Store, você deverá selecionar o checkbox “Use Centralized Certificate Store” e clique em OK:

image

Você também tem a opção de habilitar o SNI através do checkbox “Require Server Name Indication”. O SNI é uma extensão TLS usada para identificar o domínio virtual ou o hostname do end point da conexão durante a negociação SSL. Para  habilitar essa opção você precisa ter certeza de que os browsers da sua empresa ou aqueles que vão acessar externamente sejam compatíveis com esta funcionalidade.

As últimas versões do IE têm suporte a este mecanismo, porém, as versões desenvolvidas para o Windows XP não. Portanto, pense nisso antes de habilitar esta opção.

Para ter uma visão detalhada do SNI clique em http://blogs.msdn.com/b/kaushal/archive/2012/09/04/server-name-indication-sni-in-iis-8-windows-server-2012.aspx

Na tela abaixo podemos ver que o site www.uilson.net está pronto para ser acessado via SSL. Clique em “Close”:

image

Ao acessar o site pelo IE, vemos o resultado abaixo:

image

Esta é uma funcionalidade que eu realmente gosto e espero que o conteúdo deste post possa ajudar a você que lida diariamente com uma grande quantidade de servidores WEB IIS.

Abraços

Uilson

Cuidado com URL´s encurtadas a partir do t.co do Twitter

11 de março de 2014 Deixe um comentário

Saudações,

Estou assumindo um novo desafio profissional, este é o motivo da demora em escrever aqui, mas, nesse novo lugar (que espero dar certo) não vão faltar conteúdos interessantes.

Hoje quero deixar uma dica pra quem usa Twitter. Os ataques e tentativas de roubo de identidades acontecem em todos os lugares e hoje, com o uso das URL´s encurtadas, cria-se um novo meio de prejudicar pessoas de boa fé.

Ontem a  noite recebi a notificação de uma mensagem que me foi enviada via twitter. Como conheço a pessoa, logo fui conferir. Ao olhar a mensagem, fiquei meio com o pé atrás, pois, a pessoa é daqui do Brasil e sempre que nos falamos, usamos (obviamente) o português.

A mensagem que ele me passou tinha o seguinte conteúdo:

“rofl this was posted by you? http://t.co/ByZJPUSEiq “ – Não vou aqui expor minha conta no twitter ou a da pessoa que, supostamente, enviou a mensagem

Note que neste caso, o autor desta tentativa de roubar minhas credenciais usou do próprio encurtador de URL´s do twitter para tal.

Como desconfiei logo de cara da forma como a mensagem chegou (em inglês), procurei sites que analisam e mostram o conteúdo de uma URL encurtada, porém, em nenhum deles, a URL original pôde ser exposta.

Em um celular antigo e sem uso cliquei na URL que me levou para uma tela de logon do twitter conforme abaixo:

wp_ss_20140310_0001

Note que neste momento é possível ver a URL de destino:

http://103.242.2.28/login/user-token-8234k89HrK1251jk922JX14895Hs55g3XSFEjfc1/twitter.com/verify-login

Neste ponto o usuário tem a falsa impressão que precisa de autenticar no twitter para poder acessar o link e aí, suas credenciais são roubadas e o resultado disso não é nada bom.

Veja a origem deste IP:

103.242.2.28 IP address location & more:

IP address:103.242.2.28

IP country code:HK

IP address country: ip address flag Hong Kong

IP address state: n/a

IP address city: n/a

ISP of this IP: Pang International Limited-AS number

Organization: Pang International Limited-AS number

Veja abaixo o IP real do t.co (encurtador de URL´s do Twitter):

image

E também as informações reais do domínio t.co:

Host of the IP: t.co

Host IP: 199.16.156.1

IP country code: US

IP address country: ip address flag United States

IP address state: California

IP address city: San Francisco

IP postcode: 94107

ISP of this IP: Twitter

Organization: Twitter

Informações mais completas né?

O autor desta tentativa de ataque deve ter se aproveitado de alguma vulnerabilidade no encurtador do twitter para isso e, não somente a mim, mas a muitos deve ter enviado esse link e, nesse caso, não temos antivirus ou técnicas avançadas que evitem isso…a pessoa tem que ver se aquilo realmente veio do seu contato e, na desconfiança, entrar em contato com ele(a).

Segundo o site www.techguru.com.br – “Trata-se da segunda grande falha do tipo XSS (cross-site scripting) somente neste mês, já que na primeira quinzena outra falha permitia que senhas dos usuários fossem roubadas através de um link malicioso.” – trecho extraído da matéria em http://www.techguru.com.br/mais-um-virus-aflige-o-twitter/ – não chega a ser um vírus, mas, sua disseminação vai depender da interação do usuário – palavras do autor do post.

Mantenha-se seguro, pense bem antes de abrir aquilo que chega pra vc! Estas recomendações são para qualquer browser ou sistema operacional…vai além da tecnologia usada.

Abraços

Uilson

 

PS: As informações dos IP´s listados acima foram coletadas no site – http://www.ip-adress.com

CategoriasNão categorizado
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 889 outros seguidores

%d blogueiros gostam disto: