Correções recentes para Web Application Proxy e ADFS

15 de outubro de 2014 Deixe um comentário

Saudações,

Após minha palestra sobre Web Application Proxy para o MVP Show Cast (clique aqui para ler o resumo e também para ter acesso ao video), postei um artigo no TechNet Wiki sobre como implementar o WAP e seus pré-requisitos. Para ler o artigo clique aqui.

Durante este período de uso da ferramenta, alguns problemas foram reportados e documentados pela Microsoft. A resolução dos mesmos se dá com a aplicação do KB2975719, lançado em agosto deste ano. Este update vem a corrigir também problemas nas versões Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2.

O link para o KB – http://support.microsoft.com/kb/2975719

Para quem usa o Web Application Proxy com ADFS, abaixo a lista de problemas reportdos que são resolvidos com o KB citado:

Update to enable or disable the HttpOnly feature for a WAP or an application in Windows Server

http://support.microsoft.com/kb/2982037

Expired certificates cannot be removed when automatic certificate rollover is disabled in Windows Server 2012 R2

http://support.microsoft.com/kb/2976996

You cannot sign in to a web application when you use certificate authentication method in Windows Server 2012 R2

http://support.microsoft.com/kb/2975066

2971171 ADFS authentication issue for Active Directory users when extranet lockout is enabled

http://support.microsoft.com/kb/2971171

ExtendedProtectionTokenCheck setting keeps being disabled in AD FS 3.0 in Windows Server 2012 R2

http://support.microsoft.com/kb/2978096

You are prompted to re-enter credentials frequently when using Work Folders by using ADFS authentication in Windows 8.1

http://support.microsoft.com/kb/2975719

You cannot log on to an AD FS server when you use an alternative UPN suffix account in Windows Server 2012 R2

http://support.microsoft.com/kb/2980756

AD FS cannot start on a non-English language-based server in Windows Server 2012 R2 or Windows Server 2008 R2

http://support.microsoft.com/kb/2975070

Update to support the SAML sender-vouches token in STS on a Windows Server 2012 R2-based AD FS server

http://support.microsoft.com/kb/2975067

Single Sign-On is available for Office 365 users to access SharePoint Online sites in Windows 2012 R2

http://support.microsoft.com/kb/2958298

Para os próximos posts vamos falar sobre o passo a passo na publicação de aplicações com pré-autenticação e via Passthrough.

Iremos tratar também das mudanças implementadas no Windows Server Technical Preview para o WAP e o ADFS.

Abraços

Uilson

Resumo da minha palestra sobre Web Application Proxy no MVP ShowCast 2014

24 de setembro de 2014 3 comentários

Saudações,

Na última segunda (22/09/2014) entreguei a palestra “Proxy Reverso com Web Application Proxy no Windows Server 2012 R2”. Tivemos uma audiência de 10 pessoas que conseguiram me aguentar até o final e aprender um pouco sobre como proteger suas aplicações que precisam ser acessadas externamente.

Falei sobre o conceito do produto – Uma função agregada à role Remote Access do Windows Server 2012 R2 – e finalidade dentro da corporação, possibilitando acessar aplicações corporativas de qualquer lugar com qualquer dispositivo (notebook, tablets, smart phones).

Mostrei sua integração ao Active Directory Federation Services 3.0 (o usando como base de dados e para autorização e pré-autenticação).

Mostrei também que é possível fazer a pré-autenticação usando Claims-based identity, MSFBA, OAuth, KCD e Client Certificate Authentication (via ADFS) e passthrough (acesso direto do WAP Server ao BackEnd Server). É possível também (via Power Shell) fazer a autenticação via certificado a partir do próprio WAP.

Mostrei também a topologia mais adequada ao produto:

image

Mantenha sempre o WAP em uma DMZ com um back-firewall protegendo sua rede interna e assim as requisições que chegam ao proxy reverso e não são autorizadas e pré-autenticadas pelo ADFS interno, não são passadas ao rede local.

Falei que o WAP também atua como um AD FS Proxy – lembrando que a partir do Windows Server 2012 R2, o AD FS Proxy não existe mais, cabendo ao WAP este papel.

Foi falado da atenção que se deve ter na questão do deployment do WAP. Você precisa conecta-lo a um ADFS pré-definido para pré-autenticação, autorização e para base de dados do produto. Mostramos que, para que essa parte seja bem sucedida vc precisa ter instalado no WAP o certificado do seu ADFS interno e também apontar para ele através do ADFS Name (e não com o hostname da máquina…erro esse que até eu cometi). Além disso é necessário que o WAP Server e o ADFS interno se comuniquem a partir das portas 80, 443 e 49443 (para client certificate autentication).

Mostrei o passo a passo da instalação do WAP e as configurações iniciais que devem ser feitas. Além disso, mostrei algumas limitações do produto que deverão ser corrigidas na próxima versão.

Os contratempos

Como em todas as áreas da vida, a lei de Murphy também afeta os evangelistas técnicos, os MVP´s e MTAC´s como eu. No momento da Palestra meu note não se conectava a sala de transmissão, visto estarmos usando o LiveMeeting e, por muito pouco não tivemos que cancelar a apresentação.

Para evitar esse desastre, e para minha sorte, tinha outro notebook com o client do LiveMeeting instalado e aí foi possível entregar a palestra, porém, não tive tempo de migrar minhas VM´s de um lado para o outro….dessa forma, não foi possível fazer a demo que preparei. Só espero que meu amigo MVP Alberto Oliveira não me estrangule…rs..rs..rs…

Brincadeiras a parte, consegui demonstrar o processo de publicação de aplicações via passthrough a partir de screen shots. Não foi como eu queria, mas, deu pra mostrar algo.

O que me esqueci de falar nesse desespero todo:

1 – Cuidado com a parte de certificados digitais que fazem o trust entre ADFS e WAP. Apesar de ter dito que é necessário ter a chave privada exportável, eu me esqueci de dizer que, qualquer alteração de certificado no ADFS afeta o WAP, visto que, o Federation Services só valida as alterações de certificado no http.sys após uma série de comandos power shell (problema este que será resolvido na próxima versão do produto).

2 – Me esqueci de falar que o WAP não deve ser inserido no domínio, a menos que você vá autenticar na aplicação a partir de KCD (Kerberos Constrained Delegation)…nesse caso é imprescindível que o WAP seja inserido em seu domínio.

Continuando

Fiz um pequeno overview do Azure AD Application Proxy. A ferramenta de proxy reverso do Microsoft Azure que faz o mesmo papel do WAP, porém, totalmente voltado para núvem.

Após a palestra, eu e o Luciano Lima (moderador) falamos sobre os programas Microsoft para disseminação de conteúdo, tais como o Programa MVP, o MVP Mentoring, o Microsoft Curah e o Microsoft Virtual Academy.

Diferente das outras palestras que entreguei, nesta eu só mostrei os links de referência para estudo no final. E para agilizar o Luciano Lima criou um curah com todos os links da minha apresentação e neles você terá um vasto material para aprendizado do WAP, podendo inclusive ver videos e montar seu laboratório de testes.

Para acessar curah criado pelo Luciano Lima, clique no link http://curah.microsoft.com/210943/mvp-showcast-2014-proxy-reverso-com-web-application-proxy-no-windows-server-2012-r2

Para assistir o video da palestra, basta acessar o mesmo link no qual foi feito a inscrição. Ao entrar na página, você deverá clicar no botão “exibir online” na parte direita da tela e será direcionado a área de download.

Como falei posteriormente, o aprendizado do WAP requer um conhecimento no AD Federation Services. Dessa forma disponibilizei uma página no Curah da Microsoft onde você encontra dois links com vasto conteúdo sobre a ferramenta e também o passo a passo para deployment. Clique no link abaixo:

http://curah.microsoft.com/211422/windows-server-2012-r2-passo-a-passo-instalando-o-active-directory-federation-services-30

Para os próximos dias estarei trabalhando numa série de posts sobre WAP e ADFS que serão publicados não só aqui, mas também nos canais que escrevo (TechNet Wiki e CooperaTI).

Finalizando, queria agradecer ao amigo Alberto Oliveira pela nova oportunidade (espero contribuir em outros eventos) e ao Luciano Lima pela imensa ajuda na moderação da palestra!

Espero que o conteúdo ajude e até a próxima!

Abraços

Uilson

Funcionalidades de Proxy no Windows 8.1

2 de setembro de 2014 2 comentários

Saudações,

No fim do ano passado, o mestre Fábio Hara precisava de alguém que falasse sobre as funcionalidades de proxy no Windows 8.1 em um mini treinamento online. Aceitei a incumbência e fiz o trabalho. O video inicialmente está no site do Channel9 da Microsoft. Em breve deverá fazer parte de um treinamento do MVA, ainda não definido.

Entretanto, já é possível assisti-lo e tirar suas dúvidas com relação a essa funcionalidade. Clique na imagem abaixo e assista esse mini treinamento:

image

Espero que o video possa ser útil e ajudar a otimizar as suas tarefas diárias.

Abraços

Uilson

MVP ShowCast 2014 – Estarei lá novamente!

25 de agosto de 2014 Deixe um comentário

Saudações,

Mais uma vez o grupo MVP (Most Valuable Professional) da Microsoft promove o evento MVP ShowCast! Uma grande quantidade de palestras para ITPro´s e profissionais de DEV com ênfase em ferramentas Microsoft. Nestas palestras você verá algumas melhores práticas e dicas de implementação que vão ajudar no seu dia a dia.

Serão 64 webcast´s que ocorrerão entre os dias 15 de setembro a 09 de outubro de 2014, sempre as 12:00 hs e as 20:00 hs.

Como no ano passado, mais uma vez tive a honra de ser convidade para palestrar e este ano estarei falando sobre Web Application Proxy – nova feature de reverse proxy do Windows Server 2012 R2.

Se você ainda usa o Forefront TMG para reverse proxy e está a procura de uma opção para substitui-lo, não perca minha palestra que ocorrerá no dia 22 de setembro as 20:00 hs com moderação do meu amigo MVP Alberto Oliveira. Para se inscreverem na minha palestra basta clicar na imagem abaixo e você será direcionado a página de inscrição:

banner

Além da minha palestra teremos temas muito importantes e interessantes a ser tratados que recomendo a você que não perca! Para tal, visite a página do MVP ShowCast 2014, veja todas as trilhas e faça a sua inscrição nas palestras de seu interesse. Clique aqui para ser direcionado ao site do MVP Show Cast.

Espero que, aqueles que se inscreverem na minha trilha gostem do conteúdo, pois, estou fazendo o meu melhor para oferecer um conteúdo dos melhores para ajudar a tantos quantos for possível!

Um bom evento a todos e um abraço!

Uilson

Certificados SHA2 e CA Windows Server 2003

15 de agosto de 2014 Deixe um comentário

Saudações,

Hoje em um cliente, vimos uma situação que achei interessante compartilhar aqui. O ambiente consiste em Domain Controllers Windows Server 2008 R2 e uma gama de sabores de Windows espalhados pelo ambiente (desde 2003 até 2012).

Uma aplicação usada no cliente necessitava de um certificado geral internamente, porém, a origem da requisição solicitava um certificado no padrão SHA2 (CNG – Cryptography Next Geneation), o que não era possível ser gerado.

Aí você me pergunta: Porque?

Simplesmente porque o Windows Server 2003 não dá suporte ao SHA2, deixando a geração de PKI´s limitada ao SHA1. Preocupante para quem precisa de certificados para logon de smart card e autenticação TLS.

Uma workaround para este caso é a aplicação do KB938397 que coloca o Windows Server 2003 (a partir do SP2) no mesmo nível funcional do Windows XP pós service pack 3.

Como seria isso?

Antes do service pack 3, o Windows XP também não oferecia suporte ao SHA2. Pós SP3 foram inseridas algumas funcionalidades limitadas no módulo rsaenh.dll, incluindo as seguintes hashes SHA2: SHA-256, SHA-384, SHA-512. A hashe SHA-224 não foi incluída..

No KB 938397 é possível fazer o download o fix para ser instalado na sua estrutura de CA´s Windows Server 2003.

O conteúdo deste post é resultado de pesquisa no Windows PKI Blog – http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Maiores dúvidas, deixem seus comentários que responderei assim que possível.

Espero que este post possa ajudar!

Abraços,

Uilson

CategoriasNão categorizado

Appliances Celestix para Direct Access – Solução eficaz e de fácil implementação

31 de julho de 2014 Deixe um comentário

Saudações,

Ontem (30/07/2014) participei de um WebMinar entregue pelo amigo Richard Hicks sobre as funcionalidades dos appliances da Celestix Networks para implementação do Direct Access.

O produto, além de implementar o Direct Access, também permite fazer proxy reverso com Web Application Proxy e também o Remote Desktop Gateway. O Appliance vem com uma versão customizada do Windows Server 2012 R2, porém, o uso deve ser unica e exclusivamente para as finalidades citadas:

1. Uma plataforma integrada que provê acesso seguro, dinâmico e abrangente através de datacenters e núvem para usuários externos.

2. Windows Server 2012 R2 based Unified Remote Access para conexões já usadas atualmente (RRAS based VPN, DirectAccess e Web Application Proxy) pelas corporações e também suporte a BYOD (Bring your own device)

3. Implantação rápida e uma interface de gerenciamento única

4. Acesso Remoto seguro para paplicações em núvem e on-premisses

5. Acesso Site to Site VPN entre ambientes privados, núvem pública ou núvem híbrida

6. Simplifica e garante a segurança do processo de migração através de um processo fim a fim de monitoramento e auditoria da conexão estabelecida.

Considerando o tamanho de sua infra e a abrangência do seu acesso externo, o produto é uma solução eficaz que alia alta performance, eficácia e facilidade no deployment com um custo mais baixo.

Para todas as informações referentes aos appliances da Celestix Networks, bem como os modelos e a documentação, clique no link abaixo:

http://www.celestix.com/products/cloud/

Espero que as informações acima possam ajudar e ser úteis.

Abraços

Uilson

Como fica o reverse proxy pós Forefront TMG e UAG

7 de julho de 2014 1 comentário

Saudações,

Tenho visto na Microsoft muitos projetos de implementação e muitas perguntas acerca de como fica a parte de proxy reverso agora que o TMG irá ser descontinuado.

As corporações até podem manter sua estrutura atual do TMG para reverse proxy até 2020 (prazo em que o suporte extendido se encerra), porém, algumas questões devem ser levadas em consideração e aí você assume (ou não) o risco.

1. O suporte ao Windows Server 2008 R2 deverá estar ativo, e as atualizações continuarão, porém, em termos de performance e até mesmo segurança entramos numa zona de risco. Como estará o cenário de segurança daqui a alguns anos, meses ou até mesmo dias? Não sabemos.

2. Os métodos de autenticação no TMG hoje estão aquém daquilo que as novas versões do Windows oferecem. Portanto, temos um decréscimo na segurança também neste ponto.

3. Qual o custo que a corporação terá que assumir para manter um sistema legado desses e quais os problemas que isso pode gerar em questões como a atualização da aplicação no servidor de destino? A atualização no servidor WEB não está atrelada a versão ou métodos que o TMG utiliza para fazer o tráfego entre a origem e o destino. Portanto, pense bem antes de assumir o risco de manter o produto se uma atualização na aplicação não irá causar erros no acesso por parte dos usuários.

4. Ainda na questão do custo, imagine que você tem um contrato de licenciamento que lhe gere um custo anual de acordo com o que você tem instalado em termos de sistema operacional e aplicações. Dependendo do tamanho da sua estrutura de proxy reverso, a manutenção do mesmo poderá gerar um custo que não seria tão alto caso você pense em migrar.

Esses são apenas alguns fatores a serem pensados por nossos clientes e nós da Microsoft estamos ajudando com essas e outras questões que aparecem de acordo com cada ambiente.

Outro ponto relevante é o caso de alguns clientes que migraram suas infras de Exchange para a versão 2013. É possível publicar o Exchange 2013 no TMG, porém, não é um cenário suportado. Caso haja problemas, a corporação não tem a cobertura da Microsoft para uma eventual análise de caso.

Para quem pensa em migrar, é interessante pensar numa solução completa que englobe todos os pontos que o Forefront TMG cobre (Inspeção de Malware, Rede, filtro de conteúdo, proxy, firewall, cache e proxy reverso).

Hoje, a solução mais interessante no que tange a preço e serviços como um todo é o UTM da Sophos – veja detalhes em www.sophos.com – que cobre praticamente todos os pontos de atuação do Forefront TMG. Tanto que o pessoal da FastVue postou um artigo com os passos para se montar um proxy reverso usando Sophos – veja em http://fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection/ .

Voltando ao universo Microsoft, a chegada do Windows Server 2012 e o Windows Server 2012 R2 veio suprir muitas lacunas deixadas com a saída do TMG. Como o conceito agora é ter sempre um ambiente seguro pensando em todas as soluções (e não só em uma), o serviço de reverse proxy pode ser oferecido a partir do próprio Windows a um custo muito mais baixo (em se tratando de licenciamento) a partir do Web Application Proxy e do ARR (Application Request Routing) do IIS 8.5.

No fim de 2013 entreguei diversos webcasts sobre o tema “Segurança para Redes Microsoft” onde dei uma pincelada nestas duas ferramentas. Você pode ver o conteúdo de uma das apresentações clicando aqui.

A proteção a suas aplicações fica mais confiável, pois, o acesso a elas dependerá de diversos fatores inclusos nas features de segurança do Windows Server 2012 R2. A autenticação via kerberos é fortalecida com o conceito de “claims”, onde o processo de autenticação vem muito mais forte do que nas versões anteriores. Veja o que há de novo em Kerberos a partir do Windows Server 2012 em http://technet.microsoft.com/en-us/library/hh831747.aspx

O Web Application Proxy faz parte da feature Remote Access do Windows Server 2012 R2 e é uma evolução do Active Directory Federation Services Proxy no Windows Server 2012. Com ele vc pode publicar aplicações usando autenticação Kerberos com claims (http://support.microsoft.com/kb/2722087) e KDC (http://technet.microsoft.com/en-us/library/cc734104(v=WS.10).aspx).

Para conhecer o produto vá em http://technet.microsoft.com/en-us/library/dn584107.aspx

Uma documentação completa com o passo a passo da implementação do WAP (Web Application Proxy) para acesso a aplicações internas vá em http://technet.microsoft.com/en-us/library/dn383650.aspx.

Um fator importante para quem vai publicar aplicações usando certificado digital. Os novos certificados SHA2 – CNG (Certificate New Generation) não são suportados pelo TMG. Além do que o conceito do SNI (Server Name Indication) fortalece a segurança para aplicações hosteadas no IIS a partir da versão 8. Para saber mais sobre o SNI clique aqui.

O WAP é a ferramenta recomendada para publicação de aplicações e para acesso remoto em SharePoint, aumentando sua segurança.

O único ponto a ponderar é que o WAP só trabalha com certificado digital, ou seja, somente aplicações SSL são tratadas pela feature. Se você publica alguma aplicação somente na porta 80 (HTTP) terá que usar alguma outra ferramenta, ou aguardar até o lançamento da próxima versão do produto que irá tratar esse tipo de requisição.

Para publicações em HTTP estamos sugerindo a manutenção do TMG ou UAG. Portanto, cabe em seu planejamento pensar nessa questão.

Uma sugestão de leitura também é o post do Ian Parramore da Microsoft sobre SSL Termination no WAP, publicado em 04/07/2014  – quando e como usar  – para ler o post clique aqui.

Sobre o Application Request Routing (ARR), confesso que ainda não tive tempo de fazer nenhum laboratório na funcionalidade, mas, se trata da viabilidade de publicar o Exchange 2013 a partir do IIS. Para conhecer sobre o produto, o link abaixo oferece a você uma série de links do site www.iis.net que irão ajuda-lo no planejamento, instalação e uso de forma geral:

http://www.iis.net/search?searchterm=arr

Espero que o conteúdo seja útil e possa ajuda-lo na fase de transição de sua infra estrutura de Rever Proxy.

Um abraço

Uilson

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 921 outros seguidores

%d blogueiros gostam disto: