Certificados SHA2 e CA Windows Server 2003

15 de agosto de 2014 Deixe um comentário

Saudações,

Hoje em um cliente, vimos uma situação que achei interessante compartilhar aqui. O ambiente consiste em Domain Controllers Windows Server 2008 R2 e uma gama de sabores de Windows espalhados pelo ambiente (desde 2003 até 2012).

Uma aplicação usada no cliente necessitava de um certificado geral internamente, porém, a origem da requisição solicitava um certificado no padrão SHA2 (CNG – Cryptography Next Geneation), o que não era possível ser gerado.

Aí você me pergunta: Porque?

Simplesmente porque o Windows Server 2003 não dá suporte ao SHA2, deixando a geração de PKI´s limitada ao SHA1. Preocupante para quem precisa de certificados para logon de smart card e autenticação TLS.

Uma workaround para este caso é a aplicação do KB938397 que coloca o Windows Server 2003 (a partir do SP2) no mesmo nível funcional do Windows XP pós service pack 3.

Como seria isso?

Antes do service pack 3, o Windows XP também não oferecia suporte ao SHA2. Pós SP3 foram inseridas algumas funcionalidades limitadas no módulo rsaenh.dll, incluindo as seguintes hashes SHA2: SHA-256, SHA-384, SHA-512. A hashe SHA-224 não foi incluída..

No KB 938397 é possível fazer o download o fix para ser instalado na sua estrutura de CA´s Windows Server 2003.

O conteúdo deste post é resultado de pesquisa no Windows PKI Blog – http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Maiores dúvidas, deixem seus comentários que responderei assim que possível.

Espero que este post possa ajudar!

Abraços,

Uilson

CategoriasNão categorizado

Appliances Celestix para Direct Access – Solução eficaz e de fácil implementação

31 de julho de 2014 Deixe um comentário

Saudações,

Ontem (30/07/2014) participei de um WebMinar entregue pelo amigo Richard Hicks sobre as funcionalidades dos appliances da Celestix Networks para implementação do Direct Access.

O produto, além de implementar o Direct Access, também permite fazer proxy reverso com Web Application Proxy e também o Remote Desktop Gateway. O Appliance vem com uma versão customizada do Windows Server 2012 R2, porém, o uso deve ser unica e exclusivamente para as finalidades citadas:

1. Uma plataforma integrada que provê acesso seguro, dinâmico e abrangente através de datacenters e núvem para usuários externos.

2. Windows Server 2012 R2 based Unified Remote Access para conexões já usadas atualmente (RRAS based VPN, DirectAccess e Web Application Proxy) pelas corporações e também suporte a BYOD (Bring your own device)

3. Implantação rápida e uma interface de gerenciamento única

4. Acesso Remoto seguro para paplicações em núvem e on-premisses

5. Acesso Site to Site VPN entre ambientes privados, núvem pública ou núvem híbrida

6. Simplifica e garante a segurança do processo de migração através de um processo fim a fim de monitoramento e auditoria da conexão estabelecida.

Considerando o tamanho de sua infra e a abrangência do seu acesso externo, o produto é uma solução eficaz que alia alta performance, eficácia e facilidade no deployment com um custo mais baixo.

Para todas as informações referentes aos appliances da Celestix Networks, bem como os modelos e a documentação, clique no link abaixo:

http://www.celestix.com/products/cloud/

Espero que as informações acima possam ajudar e ser úteis.

Abraços

Uilson

Como fica o reverse proxy pós Forefront TMG e UAG

7 de julho de 2014 Deixe um comentário

Saudações,

Tenho visto na Microsoft muitos projetos de implementação e muitas perguntas acerca de como fica a parte de proxy reverso agora que o TMG irá ser descontinuado.

As corporações até podem manter sua estrutura atual do TMG para reverse proxy até 2020 (prazo em que o suporte extendido se encerra), porém, algumas questões devem ser levadas em consideração e aí você assume (ou não) o risco.

1. O suporte ao Windows Server 2008 R2 deverá estar ativo, e as atualizações continuarão, porém, em termos de performance e até mesmo segurança entramos numa zona de risco. Como estará o cenário de segurança daqui a alguns anos, meses ou até mesmo dias? Não sabemos.

2. Os métodos de autenticação no TMG hoje estão aquém daquilo que as novas versões do Windows oferecem. Portanto, temos um decréscimo na segurança também neste ponto.

3. Qual o custo que a corporação terá que assumir para manter um sistema legado desses e quais os problemas que isso pode gerar em questões como a atualização da aplicação no servidor de destino? A atualização no servidor WEB não está atrelada a versão ou métodos que o TMG utiliza para fazer o tráfego entre a origem e o destino. Portanto, pense bem antes de assumir o risco de manter o produto se uma atualização na aplicação não irá causar erros no acesso por parte dos usuários.

4. Ainda na questão do custo, imagine que você tem um contrato de licenciamento que lhe gere um custo anual de acordo com o que você tem instalado em termos de sistema operacional e aplicações. Dependendo do tamanho da sua estrutura de proxy reverso, a manutenção do mesmo poderá gerar um custo que não seria tão alto caso você pense em migrar.

Esses são apenas alguns fatores a serem pensados por nossos clientes e nós da Microsoft estamos ajudando com essas e outras questões que aparecem de acordo com cada ambiente.

Outro ponto relevante é o caso de alguns clientes que migraram suas infras de Exchange para a versão 2013. É possível publicar o Exchange 2013 no TMG, porém, não é um cenário suportado. Caso haja problemas, a corporação não tem a cobertura da Microsoft para uma eventual análise de caso.

Para quem pensa em migrar, é interessante pensar numa solução completa que englobe todos os pontos que o Forefront TMG cobre (Inspeção de Malware, Rede, filtro de conteúdo, proxy, firewall, cache e proxy reverso).

Hoje, a solução mais interessante no que tange a preço e serviços como um todo é o UTM da Sophos – veja detalhes em www.sophos.com – que cobre praticamente todos os pontos de atuação do Forefront TMG. Tanto que o pessoal da FastVue postou um artigo com os passos para se montar um proxy reverso usando Sophos – veja em http://fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection/ .

Voltando ao universo Microsoft, a chegada do Windows Server 2012 e o Windows Server 2012 R2 veio suprir muitas lacunas deixadas com a saída do TMG. Como o conceito agora é ter sempre um ambiente seguro pensando em todas as soluções (e não só em uma), o serviço de reverse proxy pode ser oferecido a partir do próprio Windows a um custo muito mais baixo (em se tratando de licenciamento) a partir do Web Application Proxy e do ARR (Application Request Routing) do IIS 8.5.

No fim de 2013 entreguei diversos webcasts sobre o tema “Segurança para Redes Microsoft” onde dei uma pincelada nestas duas ferramentas. Você pode ver o conteúdo de uma das apresentações clicando aqui.

A proteção a suas aplicações fica mais confiável, pois, o acesso a elas dependerá de diversos fatores inclusos nas features de segurança do Windows Server 2012 R2. A autenticação via kerberos é fortalecida com o conceito de “claims”, onde o processo de autenticação vem muito mais forte do que nas versões anteriores. Veja o que há de novo em Kerberos a partir do Windows Server 2012 em http://technet.microsoft.com/en-us/library/hh831747.aspx

O Web Application Proxy faz parte da feature Remote Access do Windows Server 2012 R2 e é uma evolução do Active Directory Federation Services Proxy no Windows Server 2012. Com ele vc pode publicar aplicações usando autenticação Kerberos com claims (http://support.microsoft.com/kb/2722087) e KDC (http://technet.microsoft.com/en-us/library/cc734104(v=WS.10).aspx).

Para conhecer o produto vá em http://technet.microsoft.com/en-us/library/dn584107.aspx

Uma documentação completa com o passo a passo da implementação do WAP (Web Application Proxy) para acesso a aplicações internas vá em http://technet.microsoft.com/en-us/library/dn383650.aspx.

Um fator importante para quem vai publicar aplicações usando certificado digital. Os novos certificados SHA2 – CNG (Certificate New Generation) não são suportados pelo TMG. Além do que o conceito do SNI (Server Name Indication) fortalece a segurança para aplicações hosteadas no IIS a partir da versão 8. Para saber mais sobre o SNI clique aqui.

O WAP é a ferramenta recomendada para publicação de aplicações e para acesso remoto em SharePoint, aumentando sua segurança.

O único ponto a ponderar é que o WAP só trabalha com certificado digital, ou seja, somente aplicações SSL são tratadas pela feature. Se você publica alguma aplicação somente na porta 80 (HTTP) terá que usar alguma outra ferramenta, ou aguardar até o lançamento da próxima versão do produto que irá tratar esse tipo de requisição.

Para publicações em HTTP estamos sugerindo a manutenção do TMG ou UAG. Portanto, cabe em seu planejamento pensar nessa questão.

Uma sugestão de leitura também é o post do Ian Parramore da Microsoft sobre SSL Termination no WAP, publicado em 04/07/2014  – quando e como usar  – para ler o post clique aqui.

Sobre o Application Request Routing (ARR), confesso que ainda não tive tempo de fazer nenhum laboratório na funcionalidade, mas, se trata da viabilidade de publicar o Exchange 2013 a partir do IIS. Para conhecer sobre o produto, o link abaixo oferece a você uma série de links do site www.iis.net que irão ajuda-lo no planejamento, instalação e uso de forma geral:

http://www.iis.net/search?searchterm=arr

Espero que o conteúdo seja útil e possa ajuda-lo na fase de transição de sua infra estrutura de Rever Proxy.

Um abraço

Uilson

Saiu o Rollup 5 para o Forefront TMG Service Pack 2

1 de julho de 2014 Deixe um comentário

Saudações,

A correria do dia a dia me impediu de escrever, mas, aproveitando uma brechinha, vamos lá!

Saiu mais um pacote de atualização para o Forefront TMG no Service Pack 2. Trata-se do Rollup 5 que traz as seguintes correções:

2963805 (http://support.microsoft.com/kb/2963805/ )  FIX: Account lockout alerts are not logged after you install Rollup 4 for TMG 2010 SP2

2963811 (http://support.microsoft.com/kb/2963811/ ) FIX: The TMG Firewall service (wspsrv.exe) may crash when the DiffServ filter is enabled

2963823 (http://support.microsoft.com/kb/2963823/ ) FIX: "1413 Invalid Index" after you enable cookie sharing across array members

2963834 (http://support.microsoft.com/kb/2963834/ ) FIX: HTTPS traffic may not be inspected when a user accesses a site

2967726 (http://support.microsoft.com/kb/2967726/ ) FIX: New connections are not accepted on a specific web proxy or web listener in Threat Management Gateway 2010

2965004 (http://support.microsoft.com/kb/2965004/ ) FIX: EnableSharedCookie option doesn’t work if the Forefront TMG service runs under a specific account

2932469 (http://support.microsoft.com/kb/2932469/ ) FIX: An incorrect value is used for IPsec Main Mode key lifetime in Threat Management Gateway 2010

2966284 (http://support.microsoft.com/kb/2966284/ ) FIX: A zero value is always returned when an average counter of the "Forefront TMG Web Proxy" object is queried from the .NET Framework

2967763 (http://support.microsoft.com/kb/2967763/ ) FIX: The "Const SE_VPS_VALUE = 2" setting does not work for users if the UPN is not associated with a real domain

2973749 (http://support.microsoft.com/kb/2973749/ ) FIX: HTTP Connectivity verifiers return unexpected failures in TMG 2010

O download do fix pode ser feito em http://support.microsoft.com/kb/2954173/en-us

Não perca tempo, a atualização é mais que recomendada e vai evitar problemas no seu dia a dia.

Após a atualização o build vai para a versão 7.0.9193.644.

Abraços

Uilson

Levantamento de dados de um ISA Server ou Forefront TMG com ISAInfo

26 de maio de 2014 Deixe um comentário

Saudações,

Apesar do fim do ISA Server e do Forefront TMG, muitos clientes ainda o usam e nós da Microsoft estamos atuando em diversas frentes que consistem em apoiar os clientes que pretendem permanecer usando o produto e também para aqueles que irão migrar.

Estamos ajudando corporações mostrando as opções que eles têm na troca do Forefront TMG desmembrando os serviços.

Para VPN, Acesso Remoto e proxy Reverso, o Windows Server 2012 R2 cobre todos esses pontos a um preço muito mais baixo que a concorrência e com eficácia igual ou superior. Para URL Filtering, é possível obter o mesmo serviço usando o Windows Intune.

Para continuidade do acesso internet via proxy, aí não tem jeito, os clientes têm de procurar por soluções de terceiros e nosso papel na função de DSE (Dedicated Support Engineer) é cooperar para que essa transição ocorra da melhor forma possível.

E como fazemos isso?

Em diversos clientes com grandes estruturas de ISA Server e/ou Forefront TMG, é necessário mapear de forma eficaz o que se tem configurado em seu servidor.

A equipe de projetos que irá implementar a nova funcionalidade de proxy precisa saber quais as regras criadas no ambiente atual que será decomissionado, qual a origem delas e o destino, quais os protocolos que as regras usam para definir um tipo de acesso, etc.

Quando falamos de portas personalisadas, é necessário informar de forma clara aos responsáveis pela nova estrutura quais são e como funcionam.

A grosso modo a única forma que um servidor ISA Server 2006 ou Forefront TMG provê essas informações é através do export do array ou parte dele (regras, networking, etc) para um arquivo XML. Entretando, ler um arquivo XML é meio complicado, leva tempo e alguns pontos podem ser meio complicados pra ler e a formatação vira um verdadeiro calvário.

Se você está nessa toada, eu aconselho o uso do ISAInfo. Essa ferramenta é de grande ajuda para coletar todos os dados de um array ISA Server ou Forefront TMG.

Antes que me perguntem…sim, tem muito lugar ainda usando o ISA Server 2006 e até ano passado eu atendia clientes com proxy e cache no ISA Server 2004. O mundo não é esse glamour né?

Mas, voltando ao ISAInfo, o processo de coleta de informações é muito simples. Vamos fazer uma coleta passo a passo para que você que está em fase de migração possa entregar todas as informações necessárias.

Vale também para quem quer documentar o ambiente porque ainda vai ficar com ele por algum tempo e quer ter mapeado tudo o que foi criado nele.

A ferramenta pode ser baixada do site http://isatools.org na aba ISA 2006 Tools. Ali você encontra uma série de utilitários para auxilia-lo na administração do seu proxy ISA Server 2000, ISA Server 2004, ISA Server 2006 e Forefront TMG (Standar, Enterprise e MBE editions).

Vale ressaltar que o Jim Harisson estará tirando este site do ar em 08 de agosto deste ano por questões que ele mesmo explica na página inicial. Caso você leia este post em data posterior a esta, deixe seu comentário aqui que eu disponibilizo a ferramenta em meu OneDrive.

Para este exemplo iremos usar o meu ambiente de laboratório onde tenho um servidor Windows Server 2008 R2 com o Forefront TMG 2010.

1. Gerando o backup do array (Export em XML)

Para este exemplo vamos gerar um backup de todo o array do Forefront TMG.

Clique com o botão direito do mouse sobre o array name do seu Forefront TMG e escolha a opção Export (Back Up):

image

No Welcome Screen, clique em Next:

image

Na tela Export Preferences, defina se vai usar uma senha e se vai exportar as configurações de permissão do usuário e clique em Next:

image

OBS: Definindo ou não uma senha neste ponto será irrelevante, pois as informações serão expostas no ISAInfo sem solicitação da mesma.

Na tela Export File Location defina a pasta e o nome do arquivo. Você também pode clicar em “Browse…” para definir pela interface gráfica o destino do seu arquivo. Feito isso clique em Next:

image

Na tela Completing the Export Wizard clique em Finish:

image

A barra de progesso abaixo indica que o arquivo XML que vc definiu anteriormente está sendo criado. Ao final da execução clique em OK:

image

Agora que você gerou o backup (export) do seu servidor Forefront TMG, você irá enfim iniciar o ISAInfo e a partir dele fazer a leitura do XML. No download do arquivo (conforme explicado acima neste post) vc ira receber um arquivo isainfo.zip. Descompacte o arquivo em uma pasta de sua preferência e veja que ele vai extrair 3 arquivos conforme abaixo:

image

O ISAInfo.hta é a ferramenta ISAInfo propriamente dita. Nele você vai carregar o XML gerado anteriormente para visualizar as informações desejadas.

O outro arquivo é o ISAInfo.js – um script que você pode usar para gerar o XML com as informações do seu proxy server, caso não queira fazer como foi ensinado acima.

O arquivo Readme.txt traz as sintaxes e opções a serem usadas com o ISAInfo.js.

Em nosso exemplo, iremos executar diretamente o arquivo ISAInfo.hta pois já geramos o XML. Ao dar o duplo clique no arquivo, a ferramenta irá abrir já solicitando o arquivo XML. Selecione o arquivo que você criou anteriormente e clique em Open:

image

Pronto! Você tem acesso a todas as informações de configuração criadas no seu ISA Server ou Forefront TMG:

image

Viram como o processo é simples? Melhor que ficar lendo arquivo XML né?

Aí você decide como vai fazer para entregar estas informações ou como vai guarda-las. Para transportar para um arquivo DOCX do Word tem que ser na unha mesmo (copy/paste). Se você se sente confortável em entregar o XML com a ferramenta para o responsável pela migração e se ele souber interpretar o conteúdo (o que, digamos, não é nenhum bicho de sete cabeças), fica por sua conta.

Espero que o conteúdo ajude a você que ainda usa ISA Server ou Forefront TMG e vai migrar a parte de proxy para uma solução de terceiros, ou ainda pensa em manter o produto e quer documentar as configurações feitas.

Meu agradecimento ao MPV Richard Hicks pelas dicas!

Um abraço

Uilson

Mudança no roadmap do Forefront Identity Manager e o fim da última ferramenta da brand Forefront

24 de abril de 2014 Deixe um comentário

Saudações,

Hoje a Microsoft anuncia alterações no roadmap do produto Forefront Identity Manager que teria um update para meados de 2015 conforme anunciado em Dezembro de 2013.

O Forefront Identity Manager, desenhado para fornecer acesso seguro a informações corporativas com gerenciamento de identidade foi movido para uma nova brand dentro da Microsoft, acabando de vez (segundo percebi) com toda suíte de produtos Forefront.

Diferente dos outros produtos que foram descontinuados e/ou movidos para suítes do Exchange e System Center, a nova versão será totalmente voltanda gerenciamento híbrido no que tange a Cloud Computing e dando mobilidade aos usuários para acesso via dispositivos móveis variados, sendo todos eles totalmente gerenciados.

Haverá tb a possibilidade de conexão com recursos hosteados no Microsoft Azure e muito mais.

A nova versão chegará com o nome Microsoft Identity Manager e para maiores detalhes cosulte o comunicado na íntegra postado pela equie Microsoft Server and Cloud Platform clicando aqui.

Abraços

Uilson 

CategoriasAnuncios, Segurança

Sobre filtros web de terceiros no Forefront TMG ou ISA Server

9 de abril de 2014 Deixe um comentário

Saudações,

Como não é mais segredo para quem me acompanha, comecei dia 25 de fevereiro deste ano como Green Badge Engineer na Microsoft. Durante este ano estarei alocado em clientes Microsoft como Premier Field Engineer cuidando da parte de segurança com suporte a ferramentas como Forefront TMG, AD RMS, AD FS, IIS e a parte de patche management. Com um bom trabalho e uma ajudinha do Papai do Céu, quem sabe não fico em definitivo!

A idéia deste post é mostrar casos que ainda se repetem em clientes que optaram por manter o Forefront TMG por mais algum tempo, fazendo a integração do mesmo com outras ferramentas para a parte de secure web gateway, como Filtro de Conteúdo por exemplo.

Para casos envolvendo o Forefront TMG, é muito dificil que um problema como esses ocorra, salvo pela falta de atualização do plug-in de terceiros e/ou problemas na própria instalação.

No que tange ao ISA Server 2006, é fundamental que a instalação não tenha nenhum tipo de erro e que a última versão do plug-in para ISA esteja instalado. Para maiores detalhes, procure informações com o fabricante do filtro de conteúdo terceiro e veja se a versão que vc usa é a correta.

Normalmente uma instalação danificada do plug-in, ou uma versão mais antiga sem suporte aos novos tipos de requisição e acessos, vai fazer com que o usuário final sinta latência em seus acessos ou até mesmo receba uma mensagem de “access denied” mesmo para sites permitidos pelas políticas.

Dependendo do problema, o plug-in pode também enfileirar requisições até consumir todos os recursos disponíveis do servidor, causando o crash do serviço do ISA ou TMG (mais comum no ISA  Server que, neste caso, divide sua engine no Kernel mode com a do plug-in).

Normalmente o restart do serviço resolve, mas, esse problema, se não tratado, começa a ocorrer com frequência afetando toda massa de usuários e causando os mais variados dissabores. Neste caso, prevenção e busca da solução definitiva é a única saída.

Veja abaixo os erros que podem ocorrer (os log´s abaixo são de uma infra estrutura grande de ISA Server, ainda em uso em um cliente):

Event Type:            Error

Event Source:        Microsoft Firewall

Event Category:    None

Event ID: 14057

Date:                      4/3/2014

Time:                      11:30:17 AM

User:                       N/A

Computer:            

Description:

The Firewall service stopped because an application filter module C:\Program Files\Microsoft ISA Server\w3filter.dll generated an exception code C0000005 in address 6472F7A3 when function CompleteAsyncIO was called. To resolve this error, remove recently installed application filters and restart the service.

No erro acima pode se ver que o filtro do próprio ISA é o primeiro a ser impactado pelo filtro de terceiros. Após a parada no w3filter.dll, ocorre o erro abaixo:

Event Type:            Error

Event Source:        Microsoft Firewall

Event Category:    None

Event ID: 14007

Date:                      4/3/2014

Time:                      11:30:17 AM

User:                       N/A

Computer:            

Description:

A shortage of available memory caused the Firewall service to fail. The ISA Server computer cannot support additional connections for the server. The Event Viewer Data window displays the number of active connections.

O erro acima mostra que o filtro de terceiros foi enfileirando requisições por não conseguir trata-las e consumiu todos os recursos do servidor. Após esse erro, pode ser encontrado outro conforme abaixo:

Event Type:            Error

Event Source:        Microsoft ISA Server 2006

Event Category:    None

Event ID: 1000

Date:                      4/3/2014

Time:                      11:30:20 AM

User:                       N/A

Computer:            

Description:

Faulting application wspsrv.exe, version 5.0.5723.527, stamp 4f7071bd, faulting module w3filter.dll, version 5.0.5723.527, stamp 4f70717d, debug? 0, fault address 0x0003f7a3.

O erro acima mostra o momento em que, influenciado pelo filtro w3filter.dll, o processo do proxy cai.

Caso o problema esteja ocorrendo por erros na própria instalação do plug-in ou por falta de alguma biblioteca da mesma, o erro abaixo ocorre (para quem usa web filter que encaminha para um WebSense Server):

Event Type:            Information

Event Source:        Websense-ISA

Event Category:    None

Event ID: 4096

Date:                      4/3/2014

Time:                      2:46:29 PM

User:                       N/A

Computer:            

Description:

The description for Event ID ( 4096 ) in Source ( Websense-ISA ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details. The following information is part of the event: Webfilter initialized..

Usar plug-in de web filters de terceiros é totalmente viável, mas, recomendo fortemente  que, se ainda usam ISA Server e entendem que o TMG pode suporta-los por algum tempo, que migrem o mais rápido possível. O uso do ISA Server fica muito limitad a uma plataforma 32 bits que a muito não suporte grandes cargas de acesso.

Caso contrário, analise no mercado a solução de proxy e secure web gateway que vai de encontro a suas necessidades, lembrando que, para publicação de aplicações, o Web Application Proxy do Windows Server 2012 R2 e o Application Request Routing do IIS 8.5 (para publicação de OWA) são opções eficazes e baratas para supir parte daquilo que o Forefront TMG faz em sua estrutura.

Abraços

Uilson

CategoriasNão categorizado
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 900 outros seguidores

%d blogueiros gostam disto: