ITPro–abra sua mente a uma nova maneira de enxergar infra estrutura de TI

25 de janeiro de 2016 4 comentários

Saudações,

Antes de qualquer coisa, espero que todos os leitores deste blog tenham tido um excelente início de 2016 e que o decorrer dele venha com muito sucesso e realizações!

Depois de uma pausa nos posts, voltamos com as baterias carregadas para compartilhar o máximo possível e ajudar a comunidade técnica.

Nos dias 19 e 20 de janeiro estive no evento Microsoft Cloud Roadshow, onde tivemos conteúdos diversos sobre infra estrutura, virtualização e principalmente muito cloud computing. E justamente nesses dois dias saí com uma nova visão do futuro do profissional de infra no mercado de TI…cada vez mais, os cliques com o mouse irão diminuir e ao contrário do que se imaginava a menos de 5 anos atrás, você só estará em dia com as novas demandas do mercado se for especializado em ferramentas de script…no nosso caso PowerShell.

Apenas para exemplificar, na última sessão do evento, o Vinícius Apolinário perguntou quem já tinha conhecimento aprofundado em infraestrutura como código…praticamente ninguém ergueu a mão…e eu me incluo nessa. O conselho dado foi se aprofundar no estudo de Infra estrutura como código, ou seja, automatização de tarefas e implementação de servidores/ambientes via PowerShell DSC (Desired State Configuration).

Dessa forma, vc vai se preocupar muito mais com o workload de um servidor, do que com toda a parte de deployment a qual estamos sujeitos no momento em que se decide usar e implementar o Windows Server de forma completa, com interface gráfica.

Uma curiosidade que nos foi exposta pelo pessoal da Microsoft foi justamente a mudança de pensamento que entrou em vigor já no momento em que a infra do Microsoft Azure foi criada. Pode ser meio óbvio pra você e até mesmo algo sem nexo, mas, os Program Managers, ao começar os trabalhos de idealização da infra estrutura de cloud da empresa, verificaram que, um Windows Server em modo gráfico demora muito a instalar e gasta uma parte significativa de storage e performance de um equipamento.

Mais uma vez, parece algo óbvio e tardio da parte deles, mas, esse pensamento foi fundamental para o sucesso do Azure hoje. Uma estrutura de cloud no padrão IaaS em que você tem a responsabilidade sobre seus servidores poderá, um dia, ter a necessidade de um aumento na mesma, sendo que, esse aumento precisa ser dinâmico. Para quem trabalha com plafatorma e suas aplicações começam a requerer mais performance e a escalabilidade é lenta, seu negócio e resposta ao cliente tendem a serem lentas também.

Dessa forma, e muito rapidamente, servidores sem interface gráfica serão o padrão dos próximos anos.

A partir do Windows Server 2016 (hoje do Technical Preview 4), o conceito de Containers será fortemente usado para criação de infra estruturas de aplicação. Para isso, juntamente com o Windows Server, virá uma instalação própria a esse conceito chamada Nano Server.

Com Nano Server, você pode montar um servidor IIS para suas aplicações em poucos minutos a partir de uma linha de comando Power Shell. Usando também o Power Shell Desired State Configuration, você poderá otimizar a montagem de sua infra estrutura de acordo com a necessidade do momento.

Na minha página pessoal do facebook (http://facebook.com/usouzajr) tenho postado diversos links sobre Nano Server com muita informação relevante sobre o tema.

Abaixo vou deixar uns links sobre Nano Server, PowerShell DSC e containers para que vocês possam examinar, estudar e montar seus laboratórios:

1. Diversos Videos sobre Nano Server – https://channel9.msdn.com/Search?term=Nano%20Server#ch9Search

2. Getting Started with Nano Server – https://technet.microsoft.com/en-us/library/mt126167.aspx

3. Diversos videos sobre Containers – https://channel9.msdn.com/Search?term=Containers#ch9Search

4. Sobre PowerShell DSC – https://technet.microsoft.com/pt-br/library/Dn249912.aspx

5. Videos de PowerShell DSC – https://channel9.msdn.com/Search?term=PowerShell%20DSC#ch9Search

6. Neste link, um post do MTAC Gustavo Montesdioca sobre o evento Microsoft Cloud Roadshow e os links das palestras para quem não esteve lá – http://www.gm9.com.br/2016/01/22/perdeu-o-cloud-roadshow-sao-paulo-veja-como-assistir-e-saiba-como-foi/

7. Outro link para um post sensacional do MTAC Gustavo Montesdioca onde fala das novas competências dos profissionais de Infra – http://www.gm9.com.br/2015/11/17/quais-sao-as-novas-competencias-dos-profissionais-de-ti/

E ainda sobre containers, o link abaixo traz uma apresentação do Fábio Hara no evento ocorrido esse ano sobre Windows Server vNext:

https://channel9.msdn.com/Blogs/TechNet-Series/Windows-Server-vNext

Eu não ia começar o ano escrevendo aqui, mas, após assistir o evento dos dias 19 e 20 de janeiro deste ano, achei muito importante partilhar esse conteúdo com vocês. A vida e o cotidiano do ITPro vai mudar de forma sensível e temos que nos preparar para isto.

Nos próximos dias, vai ao ar um post em inglês que estou escrevendo para o portal FastVue.co sobre configuração de Kerberos Constrained Delegation para infra de servidores Web Application Proxy.

Espero que o conteúdo seja útil e possa criar em vc novos conceitos do nosso dia a dia.

Um abraço

Uilson

Categorias:Não categorizado

Último aviso aos TMG Admins–31/12/2015 The Final Countdown

16 de dezembro de 2015 Deixe um comentário

Saudações,

Para aqueles que acompanham este blog (foi criado em 2009), muito falamos sobre Forefront TMG e tudo que envolve uma infra de firewall, forward proxy, reverse proxy e secure web gateway. Além disso, entreguei muitas palestras, treinamentos e webcasts sobre TMG e ISA Server de 2010 até 2012…ano em que foi publicado de forma oficial o fim da suíte Forefront:

https://uilson76.wordpress.com/2012/09/12/agora-de-forma-oficial-o-fim-do-forefront-tmg/

Neste post vamos falar um pouco sobre como sobreviver ao fim do suporte ao serviço de Web Protection (URL Filtering, SSL/Network/Malware Inspection e Mail Protection) que após a data citada, continuarão funcionando, porém, não mais receberão atualizações, ou seja, torna-se inseguro manter este serviço.

Lembrando que, o suporte ao produto TMG como um todo vai até Abril de 2020. – detalhes no link acima.

Como tudo tem um ciclo, chegou a hora do produto ser descontinuado e, a meu ver, de forma radical, a Microsoft não mais oferece nenhuma solução de firewall, forward proxy e secure web gateway. Estes serviços você precisa adquirir através de outros players de mercado (Sophos, WebSense, Fortinet, Kemp, etc).

Desde 12/09/2012 – data do post no link acima – orientamos clientes, parceiros e colegas com posts, palestras e muita consultoria sobre como planejar novas soluções e no que tange a este blog (que foi criado exclusivamente para assuntos voltados ao TMG), resolvi aumentar o leque de assuntos com trabalhos, projetos e dicas minhas, não só sobre TMG, mas, também sobre tudo acerca de infra Microsoft (dentro do meu conhecimento).

A algum tempo que não cito nada de TMG, afinal de contas, nem trabalho mais com a ferramenta. Entretanto, vi diversos clientes perdidos acerca de como continuar provendo serviços de firewall, proxy e reverse proxy com outras ferramentas.

Nesse caso resolvi investir muito tempo em estudos e consultoria para clientes meus, clientes que atendi na Microsoft e em diversos webcasts e palestras que entreguei, auxiliando no planejamento e escolha da melhor ferramenta para substituir o TMG.

Desde meados de 2014 publiquei uma série de posts focados em Web Application Proxy – solução de proxy reverso da Microsoft que vem como uma feature da Role Remote Access a partir do Windows Server 2012 R2, com muitas melhorias no Windows Server 2016 (agora no Technical Preview 4) e também sobre Azure AD Application Proxy – proxy reverso para publicações em núvem, disponível nos pacotes basic e premium do Azure Active Directory.

Essa coleção de posts que publiquei aqui, no Technet Wiki e FastVue podem ser encontrados nessa vasta documentação que coloquei no Docs.com da Microsoft:

https://docs.com/uilson-souza—#collection

No link acima você terá acesso a todos os meus posts sobre Web Application Proxy, configurações, dicas, patches necessários e também muitos estudos de caso e posts do pessoal da Microsoft.

Para clientes com poucos recursos e sem tempo para migrar, ou testar uma solução nova, o MVP Richard Hicks deu uma dica muito interessante. Desde o ISA Server, era possível adicionar filtros WEB de terceiros para fazer o serviço de secure web gateway.

Serviços como URL Filtering, Mail Protection, SSL/Network/Malware Inspection eram feitos por soluções de terceiros que pegavam o tráfego de um ISA/TMG e executavam o trabalho. Esta ainda é uma opção para quem possui infra TMG para pós 31/12 deste ano. Soluções como MCAfee e WebSense cobrem essa necessidade – apesar de serem caras e com complexidade de implementação maior que o normal.

Veja neste post do Richard Hicks como proceder, usando a solução ZScaler Cloud Based Security – http://tmgblog.richardhicks.com/2013/09/16/extending-the-life-of-forefront-tmg-2010-with-zscaler-cloud-based-security/

Além disso, meu amigo Scott Glew da FastVue escreveu um post muito bom sobre a necessidade de planejar e migrar a infra TMG – http://fastvue.co/tmgreporter/blog/finding-a-forefront-tmg-replacement-is-more-urgent-than-you-thought?utm_content=buffer9d9ad&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Para termos uma perspectiva do ponto de vista das ferramentas disponíveis no mercado, escrevi diversos posts sobre o planejamento da nova infra estrutura com 4 opções distintas – Web Application Proxy, Kemp, Fortinet e Sophos.

Neste endereço você acessa uma collection minha no docs.com contendo os links para todos estes posts – https://doc.co/LQqHoG 

Com o conteúdo acima, o Blog Microsoft Space se despede de 2015, esperando o mesmo possa ser útil e ajudar aos colegas na missão de substituir sua infra TMG. Também quero desejar a todos um excelente natal com um 2016 repleto de sucesso e realizações!

Abraços

Uilson

Os segredos de Empreendedorismo em TI por Rafael Bernardes

14 de dezembro de 2015 Deixe um comentário

Saudações,

Hoje vou mudar um pouco o foco das postagens aqui. Deixando um pouco o lado técnico e entrando num tema interessante!

O post de hoje é feito especialmente para aqueles que desejam ter sucesso em seu empreendimento em TI. Tanto para aqueles que já estão na batalha quanto para aqueles que ainda não iniciaram neste mundo mas possuem um forte de desejo de empreender.

O Rafael é empresário em TI há mais de 10 anos e se tornou referência em TI no Brasil, principalmente pela Microsoft, onde é premiado e foi referenciado como um dois mais influentes do Brasil.

Se você ainda não o conhece, sugiro que assista esse vídeo onde ele fala um pouco de sua jornada no mundo da TI e do empreendedorismo. Tenho certeza que você vai se identificar com ele, principalmente com os problemas que ele passou.

Mas o principal do post de hoje são as dicas e sacadas que o Rafael está publicando sobre empreendedorismo em TI, veja algumas:

image

image

O vídeo na moto é um pouco fora do normal, mas ele fez de coração :)

O principal é que ele está disponibilizando um conteúdo muito legal! E já começa bem! Uma video aula + uma planilha automática para calcular preços de serviços em TI, além de um modelo de contrato feito por ele!

Isso mesmo! Serão vários videos com dicas espetaculares, de graça para você.

Basta clicar na imagem abaixo e se inscrever. O Rafael também odeia SPAM, então fique tranquilo porque ele não enviará SPAM, o cadastro que você deve fazer é apenas para que ele envie mais vídeos e depois anuncie em primeira mão algo muito especial, que ainda é segredo.

image

Aproveitem o conteúdo! O Rafael é fera e muito honesto em suas promessas!

E como ele diria: Vida longa e próspera pessoal!!!!

Abraços

Uilson

Categorias:Não categorizado

Tips and Tricks–certificados digitais wildcard ou SAN no IIS Windows Server 2003, Windows Server 2008 e Windows Server 2012 R2

24 de novembro de 2015 Deixe um comentário

Saudações,

Depois de alguns meses carregados de palestras que entreguei e a série de posts sobre migração do TMG para plataformas distintas, comecei um trabalho de migração de aplicações WEB. A principio o processo pedia somente migração do IIS 6.0 para IIS 7.5 e 8.5.

Em alguns casos foi preciso manter a aplicação em ambiente legado (2003) por questões de compatibilidade e falta de tempo da equipe de DEV para migração.

Além disso, para as aplicações em ambiente legado e também as que foram migradas, era necessário uso de certificado digital wildcard. Como eram aplicações que não seriam acessadas externamente, pudemos usar o template Web Server da própria entidade certificadora interna (AD CS).

Nesse ponto encontramos alguns pontos que devem ser observados em aplicações WEB legadas em IIS 6.0. O padrão da empresa era manter diversos sites no IIS, cada um com sua aplicação e para cada uma delas seria necessário certificado. Pensei em gerar um wildcard mas, um certificado SAN contendo todos os comon names dos hosts já havia sido criado.

Em tese no IIS 6.0, você não pode ter diversos sites apontando para um único certicado, nem tampouco usar a porta 443 para mais de um certificado no mesmo IP. Tinha dua opções:

A) Adiconar IP´s associando a cada uma das aplicações

B) Usar uma linha de comando do ADSUTIL para fazer a criação de secure binds que possibilitarão o uso do mesmo certificado para as diversas aplicações associadas a um único IP

Bom, devido as condições e a urgência, optamos pela opção B. Para tal, você precisa executar o seguinte comando do ADSUTIL (lembrando que o ADSUTIL fica na pasta inetpub\adminscripts):

cscript.exe adsutil.vbs set /w3svc/<site identifier> /SecureBindings “:443<host header>”

No comando acima:

<site identifier> – identificação do site no IIS

<host header> – endereço ao qual o site irá responder – ex: app.uilson.net ou www.uilson.net

Antes de colocar o exemplo prático do comando para IIS 6.0, veja como verificar o ID do site nos IIS´s 6.0 e também no 8.5 do 2012 R2:

IIS 6.0 – Windows Server 2003

image

IIS 7.5 e 8.5 – Windows Server 2008 R2 e Windows Server 2012 R2:

image

Agora que você já sabe, ou se lembrou como identificar o ID# do site, vamos ao comando de forma prática. Apenas relembrando que o procedimento abaixo se aplica ao IIS 6.0:

cscript.exe adsutil.vbs set /w3svc/856101042/SecureBindings ":443:www.uilson.net"
cscript.exe adsutil.vbs set /w3svc/620385459/SecureBindings ":443:aplication.uilson.net"
cscript.exe adsutil.vbs set /w3svc/1953820003/SecureBindings ":443:webapp.uilson.net"

Importante frisar que:

. Os sites devem estar parados para que os comandos sejam executados

. Se houver qualquer alteração nas configurações de SSL do site, o comando acima deverá ser aplicado novamente

Dessa forma o problema foi resolvido e temos mais um tempo até a equipe de dev migrar a aplicação.

Para quem usa IIS no Windows Server 2008 e 2012, as coisas são um pouco menos trabalhosas. Uma vez que um site usa o certificado SAN (com mais deu common name criado ou wildcard), assim que vc assinala o certificado em um site, você receberá uma mensagem ao assinalar o mesmo certificado para o próximo, dizendo que o certicado já está sendo usado e que, todos os demais sites, se forem habilitados a porta 443, irão usar o mesmo que foi assinalado para os anteriores. Dessa forma ficou mais rápido e simples de resolver.

O redirect para https poderá ser feito por sua infra de proxy reverso, entretanto você também poderá faze-lo pelo próprio IIS de forma simples:

IIS 6.0 – Windows Server 2003 – Propriedades do site / custom errors / edit no erro 403.1 e inserir a URL https conforme abaixo:

image

IIS 7.5 e 8.5 – Windows Server 2008 e Windows Server 2012 R2 –

image

Estas foram alguns tips and tricks que estou compartilhando com vcs acerca de configuração de certificados digitais no IIS. Recomendo que, por questões de segurança, procure migrar suas aplicações legadas para o IIS 8.5, pois além de toda uma linha de features que você tem a disposição na versão atual, você ainda pode trabalhar com certificados de encriptação maior SHA2 em 256 bits.

Além disso, o IIS 8.5 tem suporte a SNI (Server Name indication), uma extensão TLS a qual possibilita saber o host e o domínio da página onde a requisição está sendo feita. Está disponível a partir do IIS 8.0 do Windows Server 2012 e é suportado em browser a partir do IE 7. Para saber mais detalhes, clique no link abaixo:

https://www.networking4all.com/en/ssl+certificates/faq/server+name+indication/

Outro benefício é o CCS (Centralized Certificate Store), onde você pode armazenar seu certificado em um arquivo PFX dentro de um file server ou onde você quiser, para que seja compartilhado por 1 ou mais web servers com IIS 8.5 do Windows Server 2012 R2.

Para saber detalhes e como implementar, leia o artigo que escrevi sobre esta funcionalidade no link abaixo:

https://uilson76.wordpress.com/2014/03/24/configurando-o-centralized-certificate-store-no-iis-8-5-do-windows-server-2012-r2/

Espero que as dicas e os links possam ajudar. Qualquer outra dúvida sobre certificados digitais no IIS que não foram cobertas neste post, podem deixar seus coments ou me contatar pela minha página no facebook.

Abraços

Uilson

Planejando a migração de sua infraestrutura TMG com Sophos

2 de novembro de 2015 Deixe um comentário

Saudações,

Hoje chegamos ao último post da série sobre o planejamento da migração de sua infraestrutura TMG.

Se ainda não leu, clique nos links abaixo e reveja o que foi anteriormente publicado:

1. Mais uma opção ao Forefront TMG – Kemp LoadMaster

2. Planejando a migração de sua infraestrutura TMG com Web Application Proxy

3. Planejando a migração de sua infraestrutura TMG com Fortinet

O Sophos entrou forte no mercado como uma opção ao TMG em virtude de cobrir todos os serviços e ainda oferecer muitos outros benefícios.

Em recentes feedbacks de colegas que testaram 2 ou três soluções, o Sophos foi o que mais se adeqou as necessidades cobertas pelo TMG.

O primeiro ponto em que o Sophos chama atenção é o de oferecer todas a features do produto em todos as versões de appliance, ou seja, desde o mais simples, até nos mais completos devices você usufrui de todos os serviços oferecidos. Em um único device, você tem tudo que o Next Generation Firewall dispôe.

Veja no quadro abaixo, os serviços que o Sophos cobre em relação ao Forefront TMG:

image

Métodos de deployment

A solução Sophos UTM não se limita a um único método de implementação. Você tem a escolha de seguir aquele que vai de encontro a sua necessidade e disponibilidade de investimentos:

image

Hardware – Os appliances Sophos UTM estão disponíveis para todos os tipos de infraestrutura. O design da solução se baseia nos parâmetros Small Desktop, Medium – 1U e Large 2U. No link abaixo você pode consultar todos os modelos e baixar a documentação de todos:

https://www.sophos.com/en-us/products/unified-threat-management/tech-specs.aspx#start

Virtual – As soluções de UTM da Sophos funcionam também em ambiente virtualizado. Você pode usar sua infra Hyper-V, VMWare e até mesmo Citrix.

Software – Se você tem uma boa infra de servidores disponível, mas, não tem condições de adquirir um appliance, você pode baixar a solução em software. Você terá todos os benefícios sem precisar gastar nada a mais do que a compra da licença do produto.

Para avaliar as versões para ambiente virtualizado e software clique no link abaixo:

https://secure2.sophos.com/en-us/products/unified-threat-management/free-utm-trial.aspx#start

Cloud-Based Appliances – Este ponto divide opiniões as quais coletei nos últimos dias antes de escrever este post. Todos que conversei me deram excelentes feedbacks do produto, porém, disseram terem ficado decepcionados com um único ponto…o UTM Sophos não possui suporte nativo para VPN Site-to-Site com Microsoft Azure. Além do que, o produto não dá suporte ao protocolo IKEV2, tal qual o TMG. Entretanto, os usuários do serviço de Cloud da Amazon (AWS) contam com suporte nativo no produto.

Ao consultar alguns fóruns e o site da Sophos, falei com um dos program managers que me garantiu o suporte ao Azure na próxima versão do produto. Então, vamos aguardar.

Console Administrativa

A UTM Sophos conta com uma console administrativa que lembra muito a parte de firewall rules do Forefront TMG. Dessa forma, a tendência é de um aprendizado mais rápido e uma transição menos complicada:

image

Proteção contra ataques

Conforme listado na primeira figura deste post, o UTM Sophos vem com serviços de IPS, Malware e Network Inspection. Além disso, um serviço interessante no qual você pode bloquear o tráfego inbound e outbound de IP´s de um determinado País:

image

Neste caso é importante levar em consideração que uma vez bloqueado o tráfego para as ranges de IP de um determinado País, você não poderá acessar nenhum conteúdo (seja permitido ou não). Portanto, antes de usar este recurso, analise bem os prós e contras.

Maior granularidade nas permissões de acesso

O serviço de content filter do UTM Sophos pode ser administrado com maior facilidade e maior granularidade. Por exemplo, é possível bloquear postagens do Facebook e liberar acesso ao chat, caso seja do interesse da organização, ou determinado setor da sua empresa.

Outro benefício que pode reduzir seu custo com armazenamento é o fato de você poder liberar um canal do Youtube para vídeos institucionais e proibir o acesso ao restante do conteúdo, ou seja, só vai ter acesso naquilo que realmente interessa pra você.

Quem administra o Forefront TMG sabe que um site ou categoria é bloqueado ou liberado por inteiro. Essa funcionalidade vem confirmar o que falei acima sobre o fato da UTM Sophos cobrir todos os serviços do TMG com benefícios exclusivos.

image

Como é possivel ver na imagem acima, o serviço de Content Filter é bem simples de entender e usar.

Mais funcionalidades no uso de VPN

Para que usa o Forefront TMG, sabe que o produto oferece a possibilidade de criar um acesso VPN Site-to-Site usando IPSec, além da viabilidade de conectar usuários remotos com dois protocolos legados – PPTP  IPSEC.

A UTM Sophos traz uma quantidade maior de opções. Além de oferecer os métodos citados no parágrafo anterior, traz um Layer-2 VPN que possibilita a comunicação de seus clientes com serviços como DHCP, algo inviável para que usa Forefront TMG.

image

Proxy Reverso

Um dos serviços mais usados por administradores do Forefront TMG é o Proxy Reverso, que possibilita o acesso externo a aplicações internas de modo seguro.

O IP da URL externa é apontado para o servidor do TMG e o mesmo, a partir de regras de publishing, aponta a requisição para o webserver onde a aplicação está.

No TMG também é possível o uso de certificados digitais para tráfego SSL e também trabalha com SSL OffLoading, aumentando a segurança no acesso.

A UTM Sophos oferece este serviço com adicionais muito interessantes. Além do que foi exposto em matéria de proxy reverso, o produto oferece scan da requisição evitando entrada de virus através da mesma, inspeção de SQL Injection e Cross-Site Scripting Attacks. Dessa forma você gasta menos tempo no planejamento do seu reverse proxy, principalmente em hardening de servidor e banco de dados.

image 

No link abaixo você poderá entender o passo a passo da publicação de um web server no Sophos:

http://fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection/

DHCP no UTM Sophos!

Este é um dos pontos que provam ser o UTM Sophos uma solução completa, não só em matéria de firewall, proxy, reverse proxy e secure web gateway. Além de tudo que listamos neste artigo, você também pode usar o Sophos como seu servidor DHCP.

É importante citar, principalmente para administradores do Windows Server, que as terminologias no Sophos são diferentes das usadas pelo DHCP Server Microsoft:

image

Abaixo a console Sophos com as opções de configuração DHCP:

image

Para localidades em que você não tenha um servidor DHCP (localidades remotas pequenas), também pode usar o UTM Sophos como um DHCP Relay, redirecionando as requisições para seu DHCP Server.

Para conhecer este serviço em detalhes, leia o post no link abaixo:

http://fastvue.co/sophos/blog/unlocking-sophos-utm-dhcp-capabilities/?utm_content=buffer7155f&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Relatórios – pelo próprio UTM Sophos ou via FastVue

Um ponto falho no Forefront TMG era a emissão de relatórios. Tanto que, diversas empresas lucraram (e muito) com essa deficiência. Seja em oferecer um produto externo com um add-on para as bases do TMG, ou simplesmente em oferecer outros produtos opcionais ao TMG pelo simples fato de este não emitir relatórios de qualidade.

A UTM Sophos oferece uma variedade de relatórios que trazem todas as informações que sua gestão precisa para ter a visão de como está o acesso internet em sua empresa.

image

Se você precisa de uma qualidade de relatórios ainda maior, a FastVue Inc, oferece uma gama de produtos que podem ajuda-lo de forma eficaz.

A empresa oferceu durante muito tempo o TMG Reporter que supriu muito das necessidades em relatórios para Forefront TMG. O produto ainda pode ser adquirido para quem usa TMG.

Também oferecem uma ferramenta de relatórios bem completa para quem usa WebSpy, Barracuda e Content Keeper.

Por último, porém, não menos importante, você também pode usar o Sophos Reporter e o Sophos Reporter for Web Appliance. Para ter maiores detalhes, clique na figura abaixo:

image 

Encerramos aqui nossa série de artigos que visam ajudar os TMG Admins na melhor ferramenta para seu ambiente.

Espero que todos os posts possam ter ajudado na sua decisão.

Qualquer dúvida, favor deixar seu comentários que entro em contato.

Abraços

Uilson

Planejando a migração de sua infraestrutura TMG com Fortinet

30 de setembro de 2015 1 comentário

Saudações,

Em continuidade a série de posts que comecei em 09 de setembro, vamos falar hoje sobre o planejamento da migração de uma infraestrutura Forefront TMG para as soluções da Fortinet.

Relembrando que o primeiro post desta série começou com os serviços do TMG que poderiam ser transferidos para o Web Application Proxy no Windows Server 2012 R2 e Azure AD Application Proxy.

Apenas como correção ao que disse no post anterior, não há mais o que detalhar acerca do produto da Kemp Software – o LoadMaster e o WAF – já fiz um post a respeito do mesmo no dia 20 de maio deste ano, que você poderá ler clicando aqui.

Assim como no último post, vou mostrar todos os serviços do Forefront TMG cobertos pelo Fortinet com mais algumas informações interessantes.

Para você que pensa em usar o FortiNet como solução de firewall, proxy e reverse proxy em sua organização, veja abaixo os serviços do TMG cobertos por ele:

fortinetXtmg

Dos itens listados na figura acima, o Fortinet (a meu ver) vem com duas deficiências em relação ao Forefront TMG:

1. SSL Offload (Software/Hardware) – O produto em si não executa esse passo. Se faz necessário um hardware ou software a parte, o que aumenta o custo da sua implementação.

Para entender bem os conceitos de SSL Offload clique no link abaixo onde Deb Shinder explica o passo a passo desta e outras definições como SSL Accelerator e SSL Termination:

http://www.windowsecurity.com/articles-tutorials/web_server_security/SSL-Acceleration-Offloading-Security-Implications.html

2. Authentication Delegation – O produto trabalha apenas com HTTP Basic, ou seja, para publicação de aplicações entre outros tipos de delegação de autenticação, não existe suporte.

Entretanto, o produto da Fortinet traz outras características como Data Leak Prevention, IP Reputation e Detecção de anomalias em aplicações (camada 7), que o TMG não possui, sendo um fator a se considerar (e muito) na escolha do sucessor para sua infraestrutura atual.

Veja no desenho abaixo uma infraestrutura montada com Fortinet e seus produtos:

 

Fortinet_planning_topology_06_5_1

Na imagem acima você vê uma infraestrutura de proxy reverso montada com um firewall de borda, usando o produto FortiGate, conectando ao produto FortiWeb que faz o reverse proxy, ou seja, você precisa de duas caixas para esta finalidade. Essa infra pode ser melhorada com alta disponibilidade das caixas para uma melhor performance na segurança do ambiente e também no acesso externo a aplicações e ambiente on-premisses.

Esta imagem foi coletada a partir da documentação do produto no link abaixo:

http://docs-legacy.fortinet.com/fweb/admin_hlp/4-4-6/index.html#page/FortiWeb%2520Help/topology_for_transparent_modes.html#ww1034625

Como opinião pessoal, vejo que apesar de ser uma excelente solução e totalmente eficaz, os produtos Fortinet trazem uma complexidade maior na implementação aumentando o custo da mesma…não só no deployment, como na administração, entre outros.

Entretanto, não descarto o uso do produto, pois, as condições citadas aqui podem variar de acordo com o tipo de relacionamento e finalidade da organização junto a uma revenda Fortinet e aí, eles com maiores detalhes do produto e expondo as condições comerciais do mesmo, podem fazer desta uma solução totalmente viável.

Para aqueles que já trabalham e conhecem o produto mais a fundo, fiquem a vontade para acrescentar ou corrigir minhas definições acerca do mesmo. Toda discussão saudável é bem vinda neste espaço. Se porventura algum item aqui não condiz com a realidade, os especialistas tem total espaço para expor suas colocações.

Espero que o tema tratado possa ser útil para sua tomada de decisão.

Abraços

Uilson

Planejando a migração de sua infraestrutura TMG com Web Application Proxy

9 de setembro de 2015 2 comentários

Saudações,

Depois de alguns percalços de hardware em minha infra que me fizeram ficar um tempo sem escrever, vou começar uma série de posts com orientações acerca de como planejar a migração de sua infra de servidores Forefront TMG.

Hoje vamos mostrar em quais aspectos o Web Application Proxy pode ser a ferramenta a ser usada para este trabalho.

Conforme uma série de publicações que fiz neste e em outros espaços, o Web Application Proxy vem para substituir a parte de reverse proxy do Forefront TMG. Neste caso, vamos mostrar aqui os pontos específicos que são cobertos ou não por essa nova ferramenta.

Para aprender sobre o Web Application Proxy clique aqui para ter acesso a todo o acervo que publiquei neste blog, TechNet Wiki, FastVue e também conteúdos da Microsoft e seus program managers.

Vamos entender na tabela abaixo, quais funcionalidades do TMG você pode (ou não) encontrar no Web Application Proxy e também no Azure AD Application Proxy:

image

Para a parte de forward proxy e Secure Web Gatway, é necessário que você procure por uma solução de terceiros, atualmente a Microsoft não está focada em uma solução para estes itens. Conforme falei aqui e em palestras que entreguei, o foco em segurança para a companhia abrange todas as ferramentas e não uma específica. Esta é uma prova de que, cada vez mais, a Microsoft vai se aprofundar em produtos e soluções voltadas a Cloud Computing e aos poucos vai deixando soluções On-Premisses.

Para quem ainda tem TMG e precisa manter, ao menos a parte de Content Filter, poderá comprar uma solução de terceiros e conecta-la ao seu TMG através da instalação de um plug-in que irá criar um web filter e analisar as requisições de internet.

O MVP Richard Hicks mostra como fazer isso no link abaixo:

http://tmgblog.richardhicks.com/2013/09/16/extending-the-life-of-forefront-tmg-2010-with-zscaler-cloud-based-security/

Nos próximos posts vou abordar soluções Sophos, FortiNet e Kemp (que já falei aqui neste espaço).

Queria também deixar registrado que, a tabela acima foi retirada de um post do meu colega Meir Mendelovich – Program Manager da Microsoft:

http://blogs.technet.com/b/applicationproxyblog/archive/2015/07/02/transitioning-to-application-proxy-from-uag-and-tmg.aspx

Espero que a informação tenha sido útil!

Abraços

Uilson

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 1.035 outros seguidores

%d blogueiros gostam disto: