Arquivo

Archive for the ‘Não categorizado’ Category

Sobre DNS Policies–Windows Server 2016–volume 06–Foresincs

19 de julho de 2017 Deixe um comentário

Saudações!

Voltamos hoje com o penúltimo post da série sobre DNS Policies no Windows Server 2016 – Foresincs.

A quem está chegando agora, abaixo os links para os outros 5 posts da série:

Sobre DNS Policies – Windows Server 2016 – volume 01 – Teoria

Sobre DNS Policies – Windows Server 2016 – volume 02 – Balanceamento de Carga

Sobre DNS Policies – Windows Server 2016 – volume 03 – Gerenciamento de Tráfego de Rede baseado em Geo-Localização

Sobre DNS Policies – Windows Server 2016 – volume 04 – Split Brain DNS e Selective Recursion Control

Sobre DNS Policies – Windows Server 2016 – volume 05 – DNS Filtering

Sobre Foresincs temos uma série de termos e metodologias a seguir. No caso de DNS Policies Foresincs, vamos simplesmente trabalhar no conceito SinkHole, ou seja, vamos fazer com que queries para domínios não confiáveis não sejam resolvidas pelo DNS Server.

Temos como bloquear todo o DNS Zone a fim de que não resolva um determinado domínio (vide exemplo abaixo com um domínio fictício chamado “*.malexemplo.com.br”):

Add-DnsServerQueryResolutionPolicy –Name BadDomainBlock -Action IGNORE -FQDN ‘EQ,*.malexemplo.com.br’

Ou podemos definir que registros dentro de um Zone Scope (Escopo de Zona) não resolvam um domínio que possa trazer a infecção de um malware por exemplo:

Add-DnsServerQueryResolutionPolicy –Name BadDomainBlock -Action IGNORE –ZoneScope “BlockedRecords” -FQDN ‘EQ,*.malexemplo.com.br’

Podemos bloquear uma subnet inteira evitando a resolução a partir dos IP´s nela contidos:

Add-DnsServerQueryResolutionPolicy –Name BadDomainBlock -Action IGNORE -ClientSubnet ‘EQ,SubnetSaoPaulo’

Conclusão

Neste post, curto, porém importante, mostrei como usar o conceito de sinkhole para Foresincs via DNS Policies do Windows Server 2016.

Espero que possa ajudá-lo em suas tarefas diárias.

Abraços

Uilson

Anúncios
Categorias:Não categorizado

Sobre DNS Policies–Windows Server 2016–volume 03–Gerenciamento de Tráfego de Rede baseado em Geo-Localização

25 de abril de 2017 Deixe um comentário

Saudações,

Dando continuidade a série de posts sobre DNS Policies no Windows Server 2016, vamos hoje ao volume 03 onde falaremos sobre o gerenciamento de tráfego de rede baseado em geo-localização via políticas de DNS com PowerShell. Para quem chegou agora, os links para os dois primeiros posts:

Sobre DNS Policies – Windows Server 2016 – volume 01 – Teoria

Sobre DNS Policies – Windows Server 2016 – volume 02 – Balanceamento de Carga

Vamos ao cenário – Você tem uma aplicação de intranet que está instalada em 4 servidores em sua rede. Cada servidor está em uma filial da empresa (São Paulo, Rio de Janeiro, Belo Horizonte e Fortaleza). As requisições vindas dos usuários de São Paulo deverão acessar o servidor da própria localidade, da mesma forma que os demais Estados. Imagine que a Intranet de São Paulo foi desenvolvida para os usuários da localidade, logo um usuário de Fortaleza não pode acessar o conteúdo paulista. O mesmo se dá com BH e Rio. Entenderam? Acho que sim né?

Subnet de São Paulo – 10.10.1.0/24

Subnet do Rio de Janeiro – 10.10.2.0/24

Subnet de Belo Horizonte – 10.10.3.0/24

Subnet de Fortaleza – 10.10.4.0/24

Endereço da intranet – https://intranet.uilson.net

O processo tem que ocorrer de acordo com o desenho abaixo:

 

image

Agora que temos o cenário pronto e descrito, vamos a parte técnica. Como fazer com que as requisições via DNS para esses servidores de aplicação sejam encaminhadas da forma como definimos no começo deste post? Simples! Vamos de PowerShell!

Como no post anterior, vamos repetir alguns passos para fixar os conceitos criando zone scopes, subnet scopes, inserir registros nos zone scopes e criar a regra que faz essa distribuição.

Apenas relembrando, para se instalar o serviço de DNS via PowerShell, seja integrado ao AD ou avulso, através de um Zone File, você pode consultar o post que escrevi da série de otimização de tarefas com PowerShell sobre DNS Server.

Estou assumindo neste laboratório que já temos um DNS Server instalado com um primary zone definido – no nosso laboratório é o domínio uilson.net.

1. Criação dos Client Subnets

Vamos criar os client subnets que serão utilizados em nossa política de gerenciamento de tráfego de rede. Na imagem abaixo, o comando para criação do client subnet para o ambiente em São Paulo:

image

Agora vamos repetir o processo para os demais sites do nosso ambiente de laboratório:

Add-DnsServerClientSubnet -Name RJSubnet -IPv4Subnet 10.10.2.0/24

Add-DnsServerClientSubnet –Name BHSubnet -IPv4Subnet 10.10.3.0/24

Add-DnsServerClientSubnet -Name CESubnet -IPv4Subnet 10.10.4.0/24

Com o comando Get-DnsServerClientSubnet você consegue ver a lista de client subnets criada.

2. Criação dos Scope Zones e adição do registro

Agora que temos nossos client subnet´s criados, vamos repetir um passo ensinado no 2o. post desta série que foi a criação dos escopos de zona (Zone Scopes) para que as requisições que vierem de qualquer uma das subnets criadas possam ser atendidas pelo registro que estiver no escopo correspondente a localidade em que o usuário se encontra.

Abaixo o comando para criação do escope zone em São Paulo no nosso laboratório:

image

No exemplo acima, eu criei um Zone Scope chamado “SPZoneScope_NM” (SP Zone Scope – Network Management) – somente para diferenciar do que foi criado no artigo anterior. Lembrando que o nome o Scope é o de sua conveniência. Apenas estou esclarecendo para que está acompanhando a série de posts desde o inicio.

Agora vamos repetir o processo para as outras localidades:

Add-DnsServerZoneScope -Zonename uilson.net -Name RJZoneScope_NM

Add-DnsServerZoneScope -Zonename uilson.net –Name BHZoneScope_NM

Add-DnsServerZoneScope -Zonename uilson.net -Name CEZoneScope_NM

Agora vamos inserir um registro em cada um desses Zone Scopes.

Vamos inserir o registro do tipo “A” chamado “intranet em cada um dos Zone Scopes:

Add-DnsServerResourceRecord -ZoneName uilson.net -A -Name intranet -IPv4Address 10.10.1.10 –ZoneScope SPZoneScope_NM

Add-DnsServerResourceRecord -ZoneName uilson.net -A -Name intranet -IPv4Address 10.10.2.10 –ZoneScope RJZoneScope_NM

Add-DnsServerResourceRecord -ZoneName uilson.net -A -Name intranet -IPv4Address 10.10.3.10 –ZoneScope BHZoneScope_NM

Add-DnsServerResourceRecord -ZoneName uilson.net -A -Name intranet -IPv4Address 10.10.4.10 –ZoneScope CEZoneScope_NM

4. Criação da política de gerenciamento de tráfego de rede

Com as client subnets criadas, zone scopes e registro definidos, vamos a criação da política de gerenciamento do tráfego de rede para a aplicação intranet do nosso laboratório:

image

Para cada localidade uma politica será criada:

Add-DnsServerQueryResolutionPolicy –Name SPPolicy -Action ALLOW -ClientSubnet ‘eq,SPSubnet’ -ZoneScope ‘SPZoneScope_NM,1’ -ZoneName uilson.net

Add-DnsServerQueryResolutionPolicy -Name RJPolicy -Action ALLOW -ClientSubnet ‘eq,RJSubnet’ -ZoneScope ‘RJZoneScope_NM,1’ -ZoneName uilson.net

Add-DnsServerQueryResolutionPolicy –Name BJPolicy -Action ALLOW -ClientSubnet ‘eq,BHSubnet’ -ZoneScope ‘BHZoneScope_NM,1’ -ZoneName uilson.net

Add-DnsServerQueryResolutionPolicy -Name CEPolicy -Action ALLOW -ClientSubnet ‘eq,CESubnet’ -ZoneScope ‘CEZoneScope_NM,1’ -ZoneName uilson.net

Nas políticas acima, a requisição que vem da subnet de São Paulo é direcionada exclusivamente para o servidor registrado no zone scope correspondente, ou seja, de São Paulo. O mesmo ocorrerá com as demais localidades.

5. Conclusão

Esta é apenas uma das formas de se configurar o tráfego de rede via DNS Policies. Nessa série de posts vamos explorar todas as formas disponíveis nesse mesmo laboratório. Vamos voltar a falar sobre gerenciamento de tráfego de rede em outros aspectos nos posts sub-sequentes.

No próximo post vamos falar sobre Split-Brain DNS.

Espero que o conteúdo possa ser útil a suas tarefas diárias e o ajude de forma eficaz.

Abraços

Uilson

Categorias:Não categorizado

Video da minha palestra sobre Segurança em Plataforma Microsoft pelo ARQENGTI

19 de dezembro de 2016 Deixe um comentário

Saudações,

No último dia 19/12/2016, em evento da ARQENGTI (Arquitetos e Engenheiros de TI), falei sobre o tema “Segurança em Plataforma Microsoft”.

Fiquei muito feliz pela quantidade de pessoas não só do Brasil, mas, de vários países como Portugal, Angola e Estados Unidos!

Falamos sobre a montagem de um ambiente desde a parte física, arquitetura de ambientes, ferramentas para scan de vulnerabilidades, WPAD no DNS, Proxy Reverso, Next Generation Firewall e ferramenta de anti-malware. Tudo isso, mostrando exemplos e dicas para ambientes on-premisses e cloud – usando Azure como exemplo (Azure AD, Azure RMS, Azure AD App Proxy).

Em um formato totalmente diferente de tudo que já participei em termos de WebCast, trocamos idéias, tivemos excelentes intervenções dos mestres Fábio Oliveira e Marcelo Stripolli, além termos a alegrias de presentear um livro “Cloud Essentials” ao expectador Anderson Jacobsen que irá receber o mesmo num oferecimentoda Nova Terra Editora.

Abaixo o video na integra do evento para quem não pôde ver, ou para quem viu e quer rever:

image

Espero que os conceitos e dicas aqui tratados possam ser úteis a todos!

Que todos os que acompanham este blog e a fan page do facebook tenham um excelente natal e um 2017 repleto de sucesso e realizações!

Abraços

Uilson

Categorias:Não categorizado

Participe da minha palestra–Segurança em Plataforma Microsoft–e concorra a um livro!

12 de dezembro de 2016 Deixe um comentário

Saudações,

Depois de quase 1 ano sem palestrar devido a várias razões, vou falar no evento da ARQENGTI (Arquitetos e Engenheiros de TI) mais uma vez sobre o tema “Segurança em Plataforma Microsoft”.

No passado apresentei esse tema em outros eventos com o nome “Segurança para Redes Microsoft” onde focava mais no que tinhamos de urgente no momento – on premisses.

Na palestra que vou apresentar, vamos falar não só de on premisses, mas, tb de Cloud e também apresentar as principais ferramentas Microsoft que podem te proporcionar segurança em seu ambiente a custo baixo ou zero.

Falaremos sobre os seguintes temas:

image

Vou abordar como montar uma rede já pensando no aspecto de segurança tanto on premisses como Cloud, usar (ou não usar) o registro WPAD no DNS para apontamento de proxy, o que a Microsoft dispõe para scan de vulnerabilidades, patche managemnet, segurança de rede (802.1x), para quem saiu do ISA Server/TMG, como pensar em proxy reverso, além de uma vasta e detalhada documentação para estudo.

Também será sorteado um livro “Cloud Essentials” escrito pelo Yuri Diógenes para os participantes do evento. Livro este cedido pelo Nova Terra Editora.

Também vou mostrar uma ferramenta de anti-malware muito boa que poderá te ajudar de forma eficaz no combate a ameaças em seu ambiente, principalemnte ransomware.

Não perca, o evento ocorre nessa semana, dia 16/12/2016 as 21:30. É totalmente gratuíto e você pode se cadastrar clicando na figura abaixo:

image

Espero você lá!

Abraços

Uilson

Categorias:Não categorizado

ITPro–abra sua mente a uma nova maneira de enxergar infra estrutura de TI

25 de janeiro de 2016 4 comentários

Saudações,

Antes de qualquer coisa, espero que todos os leitores deste blog tenham tido um excelente início de 2016 e que o decorrer dele venha com muito sucesso e realizações!

Depois de uma pausa nos posts, voltamos com as baterias carregadas para compartilhar o máximo possível e ajudar a comunidade técnica.

Nos dias 19 e 20 de janeiro estive no evento Microsoft Cloud Roadshow, onde tivemos conteúdos diversos sobre infra estrutura, virtualização e principalmente muito cloud computing. E justamente nesses dois dias saí com uma nova visão do futuro do profissional de infra no mercado de TI…cada vez mais, os cliques com o mouse irão diminuir e ao contrário do que se imaginava a menos de 5 anos atrás, você só estará em dia com as novas demandas do mercado se for especializado em ferramentas de script…no nosso caso PowerShell.

Apenas para exemplificar, na última sessão do evento, o Vinícius Apolinário perguntou quem já tinha conhecimento aprofundado em infraestrutura como código…praticamente ninguém ergueu a mão…e eu me incluo nessa. O conselho dado foi se aprofundar no estudo de Infra estrutura como código, ou seja, automatização de tarefas e implementação de servidores/ambientes via PowerShell DSC (Desired State Configuration).

Dessa forma, vc vai se preocupar muito mais com o workload de um servidor, do que com toda a parte de deployment a qual estamos sujeitos no momento em que se decide usar e implementar o Windows Server de forma completa, com interface gráfica.

Uma curiosidade que nos foi exposta pelo pessoal da Microsoft foi justamente a mudança de pensamento que entrou em vigor já no momento em que a infra do Microsoft Azure foi criada. Pode ser meio óbvio pra você e até mesmo algo sem nexo, mas, os Program Managers, ao começar os trabalhos de idealização da infra estrutura de cloud da empresa, verificaram que, um Windows Server em modo gráfico demora muito a instalar e gasta uma parte significativa de storage e performance de um equipamento.

Mais uma vez, parece algo óbvio e tardio da parte deles, mas, esse pensamento foi fundamental para o sucesso do Azure hoje. Uma estrutura de cloud no padrão IaaS em que você tem a responsabilidade sobre seus servidores poderá, um dia, ter a necessidade de um aumento na mesma, sendo que, esse aumento precisa ser dinâmico. Para quem trabalha com plafatorma e suas aplicações começam a requerer mais performance e a escalabilidade é lenta, seu negócio e resposta ao cliente tendem a serem lentas também.

Dessa forma, e muito rapidamente, servidores sem interface gráfica serão o padrão dos próximos anos.

A partir do Windows Server 2016 (hoje do Technical Preview 4), o conceito de Containers será fortemente usado para criação de infra estruturas de aplicação. Para isso, juntamente com o Windows Server, virá uma instalação própria a esse conceito chamada Nano Server.

Com Nano Server, você pode montar um servidor IIS para suas aplicações em poucos minutos a partir de uma linha de comando Power Shell. Usando também o Power Shell Desired State Configuration, você poderá otimizar a montagem de sua infra estrutura de acordo com a necessidade do momento.

Na minha página pessoal do facebook (http://facebook.com/usouzajr) tenho postado diversos links sobre Nano Server com muita informação relevante sobre o tema.

Abaixo vou deixar uns links sobre Nano Server, PowerShell DSC e containers para que vocês possam examinar, estudar e montar seus laboratórios:

1. Diversos Videos sobre Nano Server – https://channel9.msdn.com/Search?term=Nano%20Server#ch9Search

2. Getting Started with Nano Server – https://technet.microsoft.com/en-us/library/mt126167.aspx

3. Diversos videos sobre Containers – https://channel9.msdn.com/Search?term=Containers#ch9Search

4. Sobre PowerShell DSC – https://technet.microsoft.com/pt-br/library/Dn249912.aspx

5. Videos de PowerShell DSC – https://channel9.msdn.com/Search?term=PowerShell%20DSC#ch9Search

6. Neste link, um post do MTAC Gustavo Montesdioca sobre o evento Microsoft Cloud Roadshow e os links das palestras para quem não esteve lá – http://www.gm9.com.br/2016/01/22/perdeu-o-cloud-roadshow-sao-paulo-veja-como-assistir-e-saiba-como-foi/

7. Outro link para um post sensacional do MTAC Gustavo Montesdioca onde fala das novas competências dos profissionais de Infra – http://www.gm9.com.br/2015/11/17/quais-sao-as-novas-competencias-dos-profissionais-de-ti/

E ainda sobre containers, o link abaixo traz uma apresentação do Fábio Hara no evento ocorrido esse ano sobre Windows Server vNext:

https://channel9.msdn.com/Blogs/TechNet-Series/Windows-Server-vNext

Eu não ia começar o ano escrevendo aqui, mas, após assistir o evento dos dias 19 e 20 de janeiro deste ano, achei muito importante partilhar esse conteúdo com vocês. A vida e o cotidiano do ITPro vai mudar de forma sensível e temos que nos preparar para isto.

Nos próximos dias, vai ao ar um post em inglês que estou escrevendo para o portal FastVue.co sobre configuração de Kerberos Constrained Delegation para infra de servidores Web Application Proxy.

Espero que o conteúdo seja útil e possa criar em vc novos conceitos do nosso dia a dia.

Um abraço

Uilson

Categorias:Não categorizado

Fique ligado nas minhas próximas palestras no CONASIV e MSWeekend

14 de julho de 2015 Deixe um comentário

Saudações,

Quem tem acompanhado minhas atividades nas redes sociais viu que estou trabalhando em conjunto com mais alugns amigos em um congresso de TI online que será transmitido dos dias 18 a 24 de outubro, o CONASIVCongresso Nacional de Segurança, Infraestrutura e Virtualização – onde irei falar sobre Web Application Proxy, com conteúdo semelhante ao apresentado no Quintas da TI e MVP ShowCast. Para quem não viu, vale a pena conferir!

O CONASIV é online e somente os participantes cadastrados poderão assistir as palestras gratuitamente. Para se inscrever na minha e outras palestras, clique no link abaixo:

image http://www.conasiv.com.br

Apesar do evento só começar em outubro, estaremos apresentando uma palestra introdutória ao vivo onde eu falarei sobre Proxy, Secure Web Gateway e New Generation Firewalls na teoria – Nivel 100. A mesma ocorrerá dia 16/07 as 21 horas.

Nesse webminar você entende de forma simples e objetiva o que é um proxy e suas evoluções. Também vou dar dicas a administradores TMG sobre as melhores práticas e ferramentas para migração do produto que foi descontinuado pela Microsoft.

Este webcast introdutório será oferecido para aqueles que já se cadastraram no evento, portanto, não perca tempo. Se cadastre no link acima e aguarde o email com o link para a  palestra.

Entre os diversos palestrantes do CONASIV, como já dito aqui, irei falar sobre Web Application Proxy, abrangendo teoria, melhores práticas de design, implementação e referências para estudo. Além disso, dou uma introdução no Azure AD Application Proxy e na versão que virá com o Windows Server 2016. Para detalhes e inscrição, clique na figura abaixo:

image

As informações sobre a grade de palestras completa, datas e horários, serão enviadas por email aos participantes cadastrados em breve.

Outro evento que estarei palestrando é o MSWeekend. Nele falo sobre Segurança para Redes Microsoft no dia 14 de agosto deste ano as 20:30.

Para inscrição, clique na imagem abaixo:

image

O MSWeekend também está com uma grade de palestrantes muito interessante com temas que vão lhe proporcionar um alto ganho de conhecimento. Clique no logo abaixo e confira:

image

Recapitulando, irei falar sobre Proxy, Secure Web Gateway e New Generation Firewalls na teoria, para os participantes cadastrados no CONASIV, dia 16/07 as 21:00 hs. No mesmo evento estarei falando sobre Web Application Proxy em data a ser definida e no dia 14 de agosto deste ano estarei participando do MSWeekend falando sobre Segurança para Redes Microsoft.

Conto com sua participação e também sua ajuda na divulgação destes eventos.

Um abraço

Uilson

Categorias:Não categorizado

Novas correções para Web Application Proxy e AD Federation Services 3.0

28 de junho de 2015 2 comentários

Saudações,

Este post (em caráter extraordinário) tem como intuíto ajuda-lo a documentar as novas recentes correções para você que usa o Web Application Proxy juntamente com o AD Federation Services 3.0.

Para saber as correções lançadas para os meses de outubro de novembro de 2014, veja o meu post do dia 15 de outubro do ano passado com a lista.

Abaixo a lista das últimas correções conforme informações da equipe do Application Proxy Blog:

Para servidores com Web Application Proxy:

3042127 "HTTP 400 – Bad Request" error when you open a shared mailbox through WAP in Windows Server 2012 R2

3042121 AD FS token replay protection for Web Application Proxy authentication tokens in Windows Server 2012 R2

3020813 You are prompted for authentication when you run a web application in Windows Server 2012 R2 AD FS

3025080 Operation fails when you try to save an Office file through Web Application Proxy in Windows Server 2012 R2

Para servidores com AD Federation Services:

3045711 MS15-040: Vulnerability in Active Directory Federation Services could allow information disclosure

3035025 Hotfix for update password feature so that users are not required to use registered device in Windows Server 2012 R2

3033917 AD FS cannot process SAML response in Windows Server 2012 R2  

3018886 You are prompted for a username and password two times when you access Windows Server 2012 R2 AD FS server from intranet

3025078 You are not prompted for username again when you use an incorrect username to log on to Windows Server 2012 R2

3020773 Time-out failures after initial deployment of Device Registration service in Windows Server 2012 R2

Continue acompanhando este blog! Estarei dando maiores informações e laboratórios com a versão do WAP para Windows Server 2012 R2 e também postarei alguns testes e cenários com a nova versão para Windows Server 2016 Technical Preview.

Abraços

Uilson

Categorias:Não categorizado
%d blogueiros gostam disto: