mvp show cast2014-it-security-proxyreversowebapplicationproxywindowsserver2012r2
DESCRIPTION
Apresentação feita para o MVP ShowCast 2014TRANSCRIPT
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
MVP ShowCast
Virtual Community Series
WEBCASTS
15 set
a09 out
2 0 1 4
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net)
#mvpbr #mvpshowcast
Organizado por MVPs com apoio da Microsoft
Programa MVP (mvp.microsoft.com)
Palestrante: Moderador:Securit
yIT
Proxy Reverso com Web Application Proxy no Windows
Server 2012 R2
Uilson Souza
MCTS | MTAC
Premier Field Engineer na Microsoft
@usouzajr
Luciano Lima
MVP de Enterprise Security
Sócio/Diretor de Segurança na Vincite Consultoria
@LucianoLima_MVP
Nível: 300
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Agenda
♦O que é o WAP – Web Application Proxy♦A idéia do WAP♦AD FS Proxy♦WAP e Active Directory Federation Services♦Para quem usa reverse proxy no Forefront TMG♦Instalação e configuração♦Publicação de aplicações♦Microsoft Azure – AD Application Proxy♦Referências para estudo
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
O que é o WAP – Web Application Proxy
♦Uma função agregada a role Remote Access no Windows Server 2012 R2
♦Executa o serviço de proxy reverso para aplicações web provendo acesso para conexões externas ao ambiente (claims aware ou não)
♦Atua também como um AD FS Proxy♦Provê acesso a aplicações corporativas por qualquer dispositivo Smartphone / Tablet´s / Notebook´s ou desktop´s pessoal/corporativo
♦SSO nativo, autenticação por Claims, KCD, MSFBA, Oauth, Client Certificate Authentication e também Passthrough
♦Muitas funções integradas ao Power Shell
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
A idéia do WAP
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
A idéia do WAP
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
ADFS Proxy
Clientes Externos
www
Edge Firewall Back FirewallAD FS Proxy AD FS
DMZ Internal network
1. Assertion Provider
2. Assertion Consumer
3. Metadata Provider
Claims aware app
HTTP Post
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
WAP e Active Directory Federation Services
♦Faz a pré-autenticação usando o Active Directory Federation Services (AD FS)
♦Usa o AD FS como base de dados♦Para ambientes onde o WAP fica em uma DMZ, certifique-se que o acesso ao AD FS pelas portas 80, 443 e 49443 estejam liberados
♦Para aumentar o nível de segurança é possível tb alterar essas portas para o número que o administrador achar conveniente
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
WAP e Active Directory Federation Services
♦Para alterar as portas default do AD FS:
Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81
OBS: Essa alteração não impacta no Web Server
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Para quem usa reverse proxy no Forefront TMG
♦TMG – vendas encerradas em Jan-2013, suporte mainstream até 14-abr-2015, suporte extendido até 14-abr-2020
♦WAP não faz cache, nem tem controle de intrusão (Intrusion Detection)
♦WAP trabalha só com SSL (HTTPS)♦Algumas restrições a certificados wildcard (*.dominio.com)♦Acesso WAP para HTTP previsto para próxima versão do produto♦Pre-Auth para Lync e OWA – ambos oferecem♦Não possui monitoração em tempo real – usar Event Viewer
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Instalação e configuração
Análise prévia do Ambiente - Sizing
Entry level serverIntel Xeon E54101 CPU 4 cores 2.33 GHZ8 GB RAM256 KB L1 cache12 MB L2 cache2 1 Giga bit network cards (1 for each side)
Medium level serverIntel Xeon L52202 CPU 4 cores (8 total) 2.27 GHZ16 GB RAM512 KB L1 cache2 MB L2 cache16 MB L3 cache4 1 Giga bit network cards (2 for each side using teaming)
Top level serverIntel Xeon E7-48504 CPU 10 cores (40 total) 2.00 GHZ128 GB RAM2.5 MB L1 cache10 MB L2 cache96 MB L3 cache
Pass-through (no pre-authentication)
Claims pre-authentication Claims pre-authentication + KCD
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Instalação e configuração
O que vou precisar:♦Windows Server 2012 R2♦Active Directory Domain Services – principalmente para ambientes com KCD (Kerberos Constrained Delegation)
♦Active Directory Certificate Services – para certificados digitais ou certificado de uma CA Externa
♦Active Directory Federation Services – para serviços de autorização, autenticação e armazenamento das configurações do Web Application Proxy
♦Remote Access – a role que contém o Web Application Proxy
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Instalação e configuração
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Instalação e configuração
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Instalação e configuração
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Instalação e configuração
Atenção:♦Se for usar o mesmo AD FS da sua rede para o WAP veja como foi gerado o certificado
♦Atenção na hora de definir o AD FS name♦O WAP Server precisa ter o root certificate instalado e acesso a CRL
♦Definir o registro da aplicação no DNS com o IP do WAP♦Instalar o certificado a aplicação no servidor do WAP
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Publicação de aplicações
www
AD-DS / AD-CS / DNS
uilson.net
Subordinate CA Authority
IIS
Forefront TMG
AD-RMS
AD-FS
Web Application Proxy
Windows 8.1
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Microsoft Azure – AD Application Proxy
♦Trabalha no mesmo conceito do WAP, porém, voltado a cloud
♦Para usa-lo é necessário a subscription Azure Active Directory Premium
♦Para acesso a partir da rede corporativa é necessário download do Azure AD Application Proxy Connector
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Referências para estudo
♦Publicando aplicações com Web Application Proxyhttp://technet.microsoft.com/en-us/library/dn383659.aspx
♦Application Proxy Bloghttp://blogs.technet.com/b/applicationproxyblog/
♦SSL Termination no Web Application Proxyhttp://blogs.technet.com/b/applicationproxyblog/archive/2014/07/04/ssl-termination-with-web-application-proxy-and-ad-fs-2012-r2.aspx
♦CmdLets Power Shell para AD FS 3.0http://technet.microsoft.com/en-us/library/dn479342.aspx
http://technet.microsoft.com/en-us/library/dn479343.aspx
♦WAP Management Pack for SCOMhttp://www.microsoft.com/en-us/download/details.aspx?id=40806
♦Best Practices Analyzer for Web Application Proxyhttp://technet.microsoft.com/en-us/library/dn383651.aspx
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Referências para estudo
♦PowerShell cmdlets para Web Application Proxy
http://blogs.technet.com/b/applicationproxyblog/archive/2014/08/20/web-application-proxy-powershell-cheat-sheet.aspx
♦Web Application Proxy and ARR – TMG alternatives?
http://channel9.msdn.com/Events/MEC/2014/USX305
♦Introducing Web Application Proxyhttp://channel9.msdn.com/events/TechEd/NorthAmerica/2014/PCIT-B327#fbid ♦Microsoft Azure AD Application Proxyhttp://msdn.microsoft.com/en-us/library/azure/dn768219.aspx
♦Microsoft Azure AD Application Proxy - Public Previewhttp://blogs.technet.com/b/ad/archive/2014/06/10/public-preview-of-azure-ad-application-proxy.aspx
♦Claims-based Identity for Windows (white paper)http://go.microsoft.com/fwlink/p/?LinkId=198942
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Referências para estudo
♦How to enable password + user certificate authentication in ADFS 3.0
http://blogs.technet.com/b/applicationproxyblog/archive/2014/08/20/web-application-proxy-powershell-cheat-sheet.aspx
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Blog Microsoft Space
http://uilson76.wordpress.com
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Security
IT
Webcasts relacionados
Grade completa de webcasts: mvpshowcast.azurewebsites.net
Data e horário Palestra Palestrante
17/09/2014 20h
Quarta-feiraPor que devo utilizar o Windows Azure Pack? Daniel Donda
Modern Datacenter
22/09/2014 12h
Segunda-feira
Segurança em ambientes virtualizados com Hyper-V e Vmware
Alberto OliveiraSecurity
23/09/2014 20h
Terça-feira
Entendendo BYOD e como adotá-lo de forma segura na sua empresa
Rodrigo ImmaginarioSecurity
24/09/2014 20h
Quarta-feira
Implementando o Azure Active Directory Premium com o Windows Intune para gerenciar dispositivos móveis
Jorge VeraIT Consumerization
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)
Iniciativas da Microsoft
Premiação MVPA premiação Microsoft Most Valuable Professional (MVP) é uma forma da Microsoft agradecer aos líderes independentes da comunidade que compartilham sua paixão, experiência técnica e conhecimento prático dos produtos da Microsoft com outros.mvp.microsoft.com
Programa MVP MentorO Programa MVP Mentor conecta estudantes que querem aprender mais sobre tecnologias Microsoft com especialistas independentes: os MVPs da Microsoft.mvp.microsoft.com/en-us/MVP-mentor.aspx
Microsoft Virtual AcademyTreinamento gratuito da Microsoft oferecido por especialistas.www.microsoftvirtualacademy.com
Serviço de curadoria projetado para e mantido pela comunidade técnica.curah.microsoft.com
Curah!