View
149
Download
3
Category
Preview:
Citation preview
PROXY E SECURE WEB GATEWAY
Segurança em Plataforma Microsoft
On-Premisses e Cloud
Uilson Souza MCTS | MTAC
Senior Infrastructure AnalystIT Security Coordinator
http://uilson76.wordpress.com
http://facebook.com/usouzajr
@usouzajr
Confidencialidade
Disponibilidade
Integridade
Desenho do ambienteFluxo das informaçõesFunção de cada VLANApp, FS, DB´s - DistribuiçãoSegregação de ambientesAcessos – lógicos / Físicos
Desenhando um ambiente seguro – On Premisses
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
3 U Node 3
3 U Node 4 25 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U NLB - 3
3 U NLB - 4
3 U
Router
Desenhando um ambiente seguro
Rack – Failover Clustering / NLB
3 U Node 1
3 U Node 2
25 U LUN´s
Rack 2 - Storage
3 U NLB - 1
3 U NLB - 2
3 U
Router
3 U
Rack – Failover Clustering / NLB - Contingência
3 U Node 3
3 U Node 4
3 U NLB - 3
3 U NLB - 4
3 U 3 U
Router
25 U LUN´s
Rack 2 - Storage
Desenhando um ambiente seguro – OnPremisses
Desenhando um ambiente seguro
Web Server Farmsistemas.xpto.com
Web Server Farmsistemas.xpto.com
Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)
Os nodes devem estar em locais distintos
Se mau pensado estes serviços não funcionam
A continuidade também deve contemplar crescimento
Auditorias levam o tema em consideração
Desenhando um ambiente seguro – OnPremisses
Desenhando um ambiente seguro – OnPremisses
www
Desenhando um ambiente seguro - OnPremisses
WWW
DMZ Servers
Edge Firewall
Back Firewall
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
Router
DMZ - Extranet
AD Servers
DB Servers
Patch Management ServerFile Server
Reverse Proxy
DNS DHCP
Forward Proxy
Root CA Sub CA SCCM
Internal
Usuários
WWW
DMZ Servers
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
AD Servers
DB Servers
Patch Management ServerFile Server DNS DHCP
Root CA Sub CA SCCM
Internal
Usuários
Desenhando um ambiente seguro - OnPremisses
Desenhando um ambiente seguro – OnPremisses/Híbrido
WWW
DMZ Servers
Edge Firewall
Back Firewall
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
Router
DMZ - Extranet
AD Servers
DB Servers
Patch Management ServerFile Server
Reverse Proxy
DNS DHCP
Root CA Sub CA SCCMCloud Proxy
Content Filter
Internal
Usuários
Proxy via DNS – Distribuição WPAD
Proxy via DNS – Distribuição WPAD
Proxy via DNS – Distribuição WPADMicrosoft constatou essa vulnerabilidade em Junho de 2009A partir do Windows Server 2008 o uso do WPAD depende de
liberação no Global Query Block List do DNS a partir de linhas de comando DNSCMD ou PowerShell
Comunicado de Segurança Microsoft – 971888 https://technet.microsoft.com/library/security/971888
Proxy via DNS – Distribuição WPAD
Proxy via DNS – Distribuição WPAD
https://technet.microsoft.com/pt-br/library/security/ms16-077.aspx
Proxy via DNS – Distribuição WPAD
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213
Proxy via DNS – Distribuição WPAD
IPSec
Desenhando um ambiente seguro - OnPremissesAcesso Internet em Servidores
Desenhando um ambiente seguro - OnPremissesAcesso RDP direto a servidores
DMZ Servers
Back Firewall
DMZ – DB Servers
ADFS – Pre-Authentication
App/Web Servers
Router
AD Servers
DB Servers
Terminal Server
File Server DNS DHCP
Root CA Sub CA SCCM
Internal
Usuários
Desenhando um ambiente seguro - Cloud
Software as a Service
Consume
SaaSPlatform as a Service
Build
PaaSInfrastructure as a Service
Host
IaaS
Desenhando um ambiente seguro - Cloud
Packaged Software
StorageServers
Networking
O/SMiddlewar
e
Virtualization
DataApplication
s
Runtime
You
man
age
Infrastructure(as a Service)
StorageServers
Networking
O/SMiddleware
Virtualization
DataApplications
Runtime
Managed by vendor
You
man
age
Platform(as a Service)
Managed by vendor
You
man
age
StorageServers
Networking
O/SMiddleware
Virtualization
Applications
RuntimeData
Software(as a Service)
Managed by vendor
StorageServers
Networking
O/SMiddleware
Virtualization
Applications
RuntimeData
Mitigação de vulnerabilidades
• A preocupação com a segurança no ambiente começa no deploy
• Pense em mitigação de riscos e vulnerabilidades já na instalação do ambiente
• Uma das vulnerabilidades de sistema operacional exploradas são as de “password required” e share de pastas
• Ficar atento a vulnerabilidades de Web Server e Banco de Dados, seguindo as orientações do fabricante para mitiga-las
Mitigação de vulnerabilidades - ATA
A Microsoft oferece o ATA - Microsoft Advanced Threat Analytics
Análise e detecção de ameaçasIncidência de falso positivo reduzidaAnálise continua do ambienteRelatórios completos e recomendações sobre como remediar
os dispositivos vulneráveisLicenças por user ou device - https://
www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics-pricing
Mitigação de vulnerabilidades - ATA
Mitigação de vulnerabilidades - ATA
Mitigação de vulnerabilidades – na nuvem
SegurançaPrivacidade e ControleTransparênciaCompliance
Key VaultVirtual NetworksNetwork Security GroupsVPN + ExpressRouteAzure Active DirectoryPartner solutions
Mitigação de vulnerabilidades – Azure Security Center
Aumento dos níveis de agilidade e segurança
Visibilidade e controle
Sempre atualizado com as principais cyber threats
Mitigação de vulnerabilidades – Azure Security CenterComputeVirtual Machines (Windows e Linux)
Service Fabric
Monitora/Recommenda:
Antimalware
Configuração de +150 OS Baselines
System Update Status
Disk Encryption
PaaS ServicesAzure SQL & Databases
Monitora/Recommenda:
SQL - Auditoria
SQL Transparent Data Encryption
NetworkingVirtual Networks
Monitors/Recommends:
Network Security Groups e Inbound Traffic Rules
Web Application Firewalls
Next Generation Firewalls
Mitigação de vulnerabilidades – Azure Security Center
Integrate partner
solutions
Mitigação de vulnerabilidades – Azure Security Center
Patche Management – WSUS ou SCCM
Comece pelo planejamento – análise do seu ambiente, impactos
Planeje as janelas de aplicaçãoDivida a aplicação em ondas – Dev, QA, ProdDefina key users para testes dos ambientes críticos e
aplicações coreA maturidade do processo é alcançada com o tempo
Ambientes sem processo levam tempo para adquirir o hábito de aplicar patches
Em alguns lugares podemos nos surpreender – positiva ou negativamente
Alguns simplesmente rejeitam o processo
Patche Management – WSUS ou SCCM
Patche Management
Patche Management
O CAU (Cluster Aware Updating) é um recurso automatizado que permite atualizar servidores em cluster com pouca ou nenhuma perda de disponibilidade durante o processo de atualização
Patche Management – Cluster Aware Updating
O recurso CAU surgiu no Windows Server 2012Compatível somente com failover de cluster Windows Server a
partir do 2012 e as funções de cluster que são suportadas no Windows Server 2012.
Executa nos modos Self-Update Mode ou Remote-Update Mode
Pode trabalhar em conjunto com um servidor WSUS ou diretamente conectado a internet. Também é possível definir uma pasta onde ele irá buscar as atualizações
Para usar um proxy deve-se configurar o acesso ao proxy via System Mode usando o comando netsh:
netsh winhttp set proxy server.dominio.com:8080 "<local>"
Patche Management
Para ambientes de cluster com recursos de file server é necessário declarar o domínio interno:
netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“
Protegendo a rede com 802.1x
Padrão de controle de acesso a rede por RADIUS
Com o 802.1x é possível determinar que só as estações criadas no padrão da corporação tenham acesso a rede
Evita infecção por acesso de estações de terceiros
O DHCP da rede só concede IP a estação após validação pelo Network Policy Server que processará regras pré-definidas pelo administrador, garantindo a segurança no ambiente.
Protegendo a rede com 802.1x
Bitlocker e SMB Encryption
BitlockerTecnologia que permite proteger com senha e criptografar o
conteúdo de mídias de armazenamento via senha ou smart cardSurgiu no Windows Vista com intuito de criptografar as
unidades de discoA partir do Windows 7 foi criado o “BitLocker To Go” que
possibilitava a proteção de conteúdo em unidades removíveisA partir do Windows 8 você pode, além de imprimir suas
informações de acesso, também grava-las em sua conta Microsoft
Também é possível uso do bitlocker em discos de storage
Bitlocker e SMB Encryption
SMB EncryptionCriptografa os dados SMB em trânsito de fim a fim – Windows 8 e
Windows Server 2012Protege dados contra ataques “eavesdropping”O custo e tempo de implementação é muito menor do que outra
solução de criptografia de dados em trânsito – IPSECA configuração é simples – Via Server Manager em um share
específico
Bitlocker e SMB Encryption
Pode ser configurado também via Power Shell:
Para uma share específica Set-SmbShare –Name <sharename> -EncryptData $true
Para todo o servidorSet-SmbServerConfiguration –EncryptData $true
AD Rights and Management Services
Role do Windows para criação de políticas de acesso no próprio arquivo
Surgiu no Windows Server 2003 como uma feature a ser instalada a parte. Virando native a partir do Windows Server 2008A partir do Windows Server 2012 dá suporte a estações Apple
Disponível também no Microsoft Azure
Azure Rights and Management Services
Proxy Reverso com Web Application Proxy – OnPremisses
Web Application Proxy• Uma função agregada a role
Remote Access no Windows Server 2012 R2
• Executa o serviço de proxy reverso para aplicações web provendo acesso para conexões externas ao ambiente
• Faz a pré-autenticação usando o Active Directory Federation Services (AD FS) e também age como um proxy para o AD FSWeb Application Proxy - Requisitos
• Active Directory® Domain Services – para ambientes com KCD (Kerberos Constrained Delegation)
• Active Directory Federation Services – para serviços de autorização e autenticação e armazenamento das configurações do Web Application Proxy
• Remote Access – a role que contém o Web Application Proxy
Proxy Reverso com Web Application Proxy – OnPremisses
Proxy Reverso com Azure AD Application Proxy• Faz a publicação de aplicações em núvem• Liberado para as subscriptions Azure Active
Directory Premium e Basic• Para acesso a partir da rede corporativa é
necessário download do Azure AD Application Proxy Connector
Proxy Reverso com Azure AD Application Proxy
Azure AD Application Proxy – Publicando Aplicações
Windows Server 2016 – Alguns aspectos de segurançaAspectos de segurança e melhorias interessantes implementadas nas
features do Remote Access – Web Application ProxyNano Server – menos reboot´s com aplicações de patches, segurança
mais eficazPAM – Privilegied Access Management
JIT – Just in Time AdministrationJEA – Just Enough Administration – Windows Management
Framework 5.0
Referências para estudo
Nesta lista de links do docs.com você encontra vasto material de estudo que cobre com detalhes todos os pontos desta palestra:
http://bit.ly/uilson_docs
Leitura Recomendada
http://amzn.to/2gOrsl4
http://amzn.to/2fEpYoK
Leitura Recomendada
http://www.editoranovaterra.com.br
facebook.com/NovaterraED
Promoção de Natal:Cupom NT55, da direito a 55% de desconto no site da editora
Leitura Recomendada
http://www.editoranovaterra.com.br
facebook.com/NovaterraEDSeja um autor da Nova Terra - http://
www.editoranovaterra.com.br/seja-nosso-autor
•Malwarebytes, Santa Clara, CA
•420 funcionários em 15 países
•Malwarebytes foi nomeada pelo Deloitte’s Fast 500TM que classifica as 500 empresas de mais rápido crescimento na América do Norte, entre empresas de tecnologias, mídia, telecomunicações, ciências da vida e tecnologia limpa.
• Premiado por sua detecção & remediação• Publicamente recomendado por outros
fornecedores de softwares de segurança • Bloqueio de IP malicioso em tempo real previne
comandos de malware e phishing.• Footprint minúsculo melhora o desempenho dos
endpoints (8MB vs. 300MB padrão industrial)**
• Instalação remota através da Console (push-install) ou por MSI usando linhas de comando, permite a implementação e gerenciamento por software de distribuição como SCCM, GPO, PSEXEC, Tanium e qualquer RMM.
• Tecnologia Chameleon para desviar de malwares que bloqueiam a instalação de Malwarebytes.
• 3 Modos de varredura – Quick, Flash and Full• Registros em XML ou Syslog via Console, compatíveis com formato ArcSight CEF.• Opção de notificações por e-mail.• Opções de instalação e execução silenciosas• Bloqueio de website malicioso
• Whitelist para objetos e endereços IP confiáveis• Win 10, 8, 7, Vista & XP, Server 2012, 2008, and 2003 (32bit)• Suporte Técnico 24/7 Platinum & Gold - com Engenheiro designado
para clientes empresariais.
http://www.synus.com.br
Uilson SouzaPre-Sales Consultantuilson@hotmail.com
Como adquirir MalwareBytes
Souza Jr. IT Consulting
http://facebook.com/usouzajr
Sorteio de um livro para participantes
http://www.editoranovaterra.com.br
Oferecimento:
CLOUD ESSENTIALS – GUIA PREPARATÓRIOPROVA – CLO-001Autores – Yuri Diógenes e Manoel Veras
facebook.com/NovaterraED
Recommended