PROXY E SECURE WEB GATEWAY

Segurança em Plataforma Microsoft

On-Premisses e Cloud

Uilson Souza MCTS | MTAC

Senior Infrastructure AnalystIT Security Coordinator

http://uilson76.wordpress.com

http://facebook.com/usouzajr

@usouzajr

Confidencialidade

Disponibilidade

Integridade

Desenho do ambienteFluxo das informaçõesFunção de cada VLANApp, FS, DB´s - DistribuiçãoSegregação de ambientesAcessos – lógicos / Físicos

Desenhando um ambiente seguro – On Premisses

Rack – Failover Clustering / NLB

3 U Node 1

3 U Node 2

3 U Node 3

3 U Node 4 25 U LUN´s

Rack 2 - Storage

3 U NLB - 1

3 U NLB - 2

3 U NLB - 3

3 U NLB - 4

3 U

Router

Desenhando um ambiente seguro

Rack – Failover Clustering / NLB

3 U Node 1

3 U Node 2

25 U LUN´s

Rack 2 - Storage

3 U NLB - 1

3 U NLB - 2

3 U

Router

3 U

Rack – Failover Clustering / NLB - Contingência

3 U Node 3

3 U Node 4

3 U NLB - 3

3 U NLB - 4

3 U 3 U

Router

25 U LUN´s

Rack 2 - Storage

Desenhando um ambiente seguro – OnPremisses

Desenhando um ambiente seguro

Web Server Farmsistemas.xpto.com

Web Server Farmsistemas.xpto.com

Definir sempre alta disponibilidade – Failover Cluster ou NLB (Windows ou via hardware)

Os nodes devem estar em locais distintos

Se mau pensado estes serviços não funcionam

A continuidade também deve contemplar crescimento

Auditorias levam o tema em consideração

Desenhando um ambiente seguro – OnPremisses

Desenhando um ambiente seguro – OnPremisses

www

Desenhando um ambiente seguro - OnPremisses

WWW

DMZ Servers

Edge Firewall

Back Firewall

DMZ – DB Servers

ADFS – Pre-Authentication

App/Web Servers

Router

Router

DMZ - Extranet

AD Servers

DB Servers

Patch Management ServerFile Server

Reverse Proxy

DNS DHCP

Forward Proxy

Root CA Sub CA SCCM

Internal

Usuários

WWW

DMZ Servers

DMZ – DB Servers

ADFS – Pre-Authentication

App/Web Servers

Router

AD Servers

DB Servers

Patch Management ServerFile Server DNS DHCP

Root CA Sub CA SCCM

Internal

Usuários

Desenhando um ambiente seguro - OnPremisses

Desenhando um ambiente seguro – OnPremisses/Híbrido

WWW

DMZ Servers

Edge Firewall

Back Firewall

DMZ – DB Servers

ADFS – Pre-Authentication

App/Web Servers

Router

Router

DMZ - Extranet

AD Servers

DB Servers

Patch Management ServerFile Server

Reverse Proxy

DNS DHCP

Root CA Sub CA SCCMCloud Proxy

Content Filter

Internal

Usuários

Proxy via DNS – Distribuição WPAD

Proxy via DNS – Distribuição WPAD

Proxy via DNS – Distribuição WPADMicrosoft constatou essa vulnerabilidade em Junho de 2009A partir do Windows Server 2008 o uso do WPAD depende de

liberação no Global Query Block List do DNS a partir de linhas de comando DNSCMD ou PowerShell

Comunicado de Segurança Microsoft – 971888 https://technet.microsoft.com/library/security/971888

Proxy via DNS – Distribuição WPAD

Proxy via DNS – Distribuição WPAD

https://technet.microsoft.com/pt-br/library/security/ms16-077.aspx

Proxy via DNS – Distribuição WPAD

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213

Proxy via DNS – Distribuição WPAD

IPSec

Desenhando um ambiente seguro - OnPremissesAcesso Internet em Servidores

Desenhando um ambiente seguro - OnPremissesAcesso RDP direto a servidores

DMZ Servers

Back Firewall

DMZ – DB Servers

ADFS – Pre-Authentication

App/Web Servers

Router

AD Servers

DB Servers

Terminal Server

File Server DNS DHCP

Root CA Sub CA SCCM

Internal

Usuários

Desenhando um ambiente seguro - Cloud

Software as a Service

Consume

SaaSPlatform as a Service

Build

PaaSInfrastructure as a Service

Host

IaaS

Desenhando um ambiente seguro - Cloud

Packaged Software

StorageServers

Networking

O/SMiddlewar

e

Virtualization

DataApplication

s

Runtime

You

man

age

Infrastructure(as a Service)

StorageServers

Networking

O/SMiddleware

Virtualization

DataApplications

Runtime

Managed by vendor

You

man

age

Platform(as a Service)

Managed by vendor

You

man

age

StorageServers

Networking

O/SMiddleware

Virtualization

Applications

RuntimeData

Software(as a Service)

Managed by vendor

StorageServers

Networking

O/SMiddleware

Virtualization

Applications

RuntimeData

Mitigação de vulnerabilidades

• A preocupação com a segurança no ambiente começa no deploy

• Pense em mitigação de riscos e vulnerabilidades já na instalação do ambiente

• Uma das vulnerabilidades de sistema operacional exploradas são as de “password required” e share de pastas

• Ficar atento a vulnerabilidades de Web Server e Banco de Dados, seguindo as orientações do fabricante para mitiga-las

Mitigação de vulnerabilidades - ATA

A Microsoft oferece o ATA - Microsoft Advanced Threat Analytics

Análise e detecção de ameaçasIncidência de falso positivo reduzidaAnálise continua do ambienteRelatórios completos e recomendações sobre como remediar

os dispositivos vulneráveisLicenças por user ou device - https://

www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics-pricing

Mitigação de vulnerabilidades - ATA

Mitigação de vulnerabilidades - ATA

Mitigação de vulnerabilidades – na nuvem

SegurançaPrivacidade e ControleTransparênciaCompliance

Key VaultVirtual NetworksNetwork Security GroupsVPN + ExpressRouteAzure Active DirectoryPartner solutions

Mitigação de vulnerabilidades – Azure Security Center

Aumento dos níveis de agilidade e segurança

Visibilidade e controle

Sempre atualizado com as principais cyber threats

Mitigação de vulnerabilidades – Azure Security CenterComputeVirtual Machines (Windows e Linux)

Service Fabric

Monitora/Recommenda:

Antimalware

Configuração de +150 OS Baselines

System Update Status

Disk Encryption

PaaS ServicesAzure SQL & Databases

Monitora/Recommenda:

SQL - Auditoria

SQL Transparent Data Encryption

NetworkingVirtual Networks

Monitors/Recommends:

Network Security Groups e Inbound Traffic Rules

Web Application Firewalls

Next Generation Firewalls

Mitigação de vulnerabilidades – Azure Security Center

Integrate partner

solutions

Mitigação de vulnerabilidades – Azure Security Center

Patche Management – WSUS ou SCCM

Comece pelo planejamento – análise do seu ambiente, impactos

Planeje as janelas de aplicaçãoDivida a aplicação em ondas – Dev, QA, ProdDefina key users para testes dos ambientes críticos e

aplicações coreA maturidade do processo é alcançada com o tempo

Ambientes sem processo levam tempo para adquirir o hábito de aplicar patches

Em alguns lugares podemos nos surpreender – positiva ou negativamente

Alguns simplesmente rejeitam o processo

Patche Management – WSUS ou SCCM

Patche Management

Patche Management

O CAU (Cluster Aware Updating) é um recurso automatizado que permite atualizar servidores em cluster com pouca ou nenhuma perda de disponibilidade durante o processo de atualização

Patche Management – Cluster Aware Updating

O recurso CAU surgiu no Windows Server 2012Compatível somente com failover de cluster Windows Server a

partir do 2012 e as funções de cluster que são suportadas no Windows Server 2012.

Executa nos modos Self-Update Mode ou Remote-Update Mode

Pode trabalhar em conjunto com um servidor WSUS ou diretamente conectado a internet. Também é possível definir uma pasta onde ele irá buscar as atualizações

Para usar um proxy deve-se configurar o acesso ao proxy via System Mode usando o comando netsh:

netsh winhttp set proxy server.dominio.com:8080 "<local>"

Patche Management

Para ambientes de cluster com recursos de file server é necessário declarar o domínio interno:

netsh winhttp set proxy proxy.uilson.net:8080 "<local>;*.uilson.net“

Protegendo a rede com 802.1x

Padrão de controle de acesso a rede por RADIUS

Com o 802.1x é possível determinar que só as estações criadas no padrão da corporação tenham acesso a rede

Evita infecção por acesso de estações de terceiros

O DHCP da rede só concede IP a estação após validação pelo Network Policy Server que processará regras pré-definidas pelo administrador, garantindo a segurança no ambiente.

Protegendo a rede com 802.1x

Bitlocker e SMB Encryption

BitlockerTecnologia que permite proteger com senha e criptografar o

conteúdo de mídias de armazenamento via senha ou smart cardSurgiu no Windows Vista com intuito de criptografar as

unidades de discoA partir do Windows 7 foi criado o “BitLocker To Go” que

possibilitava a proteção de conteúdo em unidades removíveisA partir do Windows 8 você pode, além de imprimir suas

informações de acesso, também grava-las em sua conta Microsoft

Também é possível uso do bitlocker em discos de storage

Bitlocker e SMB Encryption

SMB EncryptionCriptografa os dados SMB em trânsito de fim a fim – Windows 8 e

Windows Server 2012Protege dados contra ataques “eavesdropping”O custo e tempo de implementação é muito menor do que outra

solução de criptografia de dados em trânsito – IPSECA configuração é simples – Via Server Manager em um share

específico

Bitlocker e SMB Encryption

Pode ser configurado também via Power Shell:

Para uma share específica Set-SmbShare –Name <sharename> -EncryptData $true

Para todo o servidorSet-SmbServerConfiguration –EncryptData $true

AD Rights and Management Services

Role do Windows para criação de políticas de acesso no próprio arquivo

Surgiu no Windows Server 2003 como uma feature a ser instalada a parte. Virando native a partir do Windows Server 2008A partir do Windows Server 2012 dá suporte a estações Apple

Disponível também no Microsoft Azure

Azure Rights and Management Services

Proxy Reverso com Web Application Proxy – OnPremisses

Web Application Proxy• Uma função agregada a role

Remote Access no Windows Server 2012 R2

• Executa o serviço de proxy reverso para aplicações web provendo acesso para conexões externas ao ambiente

• Faz a pré-autenticação usando o Active Directory Federation Services (AD FS) e também age como um proxy para o AD FSWeb Application Proxy - Requisitos

• Active Directory® Domain Services – para ambientes com KCD (Kerberos Constrained Delegation)

• Active Directory Federation Services – para serviços de autorização e autenticação e armazenamento das configurações do Web Application Proxy

• Remote Access – a role que contém o Web Application Proxy

Proxy Reverso com Web Application Proxy – OnPremisses

Proxy Reverso com Azure AD Application Proxy• Faz a publicação de aplicações em núvem• Liberado para as subscriptions Azure Active

Directory Premium e Basic• Para acesso a partir da rede corporativa é

necessário download do Azure AD Application Proxy Connector

Proxy Reverso com Azure AD Application Proxy

Azure AD Application Proxy – Publicando Aplicações

Windows Server 2016 – Alguns aspectos de segurançaAspectos de segurança e melhorias interessantes implementadas nas

features do Remote Access – Web Application ProxyNano Server – menos reboot´s com aplicações de patches, segurança

mais eficazPAM – Privilegied Access Management

JIT – Just in Time AdministrationJEA – Just Enough Administration – Windows Management

Framework 5.0

Referências para estudo

Nesta lista de links do docs.com você encontra vasto material de estudo que cobre com detalhes todos os pontos desta palestra:

http://bit.ly/uilson_docs

Leitura Recomendada

http://amzn.to/2gOrsl4

http://amzn.to/2fEpYoK

Leitura Recomendada

http://www.editoranovaterra.com.br

facebook.com/NovaterraED

Promoção de Natal:Cupom NT55, da direito a 55% de desconto no site da editora

Leitura Recomendada

http://www.editoranovaterra.com.br

facebook.com/NovaterraEDSeja um autor da Nova Terra - http://

www.editoranovaterra.com.br/seja-nosso-autor

•Malwarebytes, Santa Clara, CA

•420 funcionários em 15 países

•Malwarebytes foi nomeada pelo Deloitte’s Fast 500TM que classifica as 500 empresas de mais rápido crescimento na América do Norte, entre empresas de tecnologias, mídia, telecomunicações, ciências da vida e tecnologia limpa.

• Premiado por sua detecção & remediação• Publicamente recomendado por outros

fornecedores de softwares de segurança • Bloqueio de IP malicioso em tempo real previne

comandos de malware e phishing.• Footprint minúsculo melhora o desempenho dos

endpoints (8MB vs. 300MB padrão industrial)**

• Instalação remota através da Console (push-install) ou por MSI usando linhas de comando, permite a implementação e gerenciamento por software de distribuição como SCCM, GPO, PSEXEC, Tanium e qualquer RMM.

• Tecnologia Chameleon para desviar de malwares que bloqueiam a instalação de Malwarebytes.

• 3 Modos de varredura – Quick, Flash and Full• Registros em XML ou Syslog via Console, compatíveis com formato ArcSight CEF.• Opção de notificações por e-mail.• Opções de instalação e execução silenciosas• Bloqueio de website malicioso

• Whitelist para objetos e endereços IP confiáveis• Win 10, 8, 7, Vista & XP, Server 2012, 2008, and 2003 (32bit)• Suporte Técnico 24/7 Platinum & Gold - com Engenheiro designado

para clientes empresariais.

http://www.synus.com.br

Uilson SouzaPre-Sales Consultantuilson@hotmail.com

Como adquirir MalwareBytes

Souza Jr. IT Consulting

http://facebook.com/usouzajr

Sorteio de um livro para participantes

http://www.editoranovaterra.com.br

Oferecimento:

CLOUD ESSENTIALS – GUIA PREPARATÓRIOPROVA – CLO-001Autores – Yuri Diógenes e Manoel Veras

facebook.com/NovaterraED