VPN IPSEC Fortinet for Azure

How to VPN IPESec Fortinet for Azure Cloud.

 

ISO 5.4

http://cookbook.fortinet.com/ipsec-vpn-microsoft-azure-54/

Gateway

Nat Traversal “Disable”
Dead Peer Detection “On idle”
IKE “V2”

Phase1

Encryption “AES128”
Authentication “SHA256”
Diffie-Hellman Group “2”
Key Lifetime (seconds) “28800”

Phase2

Encryption “AES128”
Authenticaton “SHA256”
(PFS) “Disable”
Local Port “Enable”
Remote Port “Enable”
Protocol “Enable”
Auto-negotiate “Disable”
Auto Keep Alive “Disable”
Key Lifetime “seconds”
Seconds “27000”

 

IOS 5.2

http://cookbook.fortinet.com/download/3127

Gateway

Nat Traversal “Disable”
Dead Peer Detection “Disable”

IKE “V2”

Phase1

Encryption “AES128”
Authentication “SHA1”
Encryption “AES256”
Authentication “SHA256”

Diffie-Hellman Group “2”
Key Lifetime (seconds) “56600”

Phase2

Encryption “AES128”
Authentication “SHA1”
Encryption “AES256”
Authentication “SHA256”
Enable replay Detaction “Disable”
(PFS) “Disable”
Local Port “Enable”
Remote Port “Enable”
Protocol “Enable”
Auto-negotiate “Disable”
Auto Keep Alive “Disable”
Key Lifetime “seconds”
Seconds “2900” “Segunda suporte Microsoft esses valores devem ser maiores que do Azure”

Best Regards.

Configuration VPN Palo Alto Networks for Microsoft Azure with VPN RoutedBased

Olá,

Neste tutorial iremos criar um tunnel de VPN entra Azure (RoutedBased) e Palo Alto (Iremos abordar somente configuração do no Palo Alto).

Iremos considerar o seguinte cenário:

Rede Local (Palo Alto): 10.91.0.0/16
Rede Remota (Azure):   10.255.0.0/16

https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices

No Palo Alto

1-) Passo

IKE Crypto

Name: ike_crypto_azure

DH Group: group2

Encryption: aes-128-cbc

Authentication: sha1

Key Lifetime: Seconds 29000

IKEv2 Authentication Multiple: 0

2) Passo

IPSec Crypto

Name: ipsec_crypt_azure

Encryption: aes-256-cbc

Authentication: sha1

DH Group: no-pfs

Lifetime: Hours 8

3) Passo

IKE Gateway (General)

Name: ike_gateway_azure

Version: IKEv2 only mode

Address Type: IPv4

Interface: ae1.200 (Neste exemplo essa é minha interface)

Peer IP Type: Static

Peer IP Address: IP do PUBLICO

Pre-shared Key: XXXXXXXXXXXX

Local Identification: Nome

Local Identification: Nome

4) Passo

IKE Gateway (Advanced Options)

Common Options: Enable Passive Mode

IKEv2: ike_crypt_azure

Liveness Check: Interval (sec) 5

5) Passo

Interfaces

Add

Name: ipesec_tunnel_azure

Tunnel Interface: tunnel.114

Type: Auto Key

Address Typer: IPv4

IKE Gateway: ike_gateway_azure

IPSec Crypto Profile: ipsec_crypt_azure

Show Advanced Options
Enable Replay Protection

6) Passo

Proxy ID

Sem Proxy ID

 

Pronto!!! Tunel de VPN entre Palo Alto e Azure está ok.

Não esqueça de criar:

Route – Zone – Rule Firewall

DNS Server Cache Snooping Remote Information Disclosure

Segurança da informação:

DNS Server Cache Snooping Remote Information Disclosure

http://support.simpledns.com/kb/a153/what-is-dns-cache-snooping-and-how-do-i-prevent-it.aspx

Literatura
http://technet.microsoft.com/en-us/library/cc771738.aspx
http://technet.microsoft.com/en-us/library/cc775637%28v=WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc961401.aspx
http://technet.microsoft.com/en-us/library/cc755941%28v=ws.10%29.aspx
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf

Correção:
http://support.microsoft.com/kb/2678371

recursion

Vulnerability in SSL 3.0 Could Allow Information Disclosure – Microsoft Security Advisory 3009008 – SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

Recentemente o pessoal do departamento da Segurança da Informação, abriu uma requisição referente a seguinte vulnerabilidade:

SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

Literatura Microsoft
https://technet.microsoft.com/en-us/library/security/3009008.aspx

Literatura Oracle
http://www.oracle.com/technetwork/topics/security/poodlecve-2014-3566-2339408.html

Correção Microsoft:
https://support.microsoft.com/kb/3009008

ssl30

Seja Feliz!!!!!!

Disable RC4 Windows Server 2012 R2

Cenário 40 Servidores Windows Server 2012 R2 (Datacenter da empresa), isso mesmo 2012 R2 produção e homologação, o pessoal da segunda da informação descobriu um brecha de segurança o RC4.

http://support.microsoft.com/kb/2868725/en-us

A Microsoft disponibilizou o cabe acima para corrigir este problema, porém não existe para Windows Server 2012 R2, a solução foi a boa e velha chave de registro.

———————————————–

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

————————————————–

Eu não fiz isso servidor por servidor, eu criei um GPO/GPP e distribui por ela.

Referencias:

http://littlehyenas.wordpress.com/2014/04/12/disable-rc4-cipher-suites-on-remote-desktop/
http://support.microsoft.com/kb/2868725/en-us
http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx

Ou podem usar este software, mas tem que executar maquina a maquina.

https://www.nartac.com/Products/IISCrypto

 

Os números de 2014

Os duendes de estatísticas do WordPress.com prepararam um relatório para o ano de 2014 deste blog.

Aqui está um resumo:

A sala de concertos em Sydney, Opera House tem lugar para 2.700 pessoas. Este blog foi visto por cerca de 38.000 vezes em Se fosse um show na Opera House, levaria cerca de 14 shows lotados para que muitas pessoas pudessem vê-lo.

Clique aqui para ver o relatório completo

Windows Technical Preview Build 9879

Nova Build 9879 Windows Technical

IE http://devchannel.modern.ie/techpreview/1411

w10

http://www.baboo.com.br/destaque/microsoft-disponibiliza-iso-do-windows-10-build-9879/

http://www.redmondpie.com/how-to-download-windows-10-build-9879-technical-preview-iso-image/

Novos download disponiveis para assinantes MSDN

msdn

Add Perfom Monitor IIS Zabbix

Cenário:

1-) Servidor Windows Server 2012 R2 IIS 8.5

2-) Dois site públicos rodando dentro do IIS

3-) Zabbix monitorando

Eu precisa monitorar as conexões para o IIS, até ai temos o seguinte contador do Windows “perf_counter[\Web Service(_Total)\Current Connections]” este contador mostra as conexões correntes do IIS todo, ou seja todos os sites, eu precisava verificar as conexões de cada site, ai vem o pulo do gato.

No contato “perf_counter[\Web Service(_Total)\Current Connections]” substituímos o (_Total) pelo nome do site, neste exemplo (Intranet_corp) o nosso contador ficará desta forma “perf_counter[\Web Service(intranet_corp)\Current Connections]”.

Mas quando os agent do zabbix enviar as informações ele fará o envio do IIS todo o (_Total), agora vamos a configuração para o envio correto das informações.

No arquivo .conf do zabbix temos que fazer as seguinte alterações:

===============================================================================================
LogFile=c:\zabbix\log\zabbix_agentd.log
Server=xxx.xxxx.xxx.xxx
ServerActive=xxx.xxxx.xxxx.xxx
Hostname=SRV-WEB-SP-001

Alias = intranet_corp[anon]:perf_counter[\Web Service(_Total)\Current Connections]
===============================================================================================

Salve o arquivo, agora no item do template pode deixar desta forma:

“perf_counter[\Web Service(intranet_corp)\Current Connections]”

Pronta agora irá conseguir ver as conexões para este site, para cada site devemos adiciona-lo no .config do zabbix e um item no template no IIS.

Com ajuda do Anderson Martines (Anderson.martines@dicautil.com.br)

Seja Feliz!!!!

Remove Accepted Domain Exchange Server 2010 Mode Hosted – Multi-tenancy

Um amigo Anderson Martines (anderson.martines@dicautil.com) administra um Exchange Server 2010 em Mode Hosted – Multi-tenancy, possui alguns clientes, sempre que adiciona um novo cliente executa o comando para add um novo accepted Domain para Organização. Exemplo a Organização SupportBrazil, o accepedt domain para ela é supportbrazil.com “Authoritative”, vamos ao comando em PS: New-AcceptedDomain -Name “SupportBrazil” -DomainName supportbrazil.com -Organization SupportBrazil -DomainType “Authoritative” Até então blz, agora vamos adicionar mais um domínio para estão organização: New-AcceptedDomain -Name “SupportBrazil” -DomainName charlessantana.com -Organization SupportBrazil -DomainType “Authoritative” Perfeito, agora a organização SupportBrazil tem dois domínios “supportbrazil.com” e “charlessantana.com” Agora se fosse um Exchange Server 2010 instalado em modo normal, quando executamos o comando: Get-AcceptedDomain teríamos o resultado abaixo: get-accepted Porém quando executamos este mesmo comando em um Exchange Server em modo Hosted utilizando o parâmetro -Organization get-hosted Veja que somente mostra o domínio principal do AD onde o Exchange Server 2010 hosted foi instalado. Agora vamos a solução para remover um accepdt domain Abra o ADSI Editar, se conecte no contexto de configuração, expandir o FQDN do Dominio Honting.local Expandir Services, Configuration Units. Expanda a organização que deseja excluir o Accepted Domain e expanda a CN Configuration Expanda então o CN transport settings e Accepted Domains, localize ao direito o arquivo do Accepted Domain que deseja excluir e delete.

Excluir Accepted Domain Exchange Hosting1

Quase pronto agora temos que excluir o sufixo DNS criado em “Domínios e relações de Confiança do Active Directory” sulfixo_dns Agora tudo ok.. Seja feliz!!!!!