Configuration VPN Palo Alto Networks for Microsoft Azure with VPN RoutedBased

IKE Crypto

Name: AZU-PHASE-01

DH Group: group2

Encryption: des, aes-256-cbc

Authentication: sha1, sha256

Key Lifetime: Seconds 10800

IKEv2 Authentication Multiple: 0

 

IPSec Crypto

Name: AZU-PHASE-02

Encryption: aes-256-cbc

Authentication: sha1

DH Group: no-pfs

Lifetime: Seconds 8400

 

IKE Gateway (General)

Name: GW-VPN-AZU

Version: IKEv2 only mode

Address Type: IPv4

Interface: ethernet1/4 (In this example, this is the interface that has the internet link.)

Peer IP Type: Static

Peer IP Address: XXX.XXX.XXX.XXX

Pre-shared Key: XXXXXXXXXXXX

Local Identification: IP address XXX.XXX.XXX.XXX

Local Identification: IP address XXX.XXX.XXX.XXX

IKE Gateway (Advanced Options)

Common Options: Enable Passive Mode

IKEv2: IKE Crypto Profile: default (DH Group: group2, Encryption: aes-128-cbc-3des, Authentication: sha1, Key Lifetime: Hours 8, IKEv2 Authentication Multiple:0)

Liveness Check: Interval (sec) 5

 

Interfaces

Add

Interface Name: tunnel . 2 (In this example)

Comment: tunnel-azure

Netflow Profile: None

Config

Virtual Router: default

Security Zone: VPN-AZU (In this example)

 

Virtual Routers

Add new Static route (In this example)

Name: AZURE-LTM

Destination: XXXXXXXX (Server for Auttar)

Interface: tunnel.2

Next Hop: none

 

IPSec Tunnels

IPSec Tunnel General

Name: Connection-AZU

Tunnel interface: tunnel.2

Type: Auto Key

Address Type: IPv4

IKE Gateway: VPN-AZU

IPSec Crypt Profile: AZU-FASE-2

 

IPSec Tunnel Proxys IDs

IPV4 – Add

Proxy ID: VPN

Local: XXX.XXX.XXX.XXX (In the example it’s my local network)

Remote: XXX.XXX.XXX.XX (Server for connection XXXX)

Protocol: Any (In the example)

Done

DNS Server Cache Snooping Remote Information Disclosure

Segurança da informação:

DNS Server Cache Snooping Remote Information Disclosure

http://support.simpledns.com/kb/a153/what-is-dns-cache-snooping-and-how-do-i-prevent-it.aspx

Literatura
http://technet.microsoft.com/en-us/library/cc771738.aspx
http://technet.microsoft.com/en-us/library/cc775637%28v=WS.10%29.aspx
http://technet.microsoft.com/en-us/library/cc961401.aspx
http://technet.microsoft.com/en-us/library/cc755941%28v=ws.10%29.aspx
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf

Correção:
http://support.microsoft.com/kb/2678371

recursion

Vulnerability in SSL 3.0 Could Allow Information Disclosure – Microsoft Security Advisory 3009008 – SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

Recentemente o pessoal do departamento da Segurança da Informação, abriu uma requisição referente a seguinte vulnerabilidade:

SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

Literatura Microsoft
https://technet.microsoft.com/en-us/library/security/3009008.aspx

Literatura Oracle
http://www.oracle.com/technetwork/topics/security/poodlecve-2014-3566-2339408.html

Correção Microsoft:
https://support.microsoft.com/kb/3009008

ssl30

Seja Feliz!!!!!!

Disable RC4 Windows Server 2012 R2

Cenário 40 Servidores Windows Server 2012 R2 (Datacenter da empresa), isso mesmo 2012 R2 produção e homologação, o pessoal da segunda da informação descobriu um brecha de segurança o RC4.

http://support.microsoft.com/kb/2868725/en-us

A Microsoft disponibilizou o cabe acima para corrigir este problema, porém não existe para Windows Server 2012 R2, a solução foi a boa e velha chave de registro.

———————————————–

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

————————————————–

Eu não fiz isso servidor por servidor, eu criei um GPO/GPP e distribui por ela.

Referencias:

http://littlehyenas.wordpress.com/2014/04/12/disable-rc4-cipher-suites-on-remote-desktop/
http://support.microsoft.com/kb/2868725/en-us
http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx

Ou podem usar este software, mas tem que executar maquina a maquina.

https://www.nartac.com/Products/IISCrypto

 

Os números de 2014

Os duendes de estatísticas do WordPress.com prepararam um relatório para o ano de 2014 deste blog.

Aqui está um resumo:

A sala de concertos em Sydney, Opera House tem lugar para 2.700 pessoas. Este blog foi visto por cerca de 38.000 vezes em Se fosse um show na Opera House, levaria cerca de 14 shows lotados para que muitas pessoas pudessem vê-lo.

Clique aqui para ver o relatório completo

Windows Technical Preview Build 9879

Nova Build 9879 Windows Technical

IE http://devchannel.modern.ie/techpreview/1411

w10

http://www.baboo.com.br/destaque/microsoft-disponibiliza-iso-do-windows-10-build-9879/

http://www.redmondpie.com/how-to-download-windows-10-build-9879-technical-preview-iso-image/

Novos download disponiveis para assinantes MSDN

msdn