Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP]

Simple, yes, Secure Maybe, by design for sure, Business compliant always

Common Tasks

Recent Posts

Tags

Community

Email Notifications

Blogs

Archives

septembre 2010 - Posts

Toujours les listes de révocations, …

Lorsque je monte des maquettes, j’ai pris l’habitude de publier la liste de révocation de mes CRL. Cependant, selon les scénarios, cela peut vite devenir compliqué, encore faut-il pouvoir le faire simplement.

 

Le meilleur exemple, reste comment publier une CRL avec UAG 2010. Certes, avant, c’était plus simple. Cependant, il est aussi possible de tout simplement ne pas publier les CRL. C’est le cas de Test Lab Guides de Tom Shinder pour tester DirectAccess.

 

Encore faut-il savoir comment désactiver la publication de la CRL. Pour cela, je recommande la lecture d’un billet de Deb Shinder.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Posted: 09-29-2010 23:08 by Benoît SAUTIERE | with no comments
Filed under: ,
Désactiver DirectAccess sur un poste nomade

Quelle question saugrenue. Pourquoi voudrait-on désactiver une fonctionnalité comme cela? et bien par exemple lorsque l’expérience utilisateur s’en trouverait perturbée (Vous avez déjà essayé de surfer avec une connexion GPRS, …)

 

Problème, dans sa conception même DirectAccess est toujours actif, le système d’exploitation assure la recherche de la connectivité réseau et du maintient de cette connexion.

 

D’un coté, on peut demander à l’utilisateur de désactiver la résolution de nom au travers du DAC.

DAC

C’est la méthode la plus élégante à mon sens mais elle requiert l’intervention de l’utilisateur. De plus, cette désactivation n’est que temporaire, jusqu’au prochain redémarrage du système d’exploitation.

 

Si on creuse un peu DirectAccess, on comprend vite qu’il repose exclusivement sur IPv6 et ses protocoles de transition. Or, ces protocoles de transition sont pris en charge par le service IP Helper.

 

Dès lors que ce service est arrêté, le système d’exploitation ne peut plus utiliser les protocoles de transition. DirectAccess est donc inutilisable. Par contre attention, cette méthode n’a aucun effet si la connectivité réseau repose sur IPv6, …

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Windows Storage Server 2008 R2 est RTM

Voila le retour d’un de mes jouets favoris pour faire du Cluster sur mon laptop! Un Windows 2008 R2 repackagé pour offrir entre autre une baie de disque iSCSI reposant sur des volumes disques VHD.

 

Pour ma part, j’ai hâte de tester :

  • La déduplication avec le Single Instance Storage (SIS)
  • Le nouveau iSCSI Software Target

 

Pour plus d’information, le billet de l’équipe produit.

 

Note : Comme ses prédécesseurs, le produit ne sera disponible qu’au travers d’un OEM proposant son Appliance de stockage.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Gérer son cluster en PowerShell

Historiquement pour ceux qui voulaient gérer leur clusters en ligne de commande, il y avait le fameux Cluster.exe, qui remplissait très bien son rôle. Avec l’arrivée de PowerShell, j’avoue avoir été un peu perdu dans les méandres du CommandLet!

 

Class Diagram

 

Heureusement, José Barreto, membre du File Server Team chez Microsoft a eu la gentillesse de produire un guide d’équivalence des commandes. Donc un Must à conserver.

 

Benoîts- Simple and Secure by Design (J’insiste sur le Secure)

HP StorageWorks P4000 Virtual SAN

Voila une initiative intéressante. Le stockage est un sujet sur lequel il est difficile de s former si on a pas de baie de disque sous la main. Pour résoudre cette problématique, HP met à disposition son StorageWork P4000 Virtual SAN Appliance au format ESX et Hyper-V.

 

Dans cette approche, le SAN est virtualisé, c’est du iSCSI. C’est pas parfait mais au moins on peut se faire une première idée de StorageWorks.

 

Le tout est disponible à cette adresse.

UAG 2010 Update 2

On peux dire que le retour de vacances est agité. Déjà, une Update 1 pour TMG SP1, maintenant une Update 2 pour UAG 2010. A première vue, la liste des mises à jour ne semble pas concerner DirectAccess mais bien les fonctionnalités de publication et de SSO d’UAG.

 

Pour plus d’information, voir le billet de mon collègue Alexandre GIRAUD, j’avoue que j’ai un peu la flemme vu qu’il n’y a rien de nouveau concernant DirectAccess.

 

Prochaine étape, un service pack pour UAG?

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Posted: 09-23-2010 10:04 by Benoît SAUTIERE | with no comments
Filed under:
UAG 2010 Security Configuration template

L’installation de Windows 2008 R2 est par défaut assez sécurisée. Seuls les composants nécessaires sont installés et opérationnels, avec des permissions minimales. L’installation d’UAG suit à peut près la même approche.

 

Depuis Windows 2003, le système d’exploitation propose le Security Configuration Wizard qui permet de sécuriser le couple système d’exploitation / application selon des best-practices déjà établies par les équipes produit. Le concept ayant été reconduit sous Windows 2008 / Windows 2008 R2, c’est donc normal qu’on dispose d’un template pour notre Microsoft Unified Access Gateway 2010. Le template inclus :

  • Configuration de l’état de démarrage de certains services
  • Désactivation de certains services
  • Configuration de clés de registre
  • Positionnement de permissions sur le système de fichiers
  • Positionnement de permissions sur le registre

 

Donc un must à conserver pour finaliser la configuration de son UAG.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Here come the time for vacations

It has been a long time since my last vacations. September is the time for my Corsican break. One week without IT, even a Smartphone.

208

One long week before new posts. I have many subjects in the pipe such as :

  • Scenarios around UAG
  • Scenarios around PKI and certificate enrollment
  • Scenarios around Active Directory Federation Services

 

BenoitS – Simple and Secure by Design (I emphasis on Secure)

Windows Server RDS Compatibility, une initiative à suivre

Il est clair que Windows 7 est bien mieux apprécié par les entreprises et les utilisateurs finaux que son prédécesseur. Cela tiens plus en la qualité du produit qu’en l’apport de nouvelles fonctionnalité révolutionnaires.

Une autre clé de cette réussite, c’est l’effort fait par Microsoft pour permettre à ses clients d’assurer la transition vers Windows 7. Pour cela, Microsoft met à disposition un certain nombre d’outil

 

Pourtant, avec toutes ces approches, il en manque une, à savoir la virtualisation de présentation. Cela fonctionne depuis longtemps, c’est une solution pour traiter la problématique des applications incompatibles (qui n’a pas d’application reposant sur Internet Explorer 6.0 uniquement, levez la main!). Microsoft vient de mettre en ligne, le Windows Server RDS Compatibility, un site web sur lequel la communauté vient référencer la compatibilité des différents outils dans le cadre de la virtualisation de présentation. C’est une excellente initiative.

 

Simple and Secure by Design (J’insiste sur le Secure)

Le Network Location Awareness démystifié

le Network Location Awareness est un service intégré au système d’exploitation qui lui permet d’identifier le profil à associer au pare-feu. D’un certain point de vue, cela peut paraître simple mais après avoir pas mal travaillé sur DirectAccess, le sujet est plus complexe qu’il n’y parait.

 

Comment un poste de travail qui est connecté à Internet (Prouvé par la détection du NCSI) arrive à déterminer qu’il est connecté au réseau LAN de l’entreprise, c’est un paradoxe?

 

L’équipe Enterprise Networking Team vient de publier un billet détaillant le fonctionnement du NLA. Le billet détaille le fonctionnement depuis Windows XP, en passant par Windows Vista pour enfin arriver à Windows 7. La partie la plus intéressante reste encore la capacité du NLA à déterminer la connectivité à un domaine.

 

La réponse est toute simple, le NLA s’attend à pouvoir énumérer la liste des domaines à l’aide de la fonction DsGetDcName. S’il obtient une réponse sur le port UDP 389, alors oui, le le poste dispose d’une connectivité avec le réseau LAN de l’entreprise. Bref, un article à conserver dans un coin.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Ouvrages MSPress en vue sur la Gamme Forefront

Si vous avez besoin de consolider votre étagère Ikea, rien de mieux que les futurs ouvrages de Tom Shinder dit The Edge Man prévus pour la fin d’année.

 

image 

Juste une critique sur la couverture du livre sur UAG. Ce n’est pas un outil qui illustre le mieux UAG mais bien toute la boîte! Ce produit est une exception chez Microsoft. A vous d’inventer les scénarios cette fois (sans la limite du support, bien entendu).

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

DirectAccess high availability with UAG 2010 : part 2
Default Network binding order

Before installing UAG, the network binding order of network cards on UAG servers must be properly configured, in the following order : LAN then Internet. This measure will preserves us from configuration problems of the UAG (the ADLDS instance must be reachable on the private interface).

0_BINDINGBEFORE

 

Network cards configuration

By default, my first UAG server will be reachable by it’s internal interface. Note that this interface do not have a Default gateway. This is a requirement because the Windows IP stack do not allow default gateway configuration on two different interfaces (public and private). The public interface is only configured with a dedicated public IPV4 address.

0_IPCONFIG_UAG1 

Note that a 6to4 interface is automatically created because the server is directly connected to Internet. In a real world deployment, it is not a good practice.

 

The same configuration with my second UAG server.

0_IPCONFIG_UAG2 

 

DNS configuration

The internal interface must be configured with one or more internal DNS servers. The external interface should be left empty in order to avoid DNS64 performance issue (see the Forefront UAG DirectAccess perquisites for additional information).

 

Required KB before next step

Before installing UAG, please install the KB977342 on Each UAG node. This is a mandatory requirement in the DirectAccess UAG wizard in NLB scenario, unless you want to see the UAG Wizard block you while configuring DirectAccess.

 

UAG setup

The initial setup process is straight forward (next, next, finish). The only required information is the installation path :

2_INSTALL_UAG2

 

Rebooting the UAG server after initial setup because the process introduce many things, especially on the firewall.

2_INSTALL_UAG3

 

Final  Network binding order

The final network bind order must be configured as illustrated bellow. We have no need of the SSL Network Tunneling interface.

2_INSTALL_UAG4

 

ISATAP

On a standard UAG DirectAccess scenario, the Global Query Block List must be configured to allow ISATAP queries. This can be performed using a simple DNSCMD.EXE command line and a restart on the DNS service (Operation must be performed on each DNS server declared in the infrastructure tunnel. Then, we can create the ISATAP host record that will point to the future Internal NLB VIP address.

3_DNSCMD

 

Required updates :

 

For more information about UAG perquisites, please see the Forefront UAG DirectAccess perquisites. Next blog, initial configuration for our future UAG array.

 

BenoîtS – Simple and Secure by Design (I emphasize on “Secure”)

DirectAccess high availability with UAG 2010 : part 5

Even if UAG rely on the Windows Network Load Balancing feature, you must configure it through UAG console. In my scenario, i wanted a fully reliable UAG from external and internal view. For this reason, i need two external VIP in a row for the public connectivity and one internal VIP for private connectivity.

 

Configure NLB

NLB0

Forefront UAG DirectAccess supports NLB only in Unicast mode. Multicast modes are not supported. Here we are, NLB is almost ready. As you can see our external VIPS will be shared by all array nodes.

NLB1 

UAG if not UAG until you do not activate it’s configuration.

NLB2

 

This is the end? No, configuration have been pushed to the central configuration database. Next step is to follow the activation process.

NLB3 

Wait for Activation

Note that because each array member will be configured from data in the central configuration database, we need a tool to monitor the activation status. The Forefront Unified Access Gateway Activation Monitor will show you activation status of each node.

NLB4 

Activation of any additional node cannot start before our first node is activated.

NLB5

 

Now we can say that our UAG configuration have been pushed to all nodes.

NLB6

 

By now, our UAG farm is almost ready for the final round.

 

Starting NLB

Next step, next tool. This time the UAG Web Monitor. This is the only way to manage NLB (don't even think using the NetworkLoadBalancingCluster PowerShell module!). Let’s start NLB on all our node. Now you should understand why Java was a requirement.

clip_image001

 

Network Load balancing should be considered as operational when synchronized and converged. So at this time not ready, but in the process.

clip_image002

 

And now, Network Load Balancing can be considered as ready.

clip_image003

 

As a proof, check with a IPCONFIG on my first UAG node.

clip_image004

 

BenoîtS – Simple and Secure by Design (I emphasize on “Secure”)

DirectAccess : J’ai perdu mon NLS, c’est grave docteur?

Avant de faire de l’automédication et de parcourir les forums Internet à la recherche à la réponse à cette question, posons un peu le cadre, histoire d’être bien clair. Pour cela, rien de mieux qu’un schéma Visio.

NLS problem

Ca veut dire quoi perdre le Network Location Server?

Pour un Client DirectAccess, le NLS est un peu comme un phare, lui indiquant non pas la côte mais bien que le poste de travail est connecté au réseau de l’entreprise. Dès lors que le poste de travail est capable de voir ce phare, il considère qu’il n’est pas nécessaire de faire du DirectAccess. Maintenant, on a deux situations :

  • Perdre le NLS lorsqu’on est connecté à Internet
  • Perdre le NLS lorsqu’on est connecté au réseau de l’entreprise

 

Alors, c’est si grave que cela docteur? Il me faut de la haute disponibilité partout, sur tous les sites distants?

 

Perdre le NLS lorsqu’on est connecté à Internet

Commençons par le plus simple. La réponse, on la trouve dans l’assistant de configuration DirectAccess d’UAG illustré ci-dessous :

UAG_CONFIG

Le diagnostic est sans appel. On s’en fou totalement puisque le NLS est référencé en exception. Cela signifie que le poste de travail lors qu’il est en situation de mobilité sera dans l’incapacité de joindre de serveur NLS, et c’est normal. Que se passerait-il si le poste connecté à Internet arrivait à voir le phare? Il se considèrerait dans l’entreprise et désactiverait DirectAccess.

 

Premier diagnostic : Sur Internet, on ne risque rien, et c’est normal.

 

Note : Pour cette raison, je déconseille vivement de ne pas utiliser L’intranet de l’entreprise comme NLS, à moins qu’on ne veuille le rendre indisponible.

 

Perdre le NLS lorsqu’on est connecté au réseau de l’entreprise

Voila le cas le plus intéressant. Que ce passe t’il lorsque le poste de travail (configuré pour faire du DirectAccess) se trouve dans l’incapacité de voir le NLS? Quels sont les symptômes Docteur House?

  • Défaillance du réseau MPLS sur un site distant
  • Défaillance du réseau MLPS sur le site du Datacenter
  • Défaillance réseau sur le LAN du Datacenter
  • Défaillance du serveur NLS
  • Certificat du serveur NLS expiré
  • Impossibilité de vérifier l’état de révocation du certificat du NLS
  • Pas de contenu proposé par le site web du NLS (et oui, il faut un code retour HTTP 200)

 

Bref, plein de raisons qui font que cela peut ne plus fonctionner. Ce qu’il faut savoir, c’est que la défaillance ne posera problème que pour les postes de travail qui changent d’état, c’est à dire changement d’état de la carte réseau. Concrètement, lors de la défaillance du NLS, s’il n’y a pas de changement d’état, alors pas d’impact.

 

Par contre, lorsqu’un changement est détecté (déconnexion de la carte réseau, redémarrage du poste), l’impossibilité de joindre le NLS sera constaté. Coté utilisateur, on constatera que le profil de l’interface réseau n’est pas domaine mais bien publique, ce qui pose problème.

 

A ce stade, il faut savoir que le client tente de contacter le serveur NLS très régulièrement. Dès lors que le problème coté NLS est résolu, l’interface réseau rebascule automatiquement en mode domaine. L’utilisateur n’a rien à faire. C’est une histoire de secondes.

 

OK, c’est bien l’auto-remédiation mais l’utilisateur ne peut pas travailler en attendant? Oui et non. Cela ne concerne que les postes de travail Windows 7 configurés pour DirectAccess, pas les autres. Sur ces postes, le client dispose d’une possibilité pour corriger lui même le problème avec le DirectAccess Connectivity Wizard :

image

Dès lors que l’utilisateur a sélectionné l’option “Prefer Local DNS Names, l’utilisateur a lui même corrigé le problème.

 

Alors docteur

Oui, il faut bien prévoir de la haute disponibilité pour le NLS. Par contre, pas la peine de placer autant de réplique du NLS que de sites distants. La recommandation est de placer un NLS sur le site de production et un second pour le site de secours. Après, il faut être réaliste. Parmi les causes d’indisponibilité, lesquelles sont les plus probables en partant qu’on a bien conçu son infrastructure DirectAccess? De mon point de vue, ce sont les causes d’origine réseau. Or sur un site distant, sans réseau, pas d’accès aux applications centrales, donc pas possible de travailler.

Se former sur FroreFront Identity Manager 2010

Dans la série moyens pour se former sur la gamme ForeFront, Après mes 10 solutions pour se former à UAG 2010, je voudrai FIM 2010. Voila un sujet intéressant et oh combien complexe. La gestion d’identité, c’est de la technique oui mais aussi des processus. De ce coté, FIM est une formidable boîte à outil. Problème, tout comme UAG, elle est méconnue. Donc continuons avec l’inventaire des moyens pour se former

 

  • Option n°1 : La Business Ready Security. Je sais, je l’ai déjà utilisée pour UAG. Mais faut pas m’en vouloir si Microsoft a packagé une plateforme de démonstration pour toute la gamme ForeFront. Pour la vue d’ensemble, c’est super intéressant.
  • Option n°2 : Les Virtual Labs de Microsoft. Avantage, on choisit d’étudier le scénario qui nous intéresse sans attendre

 

  • Option n°3 et certainement la plus complète, le RampUp Implementing ForeFront Identity Manager 2010.

image

 

Maintenant, plus d’excuse. FIM n’est pas un produit obscur limité à des besoins très restreints. La gestion de l’identité des utilisateurs est un pilier fondamental dans la sécurité de nos systèmes d’informations.

 

Note : Un grand merci à Joachim GOMARD pour le dernier.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Posted: 09-04-2010 11:00 by Benoît SAUTIERE | with no comments
Filed under: ,
More Posts Next page »