O documento resume uma apresentação sobre o Web Application Proxy no Windows Server 2012 R2. Apresenta conceitos como o que é o WAP, como funciona com o AD FS, instalação e configuração, publicação de aplicações e o Azure AD Application Proxy. Fornece também referências para estudos adicionais sobre o tópico.

1. WEBCASTS
15
set
2 0 1 4
IT Security
MVP ShowCast
Virtual Community Series
a
09
out
#mvpbr Organizado por MVPs com apoio da Microsoft #mvpshowcast
Proxy Reverso com Web Application
Proxy no Windows Server 2012 R2
Palestrante: Moderador:
IT Security
Uilson Souza
MCTS | MTAC
Premier Field Engineer na Microsoft
@usouzajr
Luciano Lima
MVP de Enterprise Security
Sócio/Diretor de Segurança na Vincite Consultoria
@LucianoLima_MVP
Nível: 300
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net)
Programa MVP (mvp.microsoft.com)

2. IT Security
Agenda
♦O que é o WAP – Web Application Proxy
♦A idéia do WAP
♦AD FS Proxy
♦WAP e Active Directory Federation Services
♦Para quem usa reverse proxy no Forefront TMG
♦Instalação e configuração
♦Publicação de aplicações
♦Microsoft Azure – AD Application Proxy
♦Referências para estudo
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

3. IT Security
O que é o WAP – Web Application Proxy
♦Uma função agregada a role Remote Access no Windows Server 2012
R2
♦Executa o serviço de proxy reverso para aplicações web provendo
acesso para conexões externas ao ambiente (claims aware ou não)
♦Atua também como um AD FS Proxy
♦Provê acesso a aplicações corporativas por qualquer dispositivo
Smartphone / Tablet´s / Notebook´s ou desktop´s pessoal/corporativo
♦SSO nativo, autenticação por Claims, KCD, MSFBA, Oauth, Client
Certificate Authentication e também Passthrough
♦Muitas funções integradas ao Power Shell
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

4. IT Security
A idéia do WAP
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

5. IT Security
A idéia do WAP
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

6. IT Security
ADFS Proxy
Clientes Externos
www
HTTP Post
DMZ Internal network
Edge Firewall Back Firewall
AD FS Proxy AD FS
1. Assertion Provider
2. Assertion Consumer
3. Metadata Provider
Claims aware app
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

7. IT Security
WAP e Active Directory Federation Services
♦Faz a pré-autenticação usando o Active Directory Federation
Services (AD FS)
♦Usa o AD FS como base de dados
♦Para ambientes onde o WAP fica em uma DMZ, certifique-se
que o acesso ao AD FS pelas portas 80, 443 e 49443 estejam
liberados
♦Para aumentar o nível de segurança é possível tb alterar essas
portas para o número que o administrador achar conveniente
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

8. IT Security
WAP e Active Directory Federation Services
♦Para alterar as portas default do AD FS:
Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81
OBS: Essa alteração não impacta no Web Server
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

9. IT Security
Para quem usa reverse proxy no Forefront TMG
♦TMG – vendas encerradas em Jan-2013, suporte mainstream até 14-
abr-2015, suporte extendido até 14-abr-2020
♦WAP não faz cache, nem tem controle de intrusão (Intrusion
Detection)
♦WAP trabalha só com SSL (HTTPS)
♦Algumas restrições a certificados wildcard (*.dominio.com)
♦Acesso WAP para HTTP previsto para próxima versão do produto
♦Pre-Auth para Lync e OWA – ambos oferecem
♦Não possui monitoração em tempo real – usar Event Viewer
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

10. IT Security
Instalação e configuração
Análise prévia do Ambiente - Sizing
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

11. IT Security
Instalação e configuração
O que vou precisar:
♦Windows Server 2012 R2
♦Active Directory Domain Services – principalmente para ambientes
com KCD (Kerberos Constrained Delegation)
♦Active Directory Certificate Services – para certificados digitais ou
certificado de uma CA Externa
♦Active Directory Federation Services – para serviços de autorização,
autenticação e armazenamento das configurações do Web
Application Proxy
♦Remote Access – a role que contém o Web Application Proxy
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

12. IT Security
Instalação e configuração
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

13. IT Security
Instalação e configuração
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

14. IT Security
Instalação e configuração
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

15. IT Security
Instalação e configuração
Atenção:
♦Se for usar o mesmo AD FS da sua rede para o WAP veja como
foi gerado o certificado
♦Atenção na hora de definir o AD FS name
♦O WAP Server precisa ter o root certificate instalado e acesso a
CRL
♦Definir o registro da aplicação no DNS com o IP do WAP
♦Instalar o certificado a aplicação no servidor do WAP
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

16. IT Security
Publicação de aplicações
www
uilson.net
AD-DS / AD-CS / DNS
Web Application Proxy
Subordinate CA Authority
Forefront TMG
IIS
AD-RMS
AD-FS
Windows 8.1
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

17. IT Security
Microsoft Azure – AD Application Proxy
♦Trabalha no mesmo conceito do WAP, porém,
voltado a cloud
♦Para usa-lo é necessário a subscription Azure
Active Directory Premium
♦Para acesso a partir da rede corporativa é
necessário download do Azure AD Application
Proxy Connector
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

18. IT Security
Referências para estudo
♦ Publicando aplicações com Web Application Proxy
http://technet.microsoft.com/en-us/library/dn383659.aspx
♦ Application Proxy Blog
http://blogs.technet.com/b/applicationproxyblog/
♦ SSL Termination no Web Application Proxy
http://blogs.technet.com/b/applicationproxyblog/archive/2014/07/04/ssl-termination-with-web-application-proxy-and-ad-fs-2012-
r2.aspx
♦CmdLets Power Shell para AD FS 3.0
http://technet.microsoft.com/en-us/library/dn479342.aspx
http://technet.microsoft.com/en-us/library/dn479343.aspx
♦WAP Management Pack for SCOM
http://www.microsoft.com/en-us/download/details.aspx?id=40806
♦ Best Practices Analyzer for Web Application Proxy
http://technet.microsoft.com/en-us/library/dn383651.aspx
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

19. IT Security
Referências para estudo
♦ PowerShell cmdlets para Web Application Proxy
http://blogs.technet.com/b/applicationproxyblog/archive/2014/08/20/web-application-proxy-powershell-cheat-
sheet.aspx
♦Web Application Proxy and ARR – TMG alternatives?
http://channel9.msdn.com/Events/MEC/2014/USX305
♦ Introducing Web Application Proxy
http://channel9.msdn.com/events/TechEd/NorthAmerica/2014/PCIT-B327#fbid
♦Microsoft Azure AD Application Proxy
http://msdn.microsoft.com/en-us/library/azure/dn768219.aspx
♦Microsoft Azure AD Application Proxy - Public Preview
http://blogs.technet.com/b/ad/archive/2014/06/10/public-preview-of-azure-ad-application-proxy.aspx
♦ Claims-based Identity for Windows (white paper)
http://go.microsoft.com/fwlink/p/?LinkId=198942
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

20. IT Security
Referências para estudo
♦How to enable password + user certificate authentication in ADFS 3.0
http://blogs.technet.com/b/applicationproxyblog/archive/2014/08/20/web-application-proxy-powershell-
cheat-sheet.aspx
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

21. IT Security
Blog Microsoft Space
http://uilson76.wordpress.com
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

22. IT Security
Webcasts relacionados
Data e horário Palestra Palestrante
17/09/2014 20h
Quarta-feira
Por que devo utilizar o Windows Azure Pack?
22/09/2014 12h
Segunda-feira
Segurança em ambientes virtualizados com Hyper-V e
Vmware
23/09/2014 20h
Terça-feira
Entendendo BYOD e como adotá-lo de forma segura na sua
empresa
24/09/2014 20h
Quarta-feira
Implementando o Azure Active Directory Premium com o
Windows Intune para gerenciar dispositivos móveis
Grade completa de webcasts: mvpshowcast.azurewebsites.net
Daniel Donda
Modern Datacenter
Alberto Oliveira
Security
Rodrigo Immaginario
Security
Jorge Vera
IT Consumerization
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)

23. Iniciativas da Microsoft
Premiação MVP
A premiação Microsoft Most Valuable Professional (MVP) é uma forma da Microsoft
agradecer aos líderes independentes da comunidade que compartilham sua paixão,
experiência técnica e conhecimento prático dos produtos da Microsoft com outros.
mvp.microsoft.com
Programa MVP Mentor
O Programa MVP Mentor conecta estudantes que querem aprender mais sobre
tecnologias Microsoft com especialistas independentes: os MVPs da Microsoft.
mvp.microsoft.com/en-us/MVP-mentor.aspx
Microsoft Virtual Academy
Treinamento gratuito da Microsoft
oferecido por especialistas.
www.microsoftvirtualacademy.com
Curah!
Serviço de curadoria projetado para
e mantido pela comunidade técnica.
curah.microsoft.com
© 2014, MVP ShowCast (mvpshowcast.azurewebsites.net) Programa MVP (mvp.microsoft.com)