Lio con DNS interno y externo

18/02/2006 - 19:55 por Boost | Informe spam
Os cuento mi duda:

Actualmente tengo 5 equipos corriendo en un grupo de trabajo, uno de ellos
es el "servidor" que da conexión compartida a internet, almacén de documentos
y correo electrónico mediante una aplicación de terceros. Este equipo ejecuta
Windows XP Professional.

He pensado en mejorar un poco la red y sustituir ese Windows XP por un SBS
2003, ya que quiero integrar más el correo y hacerlo compatible con
dispositivos Smartphone.

Hasta ahora, como mi proveedor de ISP me da IP dinámica, lo que hacía era
tener un DNS de no-ip.com para tener siempre visible el servidor desde la
extranet, y como todos los equipos dependían de ese servidor, podía tener las
cuentas de correo del outlook apuntando a algo.no-ip.com tanto en la intranet
como en la extranet, ya que todo pasaba por el servidor. No se si esto
compromete la seguridad... yo no he tenido problemas.

El caso es que estoy con la versión de evaluación de SBS 2k3 y lo primero
que me pide es un nombre para un DNS interno, por lo que entiendo que el SBS
2k3 diferencia entre el DNS externo y el interno. Se que lo suyo es
configurar el DNS interno con algo.no-ip.com.local o como subdominio del
dominio externo (corp.algo.no-ip.com), pero si hago esto, mis equipos
portátiles dejarán de poder acceder al outlook explicitando el DNS externo
desde la intranet. Como la mayoría son equipos portátiles, no veo lógico
tener que estar cambiando la dirección del servidor en los clientes cada vez
que entro o salgo de la red externa. También se que podría, una vez que estoy
en la zona externa, conectarme mediante VPN a la intranet, pero actualmente
no lo hago y me funciona bien.

La duda es... ¿qué riesgo existe si pongo el DNS interno y el externo como
algo.no-ip.com? ¿Como puedo crear algun DNS que sea efectivo desde la zona
interna y externa sin necesidad de recurrir a VPN?

Gracias.
 

Leer las respuestas

#1 Rafael E. Villaseñor Jofré
20/02/2006 - 04:44 | Informe spam
Son dos o mas temas distintos.
Cuando creas un dominio 2000/2003 se sugiere utilices un nombre DNS que no
pueda asociarse a un dominio de Internet debido a la confusión en los DNS
externos e internos.
"Podrían" ocurrir 2 cosas:
1) que los sites externos de tu compañía, por ejemplo un www.tudominio.com,
no sea accesible ya que lo buscaría en el DNS interno.
2) que registres tus hosts locales en los DNS externos, revelando las IP y
nombres de tus equipos de la LAN, cosa muy útil para alguien que quisiera
vulnerar tu seguridad.

NO existe dificultad alguna en tener el siguiente escenario:
Dominio local: midominio.local
Dominio en Internet (utilizado por ejemplo para mails): midominio.com
DNS dinámico (que permita a los usuarios móviles o externos alcanzar el o
los servers de la LAN): midominio.no-ip.com

Ésto último es solo una manera de poder localizar fácilmente tu server ante
una IP dinámica, pero nada tiene que ver con la utilización de los nombres
internos o públicos.

No me queda muy claro lo que planteas relacionado con los Outlook.
Naturalmente los Outlook no tendrán problemas para enviar sus mails desde la
LAN, pero estando afuera tampoco.
Si bien mencionas "al pasar" que utilizas una aplicación de 3os para correo
electrónico, te comento que SBS2003 integra Exchange 2003.
Con dicho server podrías acceder al correo corporativo tanto por:
- Outlook vía VPN
- Outlook vía RPC sobre HTTP.
- OWA - Outlook Web Access (webmail de Exchange para browsers de Internet)
- OMA - Outlook Mobile Access (webmail de Exchange para dispositivos móviles
como SMARTPHONES o celulares)

Finalmente, un equipo móvil o externo, no necesita para enviar correo
enlazar una VPN.
Además de lo descripto anteriormente, también podrías habilitar tanto SMTP
como POP3 en el último de los casos.

Saludos.
Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina

Participa en http://www.grupoitpro.com.ar

"Boost" escribió en el mensaje
news:
Os cuento mi duda:

Actualmente tengo 5 equipos corriendo en un grupo de trabajo, uno de ellos
es el "servidor" que da conexión compartida a internet, almacén de
documentos
y correo electrónico mediante una aplicación de terceros. Este equipo
ejecuta
Windows XP Professional.

He pensado en mejorar un poco la red y sustituir ese Windows XP por un SBS
2003, ya que quiero integrar más el correo y hacerlo compatible con
dispositivos Smartphone.

Hasta ahora, como mi proveedor de ISP me da IP dinámica, lo que hacía era
tener un DNS de no-ip.com para tener siempre visible el servidor desde la
extranet, y como todos los equipos dependían de ese servidor, podía tener
las
cuentas de correo del outlook apuntando a algo.no-ip.com tanto en la
intranet
como en la extranet, ya que todo pasaba por el servidor. No se si esto
compromete la seguridad... yo no he tenido problemas.

El caso es que estoy con la versión de evaluación de SBS 2k3 y lo primero
que me pide es un nombre para un DNS interno, por lo que entiendo que el
SBS
2k3 diferencia entre el DNS externo y el interno. Se que lo suyo es
configurar el DNS interno con algo.no-ip.com.local o como subdominio del
dominio externo (corp.algo.no-ip.com), pero si hago esto, mis equipos
portátiles dejarán de poder acceder al outlook explicitando el DNS externo
desde la intranet. Como la mayoría son equipos portátiles, no veo lógico
tener que estar cambiando la dirección del servidor en los clientes cada
vez
que entro o salgo de la red externa. También se que podría, una vez que
estoy
en la zona externa, conectarme mediante VPN a la intranet, pero
actualmente
no lo hago y me funciona bien.

La duda es... ¿qué riesgo existe si pongo el DNS interno y el externo como
algo.no-ip.com? ¿Como puedo crear algun DNS que sea efectivo desde la zona
interna y externa sin necesidad de recurrir a VPN?

Gracias.

Preguntas similares