Administrar varios equipos Windows desde un host bastion

05/01/2009 - 01:14 por Alejandro | Informe spam
Hola, un amigo tiene una red empresarial con algunos servidores Windows que tienen rutas
hacia otras maquinas de la red y ademas dichos servidores tienen algunos servicios con
informacion sensible. Hay necesidad que algunos proveedores externos accedan a estos
servidores desde Internet para tareas de mantenimiento, razon por la cual seria deseable
que no accedan a ellos en forma directa sino que lo hagan a traves de algun esquema tipo
"host bastion" que consistiria en lo siguiente:

- El host bastion se conecta a todos los servers a traves de una segunda placa de red en
cada uno de ellos, formando una subred aparte
- Un usuario del host bastion debera poder acceder solo a los servicios que uno defina de
los servidores Windows de la red, para llevar a cabo las tareas de mantenimiento
- No se debe permitir que el usuario del host bastion se loguee como usuario de algun
servidor Windows, solo intercatua sobre los servicios deseados y devuelve la respuesta

Existe esta posibilidad ??? O cual es la solucion mas indicada ???

Muchas gracias

Alejandro

Preguntas similare

Leer las respuestas

#1 Fernando Reyes [MS MVP]
05/01/2009 - 07:12 | Informe spam
¿De qué servicios estamos hablando? Puede no ser necesario tanto,
simplemente publicar los servicios en el Firewall.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Alejandro" escribió en el mensaje de
noticias:
Hola, un amigo tiene una red empresarial con algunos servidores Windows
que tienen rutas hacia otras maquinas de la red y ademas dichos servidores
tienen algunos servicios con informacion sensible. Hay necesidad que
algunos proveedores externos accedan a estos servidores desde Internet
para tareas de mantenimiento, razon por la cual seria deseable que no
accedan a ellos en forma directa sino que lo hagan a traves de algun
esquema tipo "host bastion" que consistiria en lo siguiente:

- El host bastion se conecta a todos los servers a traves de una segunda
placa de red en cada uno de ellos, formando una subred aparte
- Un usuario del host bastion debera poder acceder solo a los servicios
que uno defina de los servidores Windows de la red, para llevar a cabo las
tareas de mantenimiento
- No se debe permitir que el usuario del host bastion se loguee como
usuario de algun servidor Windows, solo intercatua sobre los servicios
deseados y devuelve la respuesta

Existe esta posibilidad ??? O cual es la solucion mas indicada ???

Muchas gracias

Alejandro
Respuesta Responder a este mensaje
#2 Alejandro
05/01/2009 - 14:09 | Informe spam
Fernando Reyes [MS MVP] escribió:
¿De qué servicios estamos hablando? Puede no ser necesario tanto,
simplemente publicar los servicios en el Firewall.




Gracias por responder, me refiero a servicios de base de datos (que pueden ser publicados
en el firewall) pero tambien a tareas administrativas como por ejemplo permitir
operaciones de re-arranque de servicios o de creacion y borrado de archivos en una
determinada carpeta de la unidad C.

Aguardo tu opinion por favor.

Saludos
Respuesta Responder a este mensaje
#3 Fernando Reyes [MS MVP]
05/01/2009 - 14:29 | Informe spam
La creación y borrado de archivos sería lo mejor vía FTP o WebDAV (por
cierto, que Windows Server 2008 ya por fin permite SSL en el FTP), pero el
arranque y parada de servicios, eso es otra cosa.

Para eso podría interesarte instalar la administración remota por IIS en los
equipos y publicarla en el Firewall o WS-Management (WinRM - WinRS) que te
permite realizar esas tareas a través de HTTP o HTTPS, con lo que tan sólo
tendrías que publicar esos servicios en el Firewall (deberías encaminar un
puerto diferente para cada equipo, o si no utilizar un equipo al que sí se
conectara por escritorio remoto (equipo en la DMZ) y desde ése utlilizar
WS-Management o administración remota.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Alejandro" escribió en el mensaje de
noticias:
Fernando Reyes [MS MVP] escribió:
¿De qué servicios estamos hablando? Puede no ser necesario tanto,
simplemente publicar los servicios en el Firewall.




Gracias por responder, me refiero a servicios de base de datos (que pueden
ser publicados en el firewall) pero tambien a tareas administrativas como
por ejemplo permitir operaciones de re-arranque de servicios o de creacion
y borrado de archivos en una determinada carpeta de la unidad C.

Aguardo tu opinion por favor.

Saludos
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida