Consejo sobre seguridad informatica

10/08/2003 - 17:03 por Alberto | Informe spam
Debo de reorganizar la empresa en el sentido de seguirad informatica.
Entonces os cuento como tengo instaldo todo y haber si me podeis orientar.

Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y Servidor
VPN, abos con las ips internas siguientes:
WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
10.1.0.3

Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en el
rango : 10.1.3.x
Los equipos de los usaurios segun sea el departamento en: 10.1.x.x

Entonces lo veo muy peligroso ya que si entran a cualquier equipo de los
publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos en el
VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo que es
el servidor mas "seguro" que tengo ahora mismo.

He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos. Tenia
pensado lo siguiente:

ISA Servers Publicos - ISA - Red Interna , pero que rango de
ips pongo para que no haya problema?, que me aconsejais?. Muchas gracias.

Preguntas similare

Leer las respuestas

#1 Alberto
10/08/2003 - 18:17 | Informe spam
Podria hacer lo siguiente?::

ISA SERVER1: 10.0.0.1
SERVIDORES PUBLICOS: 10.0.52.x
ISASERVER2: 10.0.1.1
CLIENTES y SERVERS: 172.16.3.x

Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT: 25 -110,
PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
Configurar el ISA2 para que tenga abiert todos los puertos no de salida o lo
que yo vea que los clientes o servidores necesiten no?, pero si los servers
solamente va a estar detras del ISa2, con abrir solo los puertos del correo
y el 8080 del ISa para accesoa INTERNET mas que chuta no??

Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de COrreo,
debo poner este server delante del ISA1 si proteccion alguna??. Que puerto
debo abrir para que no haya problemas de ocmunicacion de los servers detras
del ISA1 y los del ISa2 con el del DNS del Directorio Activo?


"Javier Inglés [MS MVP]" escribió en el
mensaje news:
El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
IP's que tú determninas, pero en las reglas de los firewall será donde se
fikltr las comunicaciones IP;

de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí

en www.isaserver.org tienes info sobre DMZ's con ISA Server

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
Debo de reorganizar la empresa en el sentido de seguirad informatica.
Entonces os cuento como tengo instaldo todo y haber si me podeis orientar.

Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y Servidor
VPN, abos con las ips internas siguientes:
WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
10.1.0.3

Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en el
rango : 10.1.3.x
Los equipos de los usaurios segun sea el departamento en: 10.1.x.x

Entonces lo veo muy peligroso ya que si entran a cualquier equipo de los
publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos en


el
VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo que


es
el servidor mas "seguro" que tengo ahora mismo.

He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos. Tenia
pensado lo siguiente:

ISA Servers Publicos - ISA - Red Interna , pero que rango


de
ips pongo para que no haya problema?, que me aconsejais?. Muchas gracias.


Respuesta Responder a este mensaje
#2 Javier Inglés [MS MVP]
10/08/2003 - 18:32 | Informe spam
Te recomeindo que te leas en www.isaserver.org el artículo referente a DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán tener 2 arjetas de red)

El ISA1 deberá permitir de entrada los puertos que estimes oportunos (80, 25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre rexomiendo que se haga por HTTPS-443-).

El servidor DNS si es para reslcuiones de internet debe estar en la DMZ también...será el ISA1 el que filtre laspeticiones al puerto 53

El ISA2 no debe permitir que haya tráfico de entrada a la red local; pero de la red local a la red DMZ sí; sin embargo, si tienes AD:
Q179442 How to Configure a Firewall for Domains and Trusts


Active Directory in Networks Segmented by Firewalls
http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en

Salu2!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"Alberto" escribió en el mensaje news:
Podria hacer lo siguiente?::

ISA SERVER1: 10.0.0.1
SERVIDORES PUBLICOS: 10.0.52.x
ISASERVER2: 10.0.1.1
CLIENTES y SERVERS: 172.16.3.x

Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT: 25 -110,
PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
Configurar el ISA2 para que tenga abiert todos los puertos no de salida o lo
que yo vea que los clientes o servidores necesiten no?, pero si los servers
solamente va a estar detras del ISa2, con abrir solo los puertos del correo
y el 8080 del ISa para accesoa INTERNET mas que chuta no??

Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de COrreo,
debo poner este server delante del ISA1 si proteccion alguna??. Que puerto
debo abrir para que no haya problemas de ocmunicacion de los servers detras
del ISA1 y los del ISa2 con el del DNS del Directorio Activo?


"Javier Inglés [MS MVP]" escribió en el
mensaje news:
El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
IP's que tú determninas, pero en las reglas de los firewall será donde se
fikltr las comunicaciones IP;

de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí

en www.isaserver.org tienes info sobre DMZ's con ISA Server

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Debo de reorganizar la empresa en el sentido de seguirad informatica.
> Entonces os cuento como tengo instaldo todo y haber si me podeis orientar.
>
> Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y Servidor
> VPN, abos con las ips internas siguientes:
> WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
> 10.1.0.3
>
> Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en el
> rango : 10.1.3.x
> Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
>
> Entonces lo veo muy peligroso ya que si entran a cualquier equipo de los
> publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos en
el
> VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo que
es
> el servidor mas "seguro" que tengo ahora mismo.
>
> He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos. Tenia
> pensado lo siguiente:
>
> ISA Servers Publicos - ISA - Red Interna , pero que rango
de
> ips pongo para que no haya problema?, que me aconsejais?. Muchas gracias.
>
>


Respuesta Responder a este mensaje
#3 Alberto
10/08/2003 - 18:44 | Informe spam
Como hago lo del OWA que me comentas que sea por HTTPS-443??.

EL ISA1 debe SER los puertos IN/OUT??. y el ISA2, sera todos OUT y nada IN,
no?
Ere sun mostruo, ayudas mucho.

"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Te recomeindo que te leas en www.isaserver.org el artículo referente a
DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán
tener 2 arjetas de red)

El ISA1 deberá permitir de entrada los puertos que estimes oportunos (80,
25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre rexomiendo
que se haga por HTTPS-443-).

El servidor DNS si es para reslcuiones de internet debe estar en la DMZ
también...será el ISA1 el que filtre laspeticiones al puerto 53

El ISA2 no debe permitir que haya tráfico de entrada a la red local; pero de
la red local a la red DMZ sí; sin embargo, si tienes AD:
Q179442 How to Configure a Firewall for Domains and Trusts


Active Directory in Networks Segmented by Firewalls
http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-
9767-a9166368434e&DisplayLang=en

Salu2!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
Podria hacer lo siguiente?::

ISA SERVER1: 10.0.0.1
SERVIDORES PUBLICOS: 10.0.52.x
ISASERVER2: 10.0.1.1
CLIENTES y SERVERS: 172.16.3.x

Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT:


25 -110,
PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
Configurar el ISA2 para que tenga abiert todos los puertos no de salida o


lo
que yo vea que los clientes o servidores necesiten no?, pero si los


servers
solamente va a estar detras del ISa2, con abrir solo los puertos del


correo
y el 8080 del ISa para accesoa INTERNET mas que chuta no??

Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de COrreo,
debo poner este server delante del ISA1 si proteccion alguna??. Que puerto
debo abrir para que no haya problemas de ocmunicacion de los servers


detras
del ISA1 y los del ISa2 con el del DNS del Directorio Activo?


"Javier Inglés [MS MVP]" escribió en el
mensaje news:
El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
IP's que tú determninas, pero en las reglas de los firewall será donde se
fikltr las comunicaciones IP;

de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí

en www.isaserver.org tienes info sobre DMZ's con ISA Server

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y


no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Debo de reorganizar la empresa en el sentido de seguirad informatica.
> Entonces os cuento como tengo instaldo todo y haber si me podeis


orientar.
>
> Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y


Servidor
> VPN, abos con las ips internas siguientes:
> WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
> 10.1.0.3
>
> Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en el
> rango : 10.1.3.x
> Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
>
> Entonces lo veo muy peligroso ya que si entran a cualquier equipo de los
> publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos


en
el
> VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo


que
es
> el servidor mas "seguro" que tengo ahora mismo.
>
> He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos.


Tenia
> pensado lo siguiente:
>
> ISA Servers Publicos - ISA - Red Interna , pero que


rango
de
> ips pongo para que no haya problema?, que me aconsejais?. Muchas


gracias.
>
>


Respuesta Responder a este mensaje
#4 Alberto
10/08/2003 - 18:57 | Informe spam
Muchas gracias Javier. Una ultima cosa, lo que me dices de: En tu caso
entiendo que necesitas de entrada el 80, 443, 25, 53; de salida el 80, el
110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación... Me haria tambien falta abrir los de la VPN no??, habrá
algu problema si pongo este server que ya tiene ISASERVER dentro de la
DMZ???



"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Para usar HTTPS debes tener configurado un server que haga de entidad
certificadora yu por tanto implementar una infraestructura PKI.

Info al respecto:

Infraestructura de PKI/Certificate Servers:
http://www.microsoft.com/technet/tr.../prodtechn
ol/exchange/maintain/optimize/win2kms.asp



Step by step Setting up a CA

http://www.microsoft.com/windows200...setupsteps
.asp



Step by Step Administering CA

http://www.microsoft.com/windows200...dminca.asp



Certificate Server

http://www.microsoft.com/windows200...setupsteps
.asp



HOW TO: Use Certificates with Virtual Servers in Exchange 2000 Server

http://support.microsoft.com/defaul...us;Q319574



Designing a Public Key Infrastructure

http://www.microsoft.com/technet/tr.../prodtechn
ol/windowsnetserver/evaluate/cpp/reskit/adsec/part2/rkddspki.asp



De éstos enlñaces mira bien los vídeos que te muestran, muy prácticos:

Cómo administrar empleados móviles con clientes que no forman parte
del dominio




http://www.microsoft.com/spain/tech....asp?opcio
n07034



Cómo administrar empleados móviles con clientes que forman parte del
dominio




http://www.microsoft.com/spain/tech....asp?opcio
n07033



Para el ISA1 mira ésto:

Microsoft Internet Security and Acceleration (ISA) Server 2000 Feature Pack
1
http://www.microsoft.com/spain/tech....asp?opcio
n06032


Te explica cómo publicar servicios web y de correo fácilmente



En tu caso entiendo que necesitas de entrada el 80, 443, 25, 53; de salida
el 80, el 110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación.



En el ISA2 revisa el ar´ticulo de AD segmented by firewall porque sí vs a
necesitar abrir puertos con la red Local si tienes un DC en la DMZ.



Salu2!!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
Como hago lo del OWA que me comentas que sea por HTTPS-443??.

EL ISA1 debe SER los puertos IN/OUT??. y el ISA2, sera todos OUT y nada


IN,
no?
Ere sun mostruo, ayudas mucho.

"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Te recomeindo que te leas en www.isaserver.org el artículo referente a
DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán
tener 2 arjetas de red)

El ISA1 deberá permitir de entrada los puertos que estimes oportunos (80,
25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre rexomiendo
que se haga por HTTPS-443-).

El servidor DNS si es para reslcuiones de internet debe estar en la DMZ
también...será el ISA1 el que filtre laspeticiones al puerto 53

El ISA2 no debe permitir que haya tráfico de entrada a la red local; pero


de
la red local a la red DMZ sí; sin embargo, si tienes AD:
Q179442 How to Configure a Firewall for Domains and Trusts


Active Directory in Networks Segmented by Firewalls



http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-
9767-a9166368434e&DisplayLang=en

Salu2!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y


no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Podria hacer lo siguiente?::
>
> ISA SERVER1: 10.0.0.1
> SERVIDORES PUBLICOS: 10.0.52.x
> ISASERVER2: 10.0.1.1
> CLIENTES y SERVERS: 172.16.3.x
>
> Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT:
25 -110,
> PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
> Configurar el ISA2 para que tenga abiert todos los puertos no de salida


o
lo
> que yo vea que los clientes o servidores necesiten no?, pero si los
servers
> solamente va a estar detras del ISa2, con abrir solo los puertos del
correo
> y el 8080 del ISa para accesoa INTERNET mas que chuta no??
>
> Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de


COrreo,
> debo poner este server delante del ISA1 si proteccion alguna??. Que


puerto
> debo abrir para que no haya problemas de ocmunicacion de los servers
detras
> del ISA1 y los del ISa2 con el del DNS del Directorio Activo?
>
>
> "Javier Inglés [MS MVP]" escribió en el
> mensaje news:
> El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
> IP's que tú determninas, pero en las reglas de los firewall será donde


se
> fikltr las comunicaciones IP;
>
> de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí
>
> en www.isaserver.org tienes info sobre DMZ's con ISA Server
>
> Salu2!!!
>
> Javier Inglés
> MS-MVP
>
> :
> <<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,


y
no
> otorga ningún derecho
>
>
> "Alberto" escribió en el mensaje
> news:
> > Debo de reorganizar la empresa en el sentido de seguirad informatica.
> > Entonces os cuento como tengo instaldo todo y haber si me podeis
orientar.
> >
> > Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y
Servidor
> > VPN, abos con las ips internas siguientes:
> > WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
> > 10.1.0.3
> >
> > Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en


el
> > rango : 10.1.3.x
> > Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
> >
> > Entonces lo veo muy peligroso ya que si entran a cualquier equipo de


los
> > publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos
en
> el
> > VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo
que
> es
> > el servidor mas "seguro" que tengo ahora mismo.
> >
> > He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos.
Tenia
> > pensado lo siguiente:
> >
> > ISA Servers Publicos - ISA - Red Interna , pero que
rango
> de
> > ips pongo para que no haya problema?, que me aconsejais?. Muchas
gracias.
> >
> >
>
>


Respuesta Responder a este mensaje
#5 Alberto
10/08/2003 - 19:08 | Informe spam
GRACIAS POR TODO.Si tengo alguna duda te la comunico. Gracias Javier.


"Javier Inglés [MS MVP]" escribió en el
mensaje news:#
Lo de la VPN lo que te dije antes, el 1723TCP y en algunos casos será
necesario el 47GRE ó UDP en su defecto.

El montar una DMZ no es poner un ISA en es ared y ya está...dberás hacer un
estudio minucioso y varias pruebas para hacer que todo funcione; montar una
DMZ y que cumpla su cometido perfectamente (que no es ni más ni menos que
ofrecer alta seguridad) no es una tarea de hoy para mañana...depende de
muchos factores y por tanto requiere paciencia, estudio y pruebas, muchas
pruebas :-))

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:O%
Muchas gracias Javier. Una ultima cosa, lo que me dices de: En tu caso
entiendo que necesitas de entrada el 80, 443, 25, 53; de salida el 80, el
110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación... Me haria tambien falta abrir los de la VPN no??, habrá
algu problema si pongo este server que ya tiene ISASERVER dentro de la
DMZ???



"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Para usar HTTPS debes tener configurado un server que haga de entidad
certificadora yu por tanto implementar una infraestructura PKI.

Info al respecto:

Infraestructura de PKI/Certificate Servers:



http://www.microsoft.com/technet/tr.../prodtechn
ol/exchange/maintain/optimize/win2kms.asp



Step by step Setting up a CA




http://www.microsoft.com/windows200...setupsteps
.asp



Step by Step Administering CA




http://www.microsoft.com/windows200...dminca.asp



Certificate Server




http://www.microsoft.com/windows200...setupsteps
.asp



HOW TO: Use Certificates with Virtual Servers in Exchange 2000 Server

http://support.microsoft.com/defaul...us;Q319574



Designing a Public Key Infrastructure




http://www.microsoft.com/technet/tr.../prodtechn
ol/windowsnetserver/evaluate/cpp/reskit/adsec/part2/rkddspki.asp



De éstos enlñaces mira bien los vídeos que te muestran, muy prácticos:

Cómo administrar empleados móviles con clientes que no forman parte
del dominio







http://www.microsoft.com/spain/tech....asp?opcio
n07034



Cómo administrar empleados móviles con clientes que forman parte del
dominio







http://www.microsoft.com/spain/tech....asp?opcio
n07033



Para el ISA1 mira ésto:

Microsoft Internet Security and Acceleration (ISA) Server 2000 Feature


Pack
1



http://www.microsoft.com/spain/tech....asp?opcio
n06032


Te explica cómo publicar servicios web y de correo fácilmente



En tu caso entiendo que necesitas de entrada el 80, 443, 25, 53; de salida
el 80, el 110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación.



En el ISA2 revisa el ar´ticulo de AD segmented by firewall porque sí vs a
necesitar abrir puertos con la red Local si tienes un DC en la DMZ.



Salu2!!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y


no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Como hago lo del OWA que me comentas que sea por HTTPS-443??.
>
> EL ISA1 debe SER los puertos IN/OUT??. y el ISA2, sera todos OUT y nada
IN,
> no?
> Ere sun mostruo, ayudas mucho.
>
> "Javier Inglés [MS MVP]" escribió en el
> mensaje news:
> Te recomeindo que te leas en www.isaserver.org el artículo referente a
> DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán
> tener 2 arjetas de red)
>
> El ISA1 deberá permitir de entrada los puertos que estimes oportunos


(80,
> 25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre


rexomiendo
> que se haga por HTTPS-443-).
>
> El servidor DNS si es para reslcuiones de internet debe estar en la DMZ
> también...será el ISA1 el que filtre laspeticiones al puerto 53
>
> El ISA2 no debe permitir que haya tráfico de entrada a la red local;


pero
de
> la red local a la red DMZ sí; sin embargo, si tienes AD:
> Q179442 How to Configure a Firewall for Domains and Trusts
>
>
> Active Directory in Networks Segmented by Firewalls
>



http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-
> 9767-a9166368434e&DisplayLang=en
>
> Salu2!!
>
>
> Javier Inglés
> MS-MVP
>
> :
> <<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,


y
no
> otorga ningún derecho
>
>
> "Alberto" escribió en el mensaje
> news:
> > Podria hacer lo siguiente?::
> >
> > ISA SERVER1: 10.0.0.1
> > SERVIDORES PUBLICOS: 10.0.52.x
> > ISASERVER2: 10.0.1.1
> > CLIENTES y SERVERS: 172.16.3.x
> >
> > Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT:
> 25 -110,
> > PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
> > Configurar el ISA2 para que tenga abiert todos los puertos no de


salida
o
> lo
> > que yo vea que los clientes o servidores necesiten no?, pero si los
> servers
> > solamente va a estar detras del ISa2, con abrir solo los puertos del
> correo
> > y el 8080 del ISa para accesoa INTERNET mas que chuta no??
> >
> > Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de
COrreo,
> > debo poner este server delante del ISA1 si proteccion alguna??. Que
puerto
> > debo abrir para que no haya problemas de ocmunicacion de los servers
> detras
> > del ISA1 y los del ISa2 con el del DNS del Directorio Activo?
> >
> >
> > "Javier Inglés [MS MVP]" escribió en


el
> > mensaje news:
> > El esquema que presentas es el adecuado; en una DMZ tú pones un rango


de
> > IP's que tú determninas, pero en las reglas de los firewall será donde
se
> > fikltr las comunicaciones IP;
> >
> > de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ



> >
> > en www.isaserver.org tienes info sobre DMZ's con ISA Server
> >
> > Salu2!!!
> >
> > Javier Inglés
> > MS-MVP
> >
> > :
> > <<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>
> >
> > Este mensaje se proporciona "como está" sin garantías de ninguna


clase,
y
> no
> > otorga ningún derecho
> >
> >
> > "Alberto" escribió en el mensaje
> > news:
> > > Debo de reorganizar la empresa en el sentido de seguirad


informatica.
> > > Entonces os cuento como tengo instaldo todo y haber si me podeis
> orientar.
> > >
> > > Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y
> Servidor
> > > VPN, abos con las ips internas siguientes:
> > > WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2


VPN:
> > > 10.1.0.3
> > >
> > > Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc...


en
el
> > > rango : 10.1.3.x
> > > Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
> > >
> > > Entonces lo veo muy peligroso ya que si entran a cualquier equipo de
los
> > > publicos me la pueden armar bien gorda. Solamente tengo un


cortafuegos
> en
> > el
> > > VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor


lo
> que
> > es
> > > el servidor mas "seguro" que tengo ahora mismo.
> > >
> > > He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos.
> Tenia
> > > pensado lo siguiente:
> > >
> > > ISA Servers Publicos - ISA - Red Interna , pero que
> rango
> > de
> > > ips pongo para que no haya problema?, que me aconsejais?. Muchas
> gracias.
> > >
> > >
> >
> >
>
>


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida