Necesito Consejo Seguridad Informática

07/12/2003 - 18:34 por Camaleon | Informe spam
He entrado en una nueva empresa y me he encontrado el siguiente esquema de
red ( actual.jpg ). Según he visto, existe un alto riesgo de inseguridad
como podeis ver, y no sé como hacerlo. Lo primero que se me ha ocurrido es
hacer un DMZ y dejar en esa DMZ solamente el Exchange Server y el VPN. Los
pasos a seguir serian los siguientes:



1.- El Member Server que hace de VPN de ISA a ISA con otro
compañía, dejarle tal y como está, ya que creo que es el que menos peligro
tiene ( este server también lo usa la compañía para salir a Internet
mediante los clientes de ISA ). Cambiarle la IP a 172.30.x.x



2.- El DomainA-ext que desaparezca y degradar el servidor DC de Exchange
2000 a un Member Server y cambiarle la IP interna a por ejemplo 172.30.x.x.
No sé si se podrá convertir a Member Server ya que creo que el Exchange 2000
tira de Directorio Activo..



Quedaría así ( futuro.jpg )





Otro problema que no sé como solucionarlo es el siguiente. Ahora mismo, si
quiero dar de alta un usuario en el DomainA-ext le doy y se me crea el buzón
correctamente, pero también debo de darle de alta en el DomainA-int para que
pueda recibir el correo sin problema, lo que no me gusta es tener en un
servidor público los usuarios con sus password igual que en el dominio
interno, ya que estoy exponiendo mi dominio interno al exterior, como pùedo
solucionar esto??

Preguntas similare

Leer las respuestas

#1 Ivan [MS MVP]
07/12/2003 - 19:23 | Informe spam
Hola Camaleon ;-), te contesto dentro del mensaje.

"Camaleon" escribió en el mensaje news:
He entrado en una nueva empresa y me he encontrado el siguiente esquema de
red ( actual.jpg ). Según he visto, existe un alto riesgo de inseguridad
como podeis ver, y no sé como hacerlo. Lo primero que se me ha ocurrido es
hacer un DMZ y dejar en esa DMZ solamente el Exchange Server y el VPN. Los
pasos a seguir serian los siguientes:




Bueno, yo no diria que es un entormo inseguro, todo esta detras de los cortafuegos y ningun servidor esta en contacto directo con Internet. Que implementando una DMZ en Back-to-back ganas en seguridad ? por supuesto.

1.- El Member Server que hace de VPN de ISA a ISA con otro
compañía, dejarle tal y como está, ya que creo que es el que menos peligro
tiene ( este server también lo usa la compañía para salir a Internet
mediante los clientes de ISA ). Cambiarle la IP a 172.30.x.x




Si solo tienen que acceder a los equipos de la DMZ perfecto. Si tienen que acceder a la red interna lo tienes mas dificil, tendrias que establecer dos tuneles, uno contra el ISA externo y otro contra el interno. Es posible realizarlo.


2.- El DomainA-ext que desaparezca y degradar el servidor DC de Exchange
2000 a un Member Server y cambiarle la IP interna a por ejemplo 172.30.x.x.
No sé si se podrá convertir a Member Server ya que creo que el Exchange 2000
tira de Directorio Activo..




Respecto a Exchange, necesitas AD con lo que necesitas montar otro dominio en otro bosque en la DMZ. No puedes permitir (no debes) que los equipos de la DMZ esten integrados en el dominio interno. La otra opcion pasa por poner ambos servidores en el dominio interno y usar una configuracion FE-BE y dejar en la DMZ un servidor SMTP de relay. En estos articulos tienes informacion:
http://www.isaserver.org/articles/i...ogies.html
http://www.msexchange.org/articles/...part1.html
http://www.isaserver.org/articles/s...part2.html
http://www.isaserver.org/tutorials/...part3.html


Otro problema que no sé como solucionarlo es el siguiente. Ahora mismo, si
quiero dar de alta un usuario en el DomainA-ext le doy y se me crea el buzón
correctamente, pero también debo de darle de alta en el DomainA-int para que
pueda recibir el correo sin problema, lo que no me gusta es tener en un
servidor público los usuarios con sus password igual que en el dominio
interno, ya que estoy exponiendo mi dominio interno al exterior, como pùedo
solucionar esto??




Quizas te lo tienes que plantear de otro modo. Para que necesitan acceder a los dos servidores de correo ?. Mira los articulos anteriores y a ver que te parece usar una configuracion FE-BE. Podrias usar la DMZ para lo servidores DNS publicos, el SMTP de relay, servidores Web publicos, etc

Un saludo.
Ivan
MS MVP ISA Server
Respuesta Responder a este mensaje
#2 Camaleon
07/12/2003 - 19:45 | Informe spam
""" Si solo tienen que acceder a los equipos de la DMZ perfecto. Si tienen
que acceder a la red interna lo tienes mas dificil, tendrias que establecer
dos tuneles, uno contra el ISA externo y otro contra el interno. Es posible
realizarlo ""

Tienen que acceder a varios servidores internos. Es tan dificil hacerlo???.


"" Respecto a Exchange, necesitas AD con lo que necesitas montar otro
dominio en otro bosque en la DMZ. No puedes permitir (no debes) que los
equipos de la DMZ esten integrados en el dominio interno. La otra opcion
pasa por poner ambos servidores en el dominio interno y usar una
configuracion FE-BE y dejar en la DMZ un servidor SMTP de relay. "".

Ahora mismo el Exchange está en el Domain-A y el resto de la empresa en
Domain-A-Interno( pero se puede decir que es un Domain-B). Lo que pasa que
está en el mismo rango de ip: 172.16.x.x . Si cambio la ip a por ejemplo
172.30.x.x, como puedo hacer que desde Domain-B establezcan "comunicación"
con el Domain-A para el correo y la actualización del Antivirus???. Claro
está que si pongo una ruta estática en el AD del Exchange lo verá, pero
claro, si me entran ahí siguen pudiendo entrar en el dominio interno no???.


"" Quizas te lo tienes que plantear de otro modo. Para que necesitan acceder
a los dos servidores de correo ?. Mira los articulos anteriores y a ver que
te parece usar una configuracion FE-BE. Podrias usar la DMZ para lo
servidores DNS publicos, el SMTP de relay, servidores Web publicos, etc ""

Eso está muy bien y ya lo había pensado, pero no hay presupuesto, solamente
debo tener un servidor de correo y no puedo tener otro con SMTP de Realy,
( de momento y hasta que les explique lo fundamental que seria esto ). Es
decir, de momento debo dejarlo tal y como está, pero no quiero tener los
usuarios dados de alta y con las mismas contraseñas en ambos dominios.
Existe alguna forma de decir que desde el Domain-B puedan tener acceso
completo al Domain-A, pero que desde el Domain-A no puedan acceder al
Domain-B ??. Supongo que con las relaciones de confianza, pero las que puse,
luego me pedian usuario y contraseña continuamente al abrir el outlook y lo
desheché por eso.




"Ivan [MS MVP]" escribió en el mensaje
news:eE0x%
Hola Camaleon ;-), te contesto dentro del mensaje.

"Camaleon" escribió en el mensaje
news:
He entrado en una nueva empresa y me he encontrado el siguiente esquema de
red ( actual.jpg ). Según he visto, existe un alto riesgo de inseguridad
como podeis ver, y no sé como hacerlo. Lo primero que se me ha ocurrido es
hacer un DMZ y dejar en esa DMZ solamente el Exchange Server y el VPN. Los
pasos a seguir serian los siguientes:




Bueno, yo no diria que es un entormo inseguro, todo esta detras de los
cortafuegos y ningun servidor esta en contacto directo con Internet. Que
implementando una DMZ en Back-to-back ganas en seguridad ? por supuesto.

1.- El Member Server que hace de VPN de ISA a ISA con otro
compañía, dejarle tal y como está, ya que creo que es el que menos peligro
tiene ( este server también lo usa la compañía para salir a Internet
mediante los clientes de ISA ). Cambiarle la IP a 172.30.x.x




Si solo tienen que acceder a los equipos de la DMZ perfecto. Si tienen que
acceder a la red interna lo tienes mas dificil, tendrias que establecer dos
tuneles, uno contra el ISA externo y otro contra el interno. Es posible
realizarlo.


2.- El DomainA-ext que desaparezca y degradar el servidor DC de Exchange
2000 a un Member Server y cambiarle la IP interna a por ejemplo


172.30.x.x.
No sé si se podrá convertir a Member Server ya que creo que el Exchange


2000
tira de Directorio Activo..




Respecto a Exchange, necesitas AD con lo que necesitas montar otro dominio
en otro bosque en la DMZ. No puedes permitir (no debes) que los equipos de
la DMZ esten integrados en el dominio interno. La otra opcion pasa por poner
ambos servidores en el dominio interno y usar una configuracion FE-BE y
dejar en la DMZ un servidor SMTP de relay. En estos articulos tienes
informacion:
http://www.isaserver.org/articles/i...ogies.html
http://www.msexchange.org/articles/...part1.html
http://www.isaserver.org/articles/s...part2.html
http://www.isaserver.org/tutorials/...part3.html


Otro problema que no sé como solucionarlo es el siguiente. Ahora mismo, si
quiero dar de alta un usuario en el DomainA-ext le doy y se me crea el


buzón
correctamente, pero también debo de darle de alta en el DomainA-int para


que
pueda recibir el correo sin problema, lo que no me gusta es tener en un
servidor público los usuarios con sus password igual que en el dominio
interno, ya que estoy exponiendo mi dominio interno al exterior, como


pùedo
solucionar esto??




Quizas te lo tienes que plantear de otro modo. Para que necesitan acceder a
los dos servidores de correo ?. Mira los articulos anteriores y a ver que te
parece usar una configuracion FE-BE. Podrias usar la DMZ para lo servidores
DNS publicos, el SMTP de relay, servidores Web publicos, etc

Un saludo.
Ivan
MS MVP ISA Server
Respuesta Responder a este mensaje
#3 Ivan [MS MVP]
07/12/2003 - 20:43 | Informe spam
"Camaleon" escribió en el mensaje news:
""" Si solo tienen que acceder a los equipos de la DMZ perfecto. Si tienen
que acceder a la red interna lo tienes mas dificil, tendrias que establecer
dos tuneles, uno contra el ISA externo y otro contra el interno. Es posible
realizarlo ""

Tienen que acceder a varios servidores internos. Es tan dificil hacerlo???.



Ponte en situacion. Estableces la VPN y los usuarios pueden acceder a la DMZ y ahora, como pasas el ISA trasero para acceder al dominio interno ? pues la unica forma es creando otro tunel VPN sobre el primero. Una vez que estableces el primer tunel la IP externa del ISA trasero ya es alcanzable luego, puedes crear otro tunel contra la IP externa del ISA trasero.
Este metodo para conexiones de cliente funciona perfectamente, en tu caso se trata de una conexion router-to-router y la verdad nunca lo he probado pero entiendo que tiene que funcionar. Estableciendo la conexion manualmente seguro que funciona, puedes tener problemas en caso de caida de la conexion ya que RRAS deberia estblecer primero la conexion contra el ISA delantero y luego con el ISA trasero.




"" Respecto a Exchange, necesitas AD con lo que necesitas montar otro
dominio en otro bosque en la DMZ. No puedes permitir (no debes) que los
equipos de la DMZ esten integrados en el dominio interno. La otra opcion
pasa por poner ambos servidores en el dominio interno y usar una
configuracion FE-BE y dejar en la DMZ un servidor SMTP de relay. "".

Ahora mismo el Exchange está en el Domain-A y el resto de la empresa en
Domain-A-Interno( pero se puede decir que es un Domain-B). Lo que pasa que
está en el mismo rango de ip: 172.16.x.x . Si cambio la ip a por ejemplo
172.30.x.x, como puedo hacer que desde Domain-B establezcan "comunicación"
con el Domain-A para el correo y la actualización del Antivirus???. Claro
está que si pongo una ruta estática en el AD del Exchange lo verá, pero
claro, si me entran ahí siguen pudiendo entrar en el dominio interno no???.



Para eso se usa la DMZ. Si alguna maquina de la DMZ se ve comprometida el intruso no se puede colar en el dominio interno. Para el tema de exchange si solo dispones de un servidor Exchange tienes que ponerlo en el dominio interno. Vamos a suponer que dispones de dos Exchange y creas dos dominios. Donde estan los buzones de los clientes internos ? en el Exchange del dominio interno. Como acceden desde internet los clientes a sus buzones ? pues tendran que acceder al Exchange del dominio interno, no hay mas opciones.



"" Quizas te lo tienes que plantear de otro modo. Para que necesitan acceder
a los dos servidores de correo ?. Mira los articulos anteriores y a ver que
te parece usar una configuracion FE-BE. Podrias usar la DMZ para lo
servidores DNS publicos, el SMTP de relay, servidores Web publicos, etc ""

Eso está muy bien y ya lo había pensado, pero no hay presupuesto, solamente
debo tener un servidor de correo y no puedo tener otro con SMTP de Realy,
( de momento y hasta que les explique lo fundamental que seria esto ). Es
decir, de momento debo dejarlo tal y como está, pero no quiero tener los
usuarios dados de alta y con las mismas contraseñas en ambos dominios.
Existe alguna forma de decir que desde el Domain-B puedan tener acceso
completo al Domain-A, pero que desde el Domain-A no puedan acceder al
Domain-B ??. Supongo que con las relaciones de confianza, pero las que puse,
luego me pedian usuario y contraseña continuamente al abrir el outlook y lo
desheché por eso.



Una cosa es una relacion de confianza y otra muy distinta donde reside el buzon de un cliente. Aun teniendo establecida esa relacion de confianza el cliente al conectarse a su buzon debe de especificar un usuario y contrasela validos para acceder a ese buzon, con lo cual en el dominio de Exchange debe de existir un usuario con el mismo nombre y contraseña que la del otro dominio, no te confundas con una carpeta compartida, en ese caso en la seguridad de esa carpeta permites a los usuarios del otro dominio. Lo unico que estas consiguiendo es tener por duplicado las cuentas de usuario, una en cada dominio. Pienso que la mejor forma de realizarlo seria situar el Exchange en el dominio interno. Si te parece, pregunta en el grupo de Exchange y a ver que te cuentan.


Un saludo.
Ivan
MS MVP ISA Server
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida