Necesito Consejo Seguridad Informática

07/12/2003 - 18:34 por Camaleon | Informe spam
He entrado en una nueva empresa y me he encontrado el siguiente esquema de
red ( actual.jpg ). Según he visto, existe un alto riesgo de inseguridad
como podeis ver, y no sé como hacerlo. Lo primero que se me ha ocurrido es
hacer un DMZ y dejar en esa DMZ solamente el Exchange Server y el VPN. Los
pasos a seguir serian los siguientes:



1.- El Member Server que hace de VPN de ISA a ISA con otro
compañía, dejarle tal y como está, ya que creo que es el que menos peligro
tiene ( este server también lo usa la compañía para salir a Internet
mediante los clientes de ISA ). Cambiarle la IP a 172.30.x.x



2.- El DomainA-ext que desaparezca y degradar el servidor DC de Exchange
2000 a un Member Server y cambiarle la IP interna a por ejemplo 172.30.x.x.
No sé si se podrá convertir a Member Server ya que creo que el Exchange 2000
tira de Directorio Activo..



Quedaría así ( futuro.jpg )





Otro problema que no sé como solucionarlo es el siguiente. Ahora mismo, si
quiero dar de alta un usuario en el DomainA-ext le doy y se me crea el buzón
correctamente, pero también debo de darle de alta en el DomainA-int para que
pueda recibir el correo sin problema, lo que no me gusta es tener en un
servidor público los usuarios con sus password igual que en el dominio
interno, ya que estoy exponiendo mi dominio interno al exterior, como pùedo
solucionar esto??
 

Leer las respuestas

#1 Ivan [MS MVP]
07/12/2003 - 19:23 | Informe spam
Hola Camaleon ;-), te contesto dentro del mensaje.

"Camaleon" escribió en el mensaje news:
He entrado en una nueva empresa y me he encontrado el siguiente esquema de
red ( actual.jpg ). Según he visto, existe un alto riesgo de inseguridad
como podeis ver, y no sé como hacerlo. Lo primero que se me ha ocurrido es
hacer un DMZ y dejar en esa DMZ solamente el Exchange Server y el VPN. Los
pasos a seguir serian los siguientes:




Bueno, yo no diria que es un entormo inseguro, todo esta detras de los cortafuegos y ningun servidor esta en contacto directo con Internet. Que implementando una DMZ en Back-to-back ganas en seguridad ? por supuesto.

1.- El Member Server que hace de VPN de ISA a ISA con otro
compañía, dejarle tal y como está, ya que creo que es el que menos peligro
tiene ( este server también lo usa la compañía para salir a Internet
mediante los clientes de ISA ). Cambiarle la IP a 172.30.x.x




Si solo tienen que acceder a los equipos de la DMZ perfecto. Si tienen que acceder a la red interna lo tienes mas dificil, tendrias que establecer dos tuneles, uno contra el ISA externo y otro contra el interno. Es posible realizarlo.


2.- El DomainA-ext que desaparezca y degradar el servidor DC de Exchange
2000 a un Member Server y cambiarle la IP interna a por ejemplo 172.30.x.x.
No sé si se podrá convertir a Member Server ya que creo que el Exchange 2000
tira de Directorio Activo..




Respecto a Exchange, necesitas AD con lo que necesitas montar otro dominio en otro bosque en la DMZ. No puedes permitir (no debes) que los equipos de la DMZ esten integrados en el dominio interno. La otra opcion pasa por poner ambos servidores en el dominio interno y usar una configuracion FE-BE y dejar en la DMZ un servidor SMTP de relay. En estos articulos tienes informacion:
http://www.isaserver.org/articles/i...ogies.html
http://www.msexchange.org/articles/...part1.html
http://www.isaserver.org/articles/s...part2.html
http://www.isaserver.org/tutorials/...part3.html


Otro problema que no sé como solucionarlo es el siguiente. Ahora mismo, si
quiero dar de alta un usuario en el DomainA-ext le doy y se me crea el buzón
correctamente, pero también debo de darle de alta en el DomainA-int para que
pueda recibir el correo sin problema, lo que no me gusta es tener en un
servidor público los usuarios con sus password igual que en el dominio
interno, ya que estoy exponiendo mi dominio interno al exterior, como pùedo
solucionar esto??




Quizas te lo tienes que plantear de otro modo. Para que necesitan acceder a los dos servidores de correo ?. Mira los articulos anteriores y a ver que te parece usar una configuracion FE-BE. Podrias usar la DMZ para lo servidores DNS publicos, el SMTP de relay, servidores Web publicos, etc

Un saludo.
Ivan
MS MVP ISA Server

Preguntas similares