abrir la intranet W2K a internet

Lo suyo entonces es tener, para tu escenario:


Internet<->router<>Firewall<>LAN
|
|
Servidores Web, VPN

El Firewall (si no queréis usar ISA podéis mirar CheckPoint, Sygate, por ejemplo, pero si el router trae un módulo de Firewall propio lo podéis usar perfectamente a menos que las prestaciones se os queden cortas o no os guste) debería tener 3 tarjetas de red, una para comunicación interna con la LAN, otra para los servidores "públicos" o expuestos y otra para comunicarse con el router

El tráfico a permitir debería ser, a priori:

De LAN a Internet: correo, web, etc
De LAN a Bastión: web, correo
De Internet a LAN: en principio nada
De Internet a servidores bastión: acceso web, correo, VPN


En www.isaserver.org tienes un documento que puede explicarte cómo configurar el ISA en estas condiciones

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"Alberto" escribió en el mensaje news:dLPVb.1699$

Hola:
Vamos a conectar nuestra intranet del instituto a internet (ya era
hora). Me gustaría saber si lo vamos a hacer bien y que me aconsejeis.
Querríamos ir montando también un servidor de correo , web y de VPN.
Disponemos de lo siguiente:
Red local con clientes UTP conectados por switch + clientes wifi por AP
Router SMC.
2 DCs W2K server , uno principal y otro secundario.

Queremos :_
Conectarnos a Internet con proxy cache y firewall (ISA server o
alternativas mas baratas) . No se si el firewall del router sera necesario.
Disponer de servidor de correo y VPN pronto y Web(mas adelante).

Gracias.

Alberto.

Gracias Javier,
Por si no te entendido bien:
Elementos:
Un router (que me pondrá telefonica supongo)
Un PC que hace de firewall que tiene tres tarjetas de red:Una la conecto
al switch de la LAN, otra al router y otra para una pequeña red de
servidores correo, web y VPN.

Preguntas y otras:
Si el firewall del router me vale , que funcion hace el PC de las tres
tarjetas?
El Pc que hace de firewall no me sirve tambien de servidor de corro, web
y VPN?
Los controladores de dominio, a parte de configurar los
redireccionadores, hay que tocarlos?
No es que no quiera ISA pero se sale de presupuesto.
Alguna sugerencia para el tema de antivirus?

Perdona por la ignorancia, pero el presuesto no da para mas, y entre las
clases y todo esto

Alberto.



Javier Inglés [MS MVP] wrote:

Lo suyo entonces es tener, para tu escenario:


Internet<->router<>Firewall<>LAN
|
|
Servidores Web, VPN

El Firewall (si no queréis usar ISA podéis mirar CheckPoint, Sygate, por ejemplo, pero si el router trae un módulo de Firewall propio lo podéis usar perfectamente a menos que las prestaciones se os queden cortas o no os guste) debería tener 3 tarjetas de red, una para comunicación interna con la LAN, otra para los servidores "públicos" o expuestos y otra para comunicarse con el router

El tráfico a permitir debería ser, a priori:

De LAN a Internet: correo, web, etc
De LAN a Bastión: web, correo
De Internet a LAN: en principio nada
De Internet a servidores bastión: acceso web, correo, VPN


En www.isaserver.org tienes un documento que puede explicarte cómo configurar el ISA en estas condiciones

Salu2!!!

:-)

Si el router tiene firewall, la configuación debería poder ser la misma pero con el router:


Internet<>router/Firewall<>LAN
|
Servidores públicos

El server que hace de Firewall si se configura adecuadamente se puede usar de VPN, correo y web, pero siempre se recomienda que el Firewall sea dedicado.

Los DC's con la redirección es suficiente
A parte del ISA, tienes muchas otras opciones, como el Sygate por ejempoo que ya cooces, es eficiente también, y llegado el caso, un Linux mismamente (el problema del Linux es que cierto tipo de seguridad a nivel de aplicación no lo puede filtrar)

Para antivirus tienes de todo, menos Panda ;-).
TrenMicro tiene buena pinta pero es algo caro, por ejemplo. McAfee o Norton Corporate Edition tampoco están mal (Norton carga más la maŽquina eso sí); otras opciones más rentables pueden ser Inoculate, NOD32 o Kaspersky

No hace falta pedir perdón por nada, aquí todos aprendemos siempre algo :-)

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"Alberto" escribió en el mensaje news:QoRVb.1751$

Gracias Javier,
Por si no te entendido bien:
Elementos:
Un router (que me pondrá telefonica supongo)
Un PC que hace de firewall que tiene tres tarjetas de red:Una la conecto
al switch de la LAN, otra al router y otra para una pequeña red de
servidores correo, web y VPN.

Preguntas y otras:
Si el firewall del router me vale , que funcion hace el PC de las tres
tarjetas?
El Pc que hace de firewall no me sirve tambien de servidor de corro, web
y VPN?
Los controladores de dominio, a parte de configurar los
redireccionadores, hay que tocarlos?
No es que no quiera ISA pero se sale de presupuesto.
Alguna sugerencia para el tema de antivirus?

Perdona por la ignorancia, pero el presuesto no da para mas, y entre las
clases y todo esto

Alberto.



Javier Inglés [MS MVP] wrote:
> Lo suyo entonces es tener, para tu escenario:
>
>
> Internet<->router<>Firewall<>LAN
> |
> |
> Servidores Web, VPN
>
> El Firewall (si no queréis usar ISA podéis mirar CheckPoint, Sygate, por ejemplo, pero si el router trae un módulo de Firewall propio lo podéis usar perfectamente a menos que las prestaciones se os queden cortas o no os guste) debería tener 3 tarjetas de red, una para comunicación interna con la LAN, otra para los servidores "públicos" o expuestos y otra para comunicarse con el router
>
> El tráfico a permitir debería ser, a priori:
>
> De LAN a Internet: correo, web, etc
> De LAN a Bastión: web, correo
> De Internet a LAN: en principio nada
> De Internet a servidores bastión: acceso web, correo, VPN
>
>
> En www.isaserver.org tienes un documento que puede explicarte cómo configurar el ISA en estas condiciones
>
> Salu2!!!
>

Hay una cosa que no entiendo:
El router que me pongan tiene normalmente un puerto WAN y un switch de
varios puertos.
no se si sabre conectarlo un puerto a la LAN y los otros para los
servidores? eso es una VLAN a configurar en el router-switch?
Esto no me impide tener dos subredes? pues es de eso de lo que se trata no?
la mascara de la subred de servers publicos seria diferente de la LAN, no?
necesito un router especifico?
vale la pena tener un proxy-cache?
Gracias otra vez.

Javier Inglés [MS MVP] wrote:

:-)

Si el router tiene firewall, la configuación debería poder ser la misma pero con el router:


Internet<>router/Firewall<>LAN
|
Servidores públicos

El server que hace de Firewall si se configura adecuadamente se puede usar de VPN, correo y web, pero siempre se recomienda que el Firewall sea dedicado.

Los DC's con la redirección es suficiente
A parte del ISA, tienes muchas otras opciones, como el Sygate por ejempoo que ya cooces, es eficiente también, y llegado el caso, un Linux mismamente (el problema del Linux es que cierto tipo de seguridad a nivel de aplicación no lo puede filtrar)

Para antivirus tienes de todo, menos Panda ;-).
TrenMicro tiene buena pinta pero es algo caro, por ejemplo. McAfee o Norton Corporate Edition tampoco están mal (Norton carga más la maŽquina eso sí); otras opciones más rentables pueden ser Inoculate, NOD32 o Kaspersky

No hace falta pedir perdón por nada, aquí todos aprendemos siempre algo :-)

Salu2!!!

No, no es que necesites de 2 subredes enrutadas por el
router puesto que eso no da seguridad alguna; el Firewall
se encarga ahí de hacer el filtrado de paquetes entre unos
servidores y otros, pero evidentemente también puede hacer
routing o nat dependiendo del caso.

Y el router, a menos que contrates el servicio, no trae
Firewall

Salu2!!
Javier Inglés
MS MVP

Hay una cosa que no entiendo:
El router que me pongan tiene normalmente un puerto WAN y

un switch de

varios puertos.
no se si sabre conectarlo un puerto a la LAN y los

otros para los

servidores? eso es una VLAN a configurar en el router-

switch?

Esto no me impide tener dos subredes? pues es de eso de

lo que se trata no?

la mascara de la subred de servers publicos seria

diferente de la LAN, no?

necesito un router especifico?
vale la pena tener un proxy-cache?
Gracias otra vez.

Javier Inglés [MS MVP] wrote:

:-)

Si el router tiene firewall, la configuación debería

poder ser la misma pero con el router:

Internet<>router/Firewall<>LAN
|
Servidores públicos

El server que hace de Firewall si se configura

adecuadamente se puede usar de VPN, correo y web, pero
siempre se recomienda que el Firewall sea dedicado.

Los DC's con la redirección es suficiente
A parte del ISA, tienes muchas otras opciones, como el

Sygate por ejempoo que ya cooces, es eficiente también, y
llegado el caso, un Linux mismamente (el problema del
Linux es que cierto tipo de seguridad a nivel de
aplicación no lo puede filtrar)

Para antivirus tienes de todo, menos Panda ;-).
TrenMicro tiene buena pinta pero es algo caro, por

ejemplo. McAfee o Norton Corporate Edition tampoco están
mal (Norton carga más la maŽquina eso sí); otras opciones
más rentables pueden ser Inoculate, NOD32 o Kaspersky

No hace falta pedir perdón por nada, aquí todos

aprendemos siempre algo :-)

Salu2!!!

.