Isa server en una DMZ de terceros

El esquema no ha quedado muy claro te refieres a esto:
Internet<-->ZyWall<-->ISA<-->Red interna

Como el firewall delantero no incorpora un filtro RPC como ISA, tendras que
limitar el rango de puertos que utiliza exchange para RPC y reenviar ese
trafico en el firewall delantero a la IP externa del ISA.

Un saludo.
Ivan
MS MVP ISA Server


"malbizu" escribió en el mensaje
news:

Tengo la siguiente estructura y me gustaría saber si puedo configurar
ISA Server 2004 para acceder por RPC a Exchange Server y como Proxy
Server para Sharepoint

Exchange Server LAN - ZyWall 70 - WAN
Sharepoint Server
|
| DMZ
IsaServer


El Zywall 70 tiene definidas 10 Vpns, para los clientes de red
(oficinas) que acceden a los servicios de la red interna.

Ahora lo que quiero hacer con IsaServer es ponerlo en la DMZ del
router para asegurar el acceso desde el exterior tanto a Exchange
Server como a Sharepoint.

¿Es posible hacer esto?
¿Puedo hacerlo con una sola máquina?
¿Cómo debo configurar el ISA Server?
¿Hay un servicio de preventa (ISA Server 2004) de Microsoft que me
ayude a configurar esto?

Maria Albizu.

Ivan,

El esquema no ha quedado muy claro te refieres a esto:
Internet<-->ZyWall<-->ISA<-->Red interna

El Zywall tiene una salida DMZ y quisiera poner el servidor ISA en ese
punto, para Sharepoint y para exchange ¿puedo?

María.

Para poder utilizar reglas de publicacion de servidor necesitas dos
interfaces de red en el ISA y por lo tanto no le veo mucho sentido a esa
implementacion Lo que propones seria algo asi:

Internet<-->ZyWall<-->Red Interna
|
ISA
|
DMZ

Ahora... como integras el Exchange en el dominio interno ? ya de por si
la idea de situar una maquina integrada en el dominio interno en la DMZ no
es la mejor, pero encima añades mucha complejidad al entorno. Reglas de
acceso en el ISA que permitan el trafico de dominio + reglas en el Zywall
para permitir esa comunicacion
A mi me parece mejor esta solucion:
Internet<-->ZyWall<--DMZ-->ISA<-->Red interna

Y esta mejor aun ya que aqui si puedes hacer uso del filtrado a nivel de
aplicacion del ISA, en el escenario anterior, no:
Internet<-->ZyWall<-->ISA<-->Red interna
|
DMZ

Un saludo.
Ivan
MS MVP ISA Server


"maria albizu" escribió en el mensaje
news:

Ivan,

El esquema no ha quedado muy claro te refieres a esto:
Internet<-->ZyWall<-->ISA<-->Red interna

El Zywall tiene una salida DMZ y quisiera poner el servidor ISA en ese
punto, para Sharepoint y para exchange ¿puedo?

María.

Ivan,

Lo primero muchas gracias

Para poder utilizar reglas de publicacion de servidor necesitas dos
interfaces de red en el ISA y por lo tanto no le veo mucho sentido a esa
implementacion Lo que propones seria algo asi:

Internet<-->ZyWall<-->Red Interna
|
ISA
|
DMZ

Mas o menos, la idea era aprovechar la DMZ que tiene el ZyWall y usar ISA
como pasarela de Sharepoint y OWA y RPC de Exchange. Ahora bien si no se
puede no se puede. (yo creía que podía estar en la DMZ y formar parte del
dominio y usar ISA como proxy)

Ahora... como integras el Exchange en el dominio interno ? ya de por
si la idea de situar una maquina integrada en el dominio interno en la DMZ
no es la mejor, pero encima añades mucha complejidad al entorno. Reglas de
acceso en el ISA que permitan el trafico de dominio + reglas en el Zywall
para permitir esa comunicacion
A mi me parece mejor esta solucion:
Internet<-->ZyWall<--DMZ-->ISA<-->Red interna

Esta perdoname pero no la entiendo. ¿Está todo en la DMZ?

Y esta mejor aun ya que aqui si puedes hacer uso del filtrado a nivel de
aplicacion del ISA, en el escenario anterior, no:
Internet<-->ZyWall<-->ISA<-->Red interna
|
DMZ

Y esta hummm sería no aprovechar la DMZ del Zywall y crear una nueva con
el ISA server, ¿no?, en esta poner el RPC de exchange y usar el ISA para
publicar Sharepoint y OWA ????, osea usar un servidor más

Gracias una vez más
María Albizu

"maria albizu" escribió en el mensaje
news:u%23Ka%

Ivan,

Lo primero muchas gracias

Para poder utilizar reglas de publicacion de servidor necesitas dos
interfaces de red en el ISA y por lo tanto no le veo mucho sentido a esa
implementacion Lo que propones seria algo asi:

Internet<-->ZyWall<-->Red Interna
|
ISA
|
DMZ

Mas o menos, la idea era aprovechar la DMZ que tiene el ZyWall y usar ISA
como pasarela de Sharepoint y OWA y RPC de Exchange. Ahora bien si no se
puede no se puede. (yo creía que podía estar en la DMZ y formar parte del
dominio y usar ISA como proxy)

No, no... yo en ningun momento he dicho que no se pueda... lo que he dicho,
es que no me parece la mejor implementacion, por supuesto, desde mi punto de
vista.
Si instalas ISA con un unico interface de red (modo proxy), unicamente
puedes utilizar reglas de publicacion web para OWA y Sharepont, no puedes
publicar RPC con el ISA. La publicacion de los otros servicios de Exchange y
otros posibles servidores que quieras publicar ahora o en un futuro, la
tienes que realizar a traves del otro firewall, el cual no creo que
incorpore las mismas caracteristicas de filtrado de aplicacion que ISA..
Nadie dice que en la DMZ no puedas tener servidores integrados en el dominio
interno. Por poder, se puede perfectamente, lo unico que la idea de una DMZ
no es esa precisamente. Si tengo que permitir la comunicacion entre la DMZ y
la red interna, aunque sea contra un par de DCs, para que quiero la DMZ ? si
un servidor de la DMZ se ve comprometido, el intruso puede acceder a
recursos de la red interna, y no a cualquier recurso, a los DCs que son
posiblemente, junto a los servidores de bases de datos, los servidores mas
importantes de una red... Si, puedes pensar que si los situas en la red
interna estamos en las mismas si se ven comprometidos. Claro, por supuesto,
pero yo diria que el nivel de seguridad es el mismo, o muy similar, y el
entorno es menos complicado.
Quizas mi postura respecto a situar servidores miembros del dominio en la
DMZ es un poco inflexible, pero una DMZ es una DMZ, si permitimos la
comunicacion con el dominio interno lo unico que podemos conseguir es una
falsa sensacion de seguridad, lo cual es quizas lo mas peligroso que hay...
Cualquier manual de cortafuegos y seguridad te dira que no se debe permitir
la comunicacion entre DMZ-red interna, no es algo que diga yo Ahora, el
dia que los expertos digan que si, que es bueno, perfecto, pero mientras,
yo no voy a decir lo contrario.

Ahora... como integras el Exchange en el dominio interno ? ya de por
si la idea de situar una maquina integrada en el dominio interno en la
DMZ no es la mejor, pero encima añades mucha complejidad al entorno.
Reglas de acceso en el ISA que permitan el trafico de dominio + reglas en
el Zywall para permitir esa comunicacion
A mi me parece mejor esta solucion:
Internet<-->ZyWall<--DMZ-->ISA<-->Red interna

Esta perdoname pero no la entiendo. ¿Está todo en la DMZ?

Esta implementacion es mucho mas segura que la que tu propones ( sempre y
cuando la DMZ sea eso, una DMZ). Un intruso debe "saltarse" dos barreas para
acceder a la red interna, en tu implementacion, solo una.

Y esta mejor aun ya que aqui si puedes hacer uso del filtrado a nivel de
aplicacion del ISA, en el escenario anterior, no:
Internet<-->ZyWall<-->ISA<-->Red interna
|
DMZ

Y esta hummm sería no aprovechar la DMZ del Zywall y crear una nueva
con el ISA server, ¿no?, en esta poner el RPC de exchange y usar el ISA
para publicar Sharepoint y OWA ????, osea usar un servidor más

Aqui puedes sacar todo el partido al filtrado a nivel de aplicacion del ISA,
no solo a nivel HTTP/HTTPS, si no utilizar el filtro SMTP, message screener,
POP3, DNS, etc, etc. En la DMZ en back-to-back, el ejemplo anterior, pierdes
todas estas caracteristicas, si es que el Zywall no las proporciona

Un saludo.
Ivan
MS MVP ISA Server