Configuracion DMZ Ayuda por favor

ISA debería ser un servidor que no sea controlador de dominio y que provea
unicamente los servicios de cortafuegos.

Esta parte la entendi, pero a que te refieres con

Otra es la discusión de si tiene que ser parte de un grupo de trabajo, del
mismo dominio o de otro

Cual es la mejor alternativa, o lo mas aconsejable para mantener una
seguridad aceptable.

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

ISA debería ser un servidor que no sea controlador de dominio y que provea
unicamente los servicios de cortafuegos.

Otra es la discusión de si tiene que ser parte de un grupo de trabajo, del
mismo dominio o de otro


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Franklin Flores wrote:

Ah, osea tiene que ser un servidor miembro nada mas.

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Lo mejor, desde el punto de vista seguridad es que el ISA esté
siempre una máquina dedicada a eso. Piensa que el ISA no requiere
demasidos recursos normalmente, aunque todo depende de tu red


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.




Franklin Flores wrote:

Ah entiendo, pero si fuera el caso de colocar el ISA en un DC
secundario que no tenga todos los roles, seria aconsejable o es
preferible tener un servidor solo donde este el ISA pues tambien
tengo un Exchange.
"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

La idea que tienes es buena y brinda la máxima seguridad; se llama
configuración Back-To-Back, pero no funcionará bien ni fácil con lo
que propones

Interna>ISA<DMZ>Linux<>Internet

- Que el controlador de dominio tenga más de una dirección IP ya
trae problemas
http://support.microsoft.com/kb/272294/en-us
http://support.microsoft.com/kb/325641/en-us y otros
- Que el controlador de domino sea el ISA no es aconsejable. Tu
máximo valor (AD) colocado en la máquina más expuesta a riesgos
(Internet) - Piensa además que el ISA por omisión cierra toda
comunicación (por seguridad) y para que los clientes se comuniquen
con el controlador de dominio debes abrir varios puertos. Por lo
que la seguridad se resentirá mucho
- La configuración de ambos cortafuegos en el caso de Back-To-Back
es bastante compleja


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Franklin Flores wrote:

Hola amigos esto lo pregunte antes pero tengo una nueva duda,
bueno, el acceso a internet me llegara por un equipo con linux,
el cual tiene 2 tarjetas de red, aca tengo dos servidores, uno
de BD y un DC en 2003 a este DC le quiero instalar Isa server y
este tiene 2 tarjetas de red... Es posible conectar directamente
con un cable crossover desde el equipo con linux al equipo DC que
tiene dos tarjetas? Mi otra gran inquietud es al configurar la
DMZ simplemente es un grupo de equipos que son accedidos desde
internet pero no es la red interna total, pero estos equipos
tambien pueden ser accedidos desde mi red interna directamente?
Lo que sucede es que quiero utilizar el Isa Server para controlar
mi red interna, y el linux como firewall desde afuera. Espero
haber sido claro en mi explicación y sino comentenme para dejar un
poco claro el
asunto..

Hay varias opiniones y también dependen del presupuesto

Ya que el ISA es la máquina más expuesta y de mayor riesgo, es conveniente
que no forme parte del dominio interno, ya que si consiguieran entrar a ésta
y hay información "cacheada" del dominio es un problema.

Entonces algunos proponen poner en grupo de trabajo, y otros dicen que en
grupo de trabajo la seguridad es mucho menor (correcto)
Entonces algunos la instalan en un dominio separado, que forma parte del
Bosque interno, y otros prefieren directamente un dominio en un Bosque
diferente del interno
Dependiendo de la configuración de seguridad en este último caso hay que
armar relaciones de confianza


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Franklin Flores wrote:

ISA debería ser un servidor que no sea controlador de dominio y que
provea unicamente los servicios de cortafuegos.

Esta parte la entendi, pero a que te refieres con

Otra es la discusión de si tiene que ser parte de un grupo de
trabajo, del mismo dominio o de otro

Cual es la mejor alternativa, o lo mas aconsejable para mantener una
seguridad aceptable.

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

ISA debería ser un servidor que no sea controlador de dominio y que
provea unicamente los servicios de cortafuegos.

Otra es la discusión de si tiene que ser parte de un grupo de
trabajo, del mismo dominio o de otro


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You
assume all risk for your use.




Franklin Flores wrote:

Ah, osea tiene que ser un servidor miembro nada mas.

"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

Lo mejor, desde el punto de vista seguridad es que el ISA esté
siempre una máquina dedicada a eso. Piensa que el ISA no requiere
demasidos recursos normalmente, aunque todo depende de tu red


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Franklin Flores wrote:

Ah entiendo, pero si fuera el caso de colocar el ISA en un DC
secundario que no tenga todos los roles, seria aconsejable o es
preferible tener un servidor solo donde este el ISA pues tambien
tengo un Exchange.
"Guillermo Delprato [MS-MVP]"
escribió en el
mensaje news:

La idea que tienes es buena y brinda la máxima seguridad; se
llama configuración Back-To-Back, pero no funcionará bien ni
fácil con lo que propones

Interna>ISA<DMZ>Linux<>Internet

- Que el controlador de dominio tenga más de una dirección IP ya
trae problemas
http://support.microsoft.com/kb/272294/en-us
http://support.microsoft.com/kb/325641/en-us y otros
- Que el controlador de domino sea el ISA no es aconsejable. Tu
máximo valor (AD) colocado en la máquina más expuesta a riesgos
(Internet) - Piensa además que el ISA por omisión cierra toda
comunicación (por seguridad) y para que los clientes se
comuniquen con el controlador de dominio debes abrir varios
puertos. Por lo que la seguridad se resentirá mucho
- La configuración de ambos cortafuegos en el caso de
Back-To-Back es bastante compleja


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así
nos beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, y no otorga ningún derecho. Ud. asume los riesgos This
posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.




Franklin Flores wrote:

Hola amigos esto lo pregunte antes pero tengo una nueva duda,
bueno, el acceso a internet me llegara por un equipo con linux,
el cual tiene 2 tarjetas de red, aca tengo dos servidores, uno
de BD y un DC en 2003 a este DC le quiero instalar Isa server y
este tiene 2 tarjetas de red... Es posible conectar directamente
con un cable crossover desde el equipo con linux al equipo DC
que tiene dos tarjetas? Mi otra gran inquietud es al
configurar la DMZ simplemente es un grupo de equipos que son
accedidos desde internet pero no es la red interna total, pero
estos equipos tambien pueden ser accedidos desde mi red interna
directamente? Lo que sucede es que quiero utilizar el Isa
Server para controlar mi red interna, y el linux como firewall
desde afuera. Espero haber sido claro en mi explicación y
sino comentenme para dejar un poco claro el
asunto..