Consejo sobre seguridad informatica

Podria hacer lo siguiente?::

ISA SERVER1: 10.0.0.1
SERVIDORES PUBLICOS: 10.0.52.x
ISASERVER2: 10.0.1.1
CLIENTES y SERVERS: 172.16.3.x

Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT: 25 -110,
PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
Configurar el ISA2 para que tenga abiert todos los puertos no de salida o lo
que yo vea que los clientes o servidores necesiten no?, pero si los servers
solamente va a estar detras del ISa2, con abrir solo los puertos del correo
y el 8080 del ISa para accesoa INTERNET mas que chuta no??

Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de COrreo,
debo poner este server delante del ISA1 si proteccion alguna??. Que puerto
debo abrir para que no haya problemas de ocmunicacion de los servers detras
del ISA1 y los del ISa2 con el del DNS del Directorio Activo?


"Javier Inglés [MS MVP]" escribió en el
mensaje news:
El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
IP's que tú determninas, pero en las reglas de los firewall será donde se
fikltr las comunicaciones IP;

de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí

en www.isaserver.org tienes info sobre DMZ's con ISA Server

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:

Debo de reorganizar la empresa en el sentido de seguirad informatica.
Entonces os cuento como tengo instaldo todo y haber si me podeis orientar.

Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y Servidor
VPN, abos con las ips internas siguientes:
WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
10.1.0.3

Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en el
rango : 10.1.3.x
Los equipos de los usaurios segun sea el departamento en: 10.1.x.x

Entonces lo veo muy peligroso ya que si entran a cualquier equipo de los
publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos en

el

VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo que

es

el servidor mas "seguro" que tengo ahora mismo.

He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos. Tenia
pensado lo siguiente:

ISA Servers Publicos - ISA - Red Interna , pero que rango

de

ips pongo para que no haya problema?, que me aconsejais?. Muchas gracias.

Te recomeindo que te leas en www.isaserver.org el artículo referente a DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán tener 2 arjetas de red)

El ISA1 deberá permitir de entrada los puertos que estimes oportunos (80, 25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre rexomiendo que se haga por HTTPS-443-).

El servidor DNS si es para reslcuiones de internet debe estar en la DMZ también...será el ISA1 el que filtre laspeticiones al puerto 53

El ISA2 no debe permitir que haya tráfico de entrada a la red local; pero de la red local a la red DMZ sí; sin embargo, si tienes AD:
Q179442 How to Configure a Firewall for Domains and Trusts


Active Directory in Networks Segmented by Firewalls
http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en

Salu2!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"Alberto" escribió en el mensaje news:

Podria hacer lo siguiente?::

ISA SERVER1: 10.0.0.1
SERVIDORES PUBLICOS: 10.0.52.x
ISASERVER2: 10.0.1.1
CLIENTES y SERVERS: 172.16.3.x

Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT: 25 -110,
PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
Configurar el ISA2 para que tenga abiert todos los puertos no de salida o lo
que yo vea que los clientes o servidores necesiten no?, pero si los servers
solamente va a estar detras del ISa2, con abrir solo los puertos del correo
y el 8080 del ISa para accesoa INTERNET mas que chuta no??

Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de COrreo,
debo poner este server delante del ISA1 si proteccion alguna??. Que puerto
debo abrir para que no haya problemas de ocmunicacion de los servers detras
del ISA1 y los del ISa2 con el del DNS del Directorio Activo?


"Javier Inglés [MS MVP]" escribió en el
mensaje news:
El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
IP's que tú determninas, pero en las reglas de los firewall será donde se
fikltr las comunicaciones IP;

de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí

en www.isaserver.org tienes info sobre DMZ's con ISA Server

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Debo de reorganizar la empresa en el sentido de seguirad informatica.
> Entonces os cuento como tengo instaldo todo y haber si me podeis orientar.
>
> Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y Servidor
> VPN, abos con las ips internas siguientes:
> WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
> 10.1.0.3
>
> Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en el
> rango : 10.1.3.x
> Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
>
> Entonces lo veo muy peligroso ya que si entran a cualquier equipo de los
> publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos en
el
> VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo que
es
> el servidor mas "seguro" que tengo ahora mismo.
>
> He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos. Tenia
> pensado lo siguiente:
>
> ISA Servers Publicos - ISA - Red Interna , pero que rango
de
> ips pongo para que no haya problema?, que me aconsejais?. Muchas gracias.
>
>

Como hago lo del OWA que me comentas que sea por HTTPS-443??.

EL ISA1 debe SER los puertos IN/OUT??. y el ISA2, sera todos OUT y nada IN,
no?
Ere sun mostruo, ayudas mucho.

"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Te recomeindo que te leas en www.isaserver.org el artículo referente a
DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán
tener 2 arjetas de red)

El ISA1 deberá permitir de entrada los puertos que estimes oportunos (80,
25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre rexomiendo
que se haga por HTTPS-443-).

El servidor DNS si es para reslcuiones de internet debe estar en la DMZ
también...será el ISA1 el que filtre laspeticiones al puerto 53

El ISA2 no debe permitir que haya tráfico de entrada a la red local; pero de
la red local a la red DMZ sí; sin embargo, si tienes AD:
Q179442 How to Configure a Firewall for Domains and Trusts


Active Directory in Networks Segmented by Firewalls
http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-
9767-a9166368434e&DisplayLang=en

Salu2!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:

Podria hacer lo siguiente?::

ISA SERVER1: 10.0.0.1
SERVIDORES PUBLICOS: 10.0.52.x
ISASERVER2: 10.0.1.1
CLIENTES y SERVERS: 172.16.3.x

Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT:

25 -110,

PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
Configurar el ISA2 para que tenga abiert todos los puertos no de salida o

lo

que yo vea que los clientes o servidores necesiten no?, pero si los

servers

solamente va a estar detras del ISa2, con abrir solo los puertos del

correo

y el 8080 del ISa para accesoa INTERNET mas que chuta no??

Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de COrreo,
debo poner este server delante del ISA1 si proteccion alguna??. Que puerto
debo abrir para que no haya problemas de ocmunicacion de los servers

detras

del ISA1 y los del ISa2 con el del DNS del Directorio Activo?


"Javier Inglés [MS MVP]" escribió en el
mensaje news:
El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
IP's que tú determninas, pero en las reglas de los firewall será donde se
fikltr las comunicaciones IP;

de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí

en www.isaserver.org tienes info sobre DMZ's con ISA Server

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Debo de reorganizar la empresa en el sentido de seguirad informatica.
> Entonces os cuento como tengo instaldo todo y haber si me podeis

orientar.

>
> Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y

Servidor

> VPN, abos con las ips internas siguientes:
> WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
> 10.1.0.3
>
> Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en el
> rango : 10.1.3.x
> Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
>
> Entonces lo veo muy peligroso ya que si entran a cualquier equipo de los
> publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos

en

el
> VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo

que

es
> el servidor mas "seguro" que tengo ahora mismo.
>
> He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos.

Tenia

> pensado lo siguiente:
>
> ISA Servers Publicos - ISA - Red Interna , pero que

rango

de
> ips pongo para que no haya problema?, que me aconsejais?. Muchas

gracias.

>
>

Muchas gracias Javier. Una ultima cosa, lo que me dices de: En tu caso
entiendo que necesitas de entrada el 80, 443, 25, 53; de salida el 80, el
110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación... Me haria tambien falta abrir los de la VPN no??, habrá
algu problema si pongo este server que ya tiene ISASERVER dentro de la
DMZ???



"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Para usar HTTPS debes tener configurado un server que haga de entidad
certificadora yu por tanto implementar una infraestructura PKI.

Info al respecto:

Infraestructura de PKI/Certificate Servers:
http://www.microsoft.com/technet/tr.../prodtechn
ol/exchange/maintain/optimize/win2kms.asp



Step by step Setting up a CA

http://www.microsoft.com/windows200...setupsteps
.asp



Step by Step Administering CA

http://www.microsoft.com/windows200...dminca.asp



Certificate Server

http://www.microsoft.com/windows200...setupsteps
.asp



HOW TO: Use Certificates with Virtual Servers in Exchange 2000 Server

http://support.microsoft.com/defaul...us;Q319574



Designing a Public Key Infrastructure

http://www.microsoft.com/technet/tr.../prodtechn
ol/windowsnetserver/evaluate/cpp/reskit/adsec/part2/rkddspki.asp



De éstos enlñaces mira bien los vídeos que te muestran, muy prácticos:

Cómo administrar empleados móviles con clientes que no forman parte
del dominio




http://www.microsoft.com/spain/tech....asp?opcio
n07034



Cómo administrar empleados móviles con clientes que forman parte del
dominio




http://www.microsoft.com/spain/tech....asp?opcio
n07033



Para el ISA1 mira ésto:

Microsoft Internet Security and Acceleration (ISA) Server 2000 Feature Pack
1
http://www.microsoft.com/spain/tech....asp?opcio
n06032


Te explica cómo publicar servicios web y de correo fácilmente



En tu caso entiendo que necesitas de entrada el 80, 443, 25, 53; de salida
el 80, el 110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación.



En el ISA2 revisa el ar´ticulo de AD segmented by firewall porque sí vs a
necesitar abrir puertos con la red Local si tienes un DC en la DMZ.



Salu2!!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:

Como hago lo del OWA que me comentas que sea por HTTPS-443??.

EL ISA1 debe SER los puertos IN/OUT??. y el ISA2, sera todos OUT y nada

IN,

no?
Ere sun mostruo, ayudas mucho.

"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Te recomeindo que te leas en www.isaserver.org el artículo referente a
DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán
tener 2 arjetas de red)

El ISA1 deberá permitir de entrada los puertos que estimes oportunos (80,
25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre rexomiendo
que se haga por HTTPS-443-).

El servidor DNS si es para reslcuiones de internet debe estar en la DMZ
también...será el ISA1 el que filtre laspeticiones al puerto 53

El ISA2 no debe permitir que haya tráfico de entrada a la red local; pero

de

la red local a la red DMZ sí; sin embargo, si tienes AD:
Q179442 How to Configure a Firewall for Domains and Trusts


Active Directory in Networks Segmented by Firewalls

http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-

9767-a9166368434e&DisplayLang=en

Salu2!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Podria hacer lo siguiente?::
>
> ISA SERVER1: 10.0.0.1
> SERVIDORES PUBLICOS: 10.0.52.x
> ISASERVER2: 10.0.1.1
> CLIENTES y SERVERS: 172.16.3.x
>
> Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT:
25 -110,
> PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
> Configurar el ISA2 para que tenga abiert todos los puertos no de salida

o

lo
> que yo vea que los clientes o servidores necesiten no?, pero si los
servers
> solamente va a estar detras del ISa2, con abrir solo los puertos del
correo
> y el 8080 del ISa para accesoa INTERNET mas que chuta no??
>
> Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de

COrreo,

> debo poner este server delante del ISA1 si proteccion alguna??. Que

puerto

> debo abrir para que no haya problemas de ocmunicacion de los servers
detras
> del ISA1 y los del ISa2 con el del DNS del Directorio Activo?
>
>
> "Javier Inglés [MS MVP]" escribió en el
> mensaje news:
> El esquema que presentas es el adecuado; en una DMZ tú pones un rango de
> IP's que tú determninas, pero en las reglas de los firewall será donde

se

> fikltr las comunicaciones IP;
>
> de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ sí
>
> en www.isaserver.org tienes info sobre DMZ's con ISA Server
>
> Salu2!!!
>
> Javier Inglés
> MS-MVP
>
> :
> <<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,

y

no
> otorga ningún derecho
>
>
> "Alberto" escribió en el mensaje
> news:
> > Debo de reorganizar la empresa en el sentido de seguirad informatica.
> > Entonces os cuento como tengo instaldo todo y haber si me podeis
orientar.
> >
> > Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y
Servidor
> > VPN, abos con las ips internas siguientes:
> > WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2 VPN:
> > 10.1.0.3
> >
> > Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc... en

el

> > rango : 10.1.3.x
> > Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
> >
> > Entonces lo veo muy peligroso ya que si entran a cualquier equipo de

los

> > publicos me la pueden armar bien gorda. Solamente tengo un cortafuegos
en
> el
> > VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor lo
que
> es
> > el servidor mas "seguro" que tengo ahora mismo.
> >
> > He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos.
Tenia
> > pensado lo siguiente:
> >
> > ISA Servers Publicos - ISA - Red Interna , pero que
rango
> de
> > ips pongo para que no haya problema?, que me aconsejais?. Muchas
gracias.
> >
> >
>
>

GRACIAS POR TODO.Si tengo alguna duda te la comunico. Gracias Javier.


"Javier Inglés [MS MVP]" escribió en el
mensaje news:#
Lo de la VPN lo que te dije antes, el 1723TCP y en algunos casos será
necesario el 47GRE ó UDP en su defecto.

El montar una DMZ no es poner un ISA en es ared y ya está...dberás hacer un
estudio minucioso y varias pruebas para hacer que todo funcione; montar una
DMZ y que cumpla su cometido perfectamente (que no es ni más ni menos que
ofrecer alta seguridad) no es una tarea de hoy para mañana...depende de
muchos factores y por tanto requiere paciencia, estudio y pruebas, muchas
pruebas :-))

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho


"Alberto" escribió en el mensaje
news:O%

Muchas gracias Javier. Una ultima cosa, lo que me dices de: En tu caso
entiendo que necesitas de entrada el 80, 443, 25, 53; de salida el 80, el
110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación... Me haria tambien falta abrir los de la VPN no??, habrá
algu problema si pongo este server que ya tiene ISASERVER dentro de la
DMZ???



"Javier Inglés [MS MVP]" escribió en el
mensaje news:
Para usar HTTPS debes tener configurado un server que haga de entidad
certificadora yu por tanto implementar una infraestructura PKI.

Info al respecto:

Infraestructura de PKI/Certificate Servers:

http://www.microsoft.com/technet/tr.../prodtechn

ol/exchange/maintain/optimize/win2kms.asp



Step by step Setting up a CA

http://www.microsoft.com/windows200...setupsteps

.asp



Step by Step Administering CA

http://www.microsoft.com/windows200...dminca.asp

Certificate Server

http://www.microsoft.com/windows200...setupsteps

.asp



HOW TO: Use Certificates with Virtual Servers in Exchange 2000 Server

http://support.microsoft.com/defaul...us;Q319574



Designing a Public Key Infrastructure

http://www.microsoft.com/technet/tr.../prodtechn

ol/windowsnetserver/evaluate/cpp/reskit/adsec/part2/rkddspki.asp



De éstos enlñaces mira bien los vídeos que te muestran, muy prácticos:

Cómo administrar empleados móviles con clientes que no forman parte
del dominio

http://www.microsoft.com/spain/tech....asp?opcio

n07034



Cómo administrar empleados móviles con clientes que forman parte del
dominio

http://www.microsoft.com/spain/tech....asp?opcio

n07033



Para el ISA1 mira ésto:

Microsoft Internet Security and Acceleration (ISA) Server 2000 Feature

Pack

1

http://www.microsoft.com/spain/tech....asp?opcio

n06032


Te explica cómo publicar servicios web y de correo fácilmente



En tu caso entiendo que necesitas de entrada el 80, 443, 25, 53; de salida
el 80, el 110, el 25 y no creo que ninguno más, pero eso ya depende de tu
instalación.



En el ISA2 revisa el ar´ticulo de AD segmented by firewall porque sí vs a
necesitar abrir puertos con la red Local si tienes un DC en la DMZ.



Salu2!!!


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho


"Alberto" escribió en el mensaje
news:
> Como hago lo del OWA que me comentas que sea por HTTPS-443??.
>
> EL ISA1 debe SER los puertos IN/OUT??. y el ISA2, sera todos OUT y nada
IN,
> no?
> Ere sun mostruo, ayudas mucho.
>
> "Javier Inglés [MS MVP]" escribió en el
> mensaje news:
> Te recomeindo que te leas en www.isaserver.org el artículo referente a
> DMZ's; lo que planteas a grandes rasgos es correcto (los 2 ISA's deberán
> tener 2 arjetas de red)
>
> El ISA1 deberá permitir de entrada los puertos que estimes oportunos

(80,

> 25, 53, etc... -OWA es vía web, por tanto el 80, auqnue siempre

rexomiendo

> que se haga por HTTPS-443-).
>
> El servidor DNS si es para reslcuiones de internet debe estar en la DMZ
> también...será el ISA1 el que filtre laspeticiones al puerto 53
>
> El ISA2 no debe permitir que haya tráfico de entrada a la red local;

pero

de
> la red local a la red DMZ sí; sin embargo, si tienes AD:
> Q179442 How to Configure a Firewall for Domains and Trusts
>
>
> Active Directory in Networks Segmented by Firewalls
>

http://www.microsoft.com/downloads/...x?FamilyIDÂef3846-43f0-4caf-

> 9767-a9166368434e&DisplayLang=en
>
> Salu2!!
>
>
> Javier Inglés
> MS-MVP
>
> :
> <<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,

y

no
> otorga ningún derecho
>
>
> "Alberto" escribió en el mensaje
> news:
> > Podria hacer lo siguiente?::
> >
> > ISA SERVER1: 10.0.0.1
> > SERVIDORES PUBLICOS: 10.0.52.x
> > ISASERVER2: 10.0.1.1
> > CLIENTES y SERVERS: 172.16.3.x
> >
> > Configurar el ISA1 para que solamente tenga abierto puerto IN/OUT:
> 25 -110,
> > PUERTO 80 , PUERTO OWA (???) y los de la VPN no??.
> > Configurar el ISA2 para que tenga abiert todos los puertos no de

salida

o
> lo
> > que yo vea que los clientes o servidores necesiten no?, pero si los
> servers
> > solamente va a estar detras del ISa2, con abrir solo los puertos del
> correo
> > y el 8080 del ISa para accesoa INTERNET mas que chuta no??
> >
> > Una duda, yo el DNS EXTERNO, lo tengo configurado en el SERVER de
COrreo,
> > debo poner este server delante del ISA1 si proteccion alguna??. Que
puerto
> > debo abrir para que no haya problemas de ocmunicacion de los servers
> detras
> > del ISA1 y los del ISa2 con el del DNS del Directorio Activo?
> >
> >
> > "Javier Inglés [MS MVP]" escribió en

el

> > mensaje news:
> > El esquema que presentas es el adecuado; en una DMZ tú pones un rango

de

> > IP's que tú determninas, pero en las reglas de los firewall será donde
se
> > fikltr las comunicaciones IP;
> >
> > de la red DMZ a la red interna nodbe pasar nada; de la interna a DMZ

sí

> >
> > en www.isaserver.org tienes info sobre DMZ's con ISA Server
> >
> > Salu2!!!
> >
> > Javier Inglés
> > MS-MVP
> >
> > :
> > <<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>
> >
> > Este mensaje se proporciona "como está" sin garantías de ninguna

clase,

y
> no
> > otorga ningún derecho
> >
> >
> > "Alberto" escribió en el mensaje
> > news:
> > > Debo de reorganizar la empresa en el sentido de seguirad

informatica.

> > > Entonces os cuento como tengo instaldo todo y haber si me podeis
> orientar.
> > >
> > > Tengo 3 servidores con IP pública, servidor WEB, Exchange 2000 y
> Servidor
> > > VPN, abos con las ips internas siguientes:
> > > WEB: 10.1.0.1 Exchange 2000-Antivirus: 10.1.0.2

VPN:

> > > 10.1.0.3
> > >
> > > Luego tengo los servers de la empresa con SQL, Lotus nOtes, etc...

en

el
> > > rango : 10.1.3.x
> > > Los equipos de los usaurios segun sea el departamento en: 10.1.x.x
> > >
> > > Entonces lo veo muy peligroso ya que si entran a cualquier equipo de
los
> > > publicos me la pueden armar bien gorda. Solamente tengo un

cortafuegos

> en
> > el
> > > VPN ya que tengo establecida dicha comunicación de ISA a ISA, opor

lo

> que
> > es
> > > el servidor mas "seguro" que tengo ahora mismo.
> > >
> > > He leido algo sobre DMZ, pero no sé como puedo hacerlo mas o menos.
> Tenia
> > > pensado lo siguiente:
> > >
> > > ISA Servers Publicos - ISA - Red Interna , pero que
> rango
> > de
> > > ips pongo para que no haya problema?, que me aconsejais?. Muchas
> gracias.
> > >
> > >
> >
> >
>
>