dmz

"daviz" escribió en el mensaje
news:27bc01c4aae7$15ca4000$

Hola, estoy montando un isa 2004 con 2 tarjetas para haga
de firewall posterior.
entre ambos firewall querria poner la dmz.
debo crearme una red que se llame dmz con el rango de
direcciones y ponerla como ruta hacia las otras?

Que tipo de direcciones vas a usar en la DMZ, publicas o privadas ?
Desde el punto de vista de la seguridad siempre es mejor emplear una
relacion de NAT que de routing entre las redes. Si vas a usar privadas si
puedes definir una red DMZ y decir que la relacion entre red interna y DMZ
es de routing, ahora... no me parece la mejor alternativa. Si quieres
dejarlo como NAT, no necesitas definir ninguna red, esas direcciones son
externas para el ISA.

que se aconseja a nivel de seguridad?

NAT

¿que protocolos deben pasar a la lan interna?

Que protocolos necesitas ? una DMZ en principio no esta pensada para alojar
maquinas integradas en el dominio interno, posible es posible...ahora, no
veras ningun manual que hable de esto como una buena opcion, pero.
parece que esta de moda ;-)

Un saludo.
Ivan
MS MVP ISA Server

Ok, me has convencido,
Elimino las reglas de red que tenia para la dmz y elimino
la red dmz.
Entonces, corrígeme si me equivoco, tendré que configurar
en objetos de red el intervalo de direcciones perimetrales
(ipŽs internas) para que haga una distinción entre reglas
de puertos permitidos hacia internet o hacia mi dmz.
Como quiero tener un frontend y webmail de correo en la
dmz deberé crear directivas de firewall permitiendo acceso
por ejemplo de snmp, rdp, smtp y pop3 de algunas ipŽs de
la interna a las direcciones perimetrales y viceversa.
Si el frontend de correo es una maquina dentro del dominio
tambien debere dejar pasar ldap ¿no?
El servidor frontend de la dmz entiendo que deberé
publicarlo en el firewall que esta junto a internet

¿qué opinas?

"daviz" escribió en

el mensaje

news:27bc01c4aae7$15ca4000$

Hola, estoy montando un isa 2004 con 2 tarjetas para haga
de firewall posterior.
entre ambos firewall querria poner la dmz.
debo crearme una red que se llame dmz con el rango de
direcciones y ponerla como ruta hacia las otras?

Que tipo de direcciones vas a usar en la DMZ, publicas o

privadas ?

Desde el punto de vista de la seguridad siempre es mejor

emplear una

relacion de NAT que de routing entre las redes. Si vas a

usar privadas si

puedes definir una red DMZ y decir que la relacion entre

red interna y DMZ

es de routing, ahora... no me parece la mejor

alternativa. Si quieres

dejarlo como NAT, no necesitas definir ninguna red, esas

direcciones son

externas para el ISA.

que se aconseja a nivel de seguridad?

NAT

¿que protocolos deben pasar a la lan interna?

Que protocolos necesitas ? una DMZ en principio no esta

pensada para alojar

maquinas integradas en el dominio interno, posible es

posible...ahora, no

veras ningun manual que hable de esto como una buena

opcion, pero.

parece que esta de moda ;-)

Un saludo.
Ivan
MS MVP ISA Server



.

Si la maquina de la DMZ la pretendes integrar en el dominio interno, lo
unico que te puedo decir es que me parece una idea no muy correcta. La DMZ
deberia ser una red aislada y no una extension de la red interna, que es en
lo que la conviertes al integrar la maquina de la DMZ en el dominio interno.
http://www.isaserver.org/articles/2...omain.html
En este articulo se utilizan relaciones de routing entre red interrna y DMZ,
puedes usar este metodo o puedes emplear reglas de publicacion, depende de
como definas la relacion entre red interna y DMZ.

Si defines la relacion entre red interna-DMZ como de routing, debes emplear
reglas de acceso y el sentido de la comunicacion lo estableces en la propia
regla: "From"-"To". La relacion de routing es reciproca, en ambos sentidos
debes emplear reglas de acceso.
Si defines la relacion entre red interna-DMZ como de NAT, debes emplear
reglas de acceso para permitir a los clientes de la red interna acceder a la
DMZ y reglas de publicacion para acceder desde la DMZ a la red interna.

ISA es un cortafuegos de estado, esto quiere decir que una vez permites la
peticion en saliente, la respuesta a esa peticion se permite, no tienes
porque crear reglas que autoricen esa comunicacion. Esto no ocurre asi en el
filtrado de paquetes, RRAS por ejemplo: si necesitas permitir la
comunicacion de un determinado protocolo debes crear filtros de entrada y de
salida.

Un saludo.
Ivan
MS MVP ISA Server


escribió en el mensaje
news:3d2801c4ac4f$65501f00$

Ok, me has convencido,
Elimino las reglas de red que tenia para la dmz y elimino
la red dmz.
Entonces, corrígeme si me equivoco, tendré que configurar
en objetos de red el intervalo de direcciones perimetrales
(ip´s internas) para que haga una distinción entre reglas
de puertos permitidos hacia internet o hacia mi dmz.
Como quiero tener un frontend y webmail de correo en la
dmz deberé crear directivas de firewall permitiendo acceso
por ejemplo de snmp, rdp, smtp y pop3 de algunas ip´s de
la interna a las direcciones perimetrales y viceversa.
Si el frontend de correo es una maquina dentro del dominio
tambien debere dejar pasar ldap ¿no?
El servidor frontend de la dmz entiendo que deberé
publicarlo en el firewall que esta junto a internet

¿qué opinas?

"daviz" escribió en

el mensaje

news:27bc01c4aae7$15ca4000$

Hola, estoy montando un isa 2004 con 2 tarjetas para haga
de firewall posterior.
entre ambos firewall querria poner la dmz.
debo crearme una red que se llame dmz con el rango de
direcciones y ponerla como ruta hacia las otras?

Que tipo de direcciones vas a usar en la DMZ, publicas o

privadas ?

Desde el punto de vista de la seguridad siempre es mejor

emplear una

relacion de NAT que de routing entre las redes. Si vas a

usar privadas si

puedes definir una red DMZ y decir que la relacion entre

red interna y DMZ

es de routing, ahora... no me parece la mejor

alternativa. Si quieres

dejarlo como NAT, no necesitas definir ninguna red, esas

direcciones son

externas para el ISA.

que se aconseja a nivel de seguridad?

NAT

¿que protocolos deben pasar a la lan interna?

Que protocolos necesitas ? una DMZ en principio no esta

pensada para alojar

maquinas integradas en el dominio interno, posible es

posible...ahora, no

veras ningun manual que hable de esto como una buena

opcion, pero.

parece que esta de moda ;-)

Un saludo.
Ivan
MS MVP ISA Server



.