Exchange detras de un firewall

Nunca me cansare de decirte Gracias, aver aqui està el diagrama de mi red,
en sus diferentes epocas, quisiera saber si esta mejorando la arquitectura y
que sugieres que no sea obviamente muy caro, por que con lo de las licencias
Exchange y Windows ya no van a comprar algo mas por un tiempo al menos.
Ya comprendi lo de la DMZ, la idea no es asegurar lo de la DMZ, sino sacar
fuera de la LAN Interna el peligro cierto? ademas por eso se llama
desmilitarizada. No habia reparado antes en el tèrmino.


ESQUEMA HASTA HACE UNA SEMANA:

Internet
|
|
Router
| |______(Nic: 83.223.39.57)Correo/Web Linux
(192.168.100.200)__
|
|
|(Nic2: 83.223.39.58)
|
FW Linux Ipcop v1.3.0
|
|(Nic1: 192.168.100.201)
|
|__________________________________________________|
|
Lan Interna / Otros Servers
(192.168.100.x)

Yo he ingresado a trabajar hace un mes mas o menos, despues de una revision,
(jajaja, esto te va dar risa de seguro), descubri que el cable que conectaba
el Correo Linux con la Red Interna no funcionaba. En la configuracion de sus
Outlooks todos usan POP3, asi que pienso que siempre se iban por Internet
para recibir y enviar mails. Es posible?? xq no encuentro otra forma en la
que les haya funcionado el correo.

Sugeri Exchange y ahora està configurado asi:


ESQUEMA ACTUAL DE MI RED:

Internet
|
|
Router
|
|
|(Nic3: 83.223.39.58)
FW Linux Ipcop v1.3.0 --(Nic2: 192.168.150.1)> (DMZ)-- Exch2003 c/
Owa y Web de la Empresa en IIS (Todo en un Server W2000 con la IP
192.168.150.10)
|(Nic1: 192.168.100.201)
|
|
Lan Interna / Otros Servers
(192.168.100.x)



Preguntas:
1.- Esta bien que mi Correo este en la DMZ? o es igual a que este dentro de
la LAN? en donde estaria mas seguro?
2.- Ha mejorado la arquitectura?? Espero que un poquito al menos



"Javier Gomez [SBS MVP]" ha scritto
nel messaggio news:%23WWaFxi$

Hola...

Yo creo que el problema es que no tienes claro el concepto de un DMZ.

Vamos

a ver->

Internet
|
Firewall--(DMZ)-- Servidor #1
|
Servidor #2-- Estaciones

[Esto es un DMZ simple... un DMZ de "verdad" requiere 2 firewalls como
minimo]

La zona DMZ esta hecha para que todo el trafico del Servidor #1 no pase a
traves de la red. Esto protege a tu servidor #2 porque la mayoria del

tafico

peligroso (DNS,WWW, FTP... ect.) va directamente a tu Servidor #1 sin

tener

ni la mas minima oportunidad de entrar a tu red privada. Por definicion->
Una Zona DMZ no esta bajo la proteccion de un firewall (tampoco la
necesita). Tienes que tener cuidado con esto... porque la configuracion de
un DMZ es mas complicada de lo que parece. Que firewall estas usando? la
caja linux (con cuantas tarjetas de red?) o que producto (Netgear,
Sonicwall...ect.)?

Ahora... tu te preguntaras: Por que el Servidor #1 esta en el DMZ?
Simplemente por que es un servidor que no es critico al sistema (y esta
completamente aislado)... si le llegase a pasar algo simplemente lo
reinstalas y listo.

Cualquier servidor que sea "privado" y/o que necesite tener proteccion del
firewall no debe estar en un DMZ. Si te das cuenta de lo que te estoy
diciendo es que un DMZ hace la red mas segura siempre y cuando el servidor
que este en el DMZ no sea el que quieres proteger.

Me podrias hacer un diagrama de tu sistema? Como el que hice al

principio...

asi podria hablar mas especificamente de tu situacion. Otra cosa es que
siempre puedes ver cual es el estatus de tu firewall haciendo un "Port

Scan"

en la interfaz externa. Solo por aquello de probar entra en esta pagina->
http://www.grc.com/default.htm ve a la seccion de "Shields Up"-> Proceed->

y

selecciona "All Service ports" (desde el servidor de Exchange). Esto te

dara

una idea de que puertos estan abiertos/cerrados/stealth. Todo debe estar
verde (o por lo menos azul) excepto por 2 or 3 puertos.

Se entiende lo que estoy diciendo? Si necesitas que explique algo con mas
detalle dejame saber!

Javier [SBS MVP]

<< SBS ROCKS !!! >>

"Francisco Ramos" wrote in message
news:uUJcCWi$
> La verdad no me queda clara tu explicacion Javier.
>
> Aver:
>
> 1.- El concepto de DMZ (DeMilitarized Zone) es que todos los packets
pueden
> entrar y salir...
>
> Bueno solo los paquetes para los cuales yo abra un puerto en el firewall
> no?? no todos
>
> 2.- esto significa que si tienes algo en un DMZ el firewall no esta
> funcionando.
>
> Pero acaso no necesito un FW para hacer una DMZ??
> Mira que tambien este FW me bloquea todo de fuera a dentro para mis red
> interna y es la que me da salida a Internet a la misma.
>
> 3.-Si colocas un sevidor en un DMZ esta completamente expuesto al
> internet... por esa razon es que digo que "esta de adorno".
>
> Insisto, no es que estè completamente expuesto, es lo que creo, porq

sino

> cual es la idea de la DMZ, acaso no es proteger al Server? pienso que

mas

> expuesto estaba antes cuando mi Server de correo tenia 2 NICs, una para

la

> red interna con IP interna obviamente y otra con una IP publica

conectado

> directamente a Internet.
>
> 4.-Usualmente solo pones en un DMZ servidores de Web/FTP (que no estan
> conectados de ninguna forma con tu LAN local)... tambien se puede usar
para
> "troubleshoot" el Firewall (pero al final solo debes abrir los
puertos
> que te interesen).
>
> Pregunta, esto quiere decir que mi red es insegura? o no es tan segura
como
> yo pienso?
>
> Muchisimas Gracias como siempre Javier.
>
>
> "Javier Gomez [SBS MVP]" ha
scritto
> nel messaggio news:OWjRFDi$
> > El concepto de DMZ (DeMilitarized Zone) es que todos los packets

pueden

> > entrar y salir... esto significa que si tienes algo en un DMZ el
firewall
> no
> > esta funcionando. Si colocas un sevidor en un DMZ esta completamente
> > expuesto al internet... por esa razon es que digo que "esta de

adorno".

> >
> > Usualmente solo pones en un DMZ servidores de Web/FTP (que no estan
> > conectados de ninguna forma con tu LAN local)... tambien se puede usar
> para
> > "troubleshoot" el firewall (pero al final solo debes abrir los puertos
que
> > te interesen).
> >
> > Javier [SBS MVP]
> >
> > << SBS ROCKS !!! >>
> >
> > "Francisco Ramos" wrote in message
> > news:OFsRIph$
> > > Ahora tambien funciona en la DMZ (el linux no estaba bien

configurado

> > antes
> > > para reenviar los paquetes), con una sola tarjeta de red,una IP
interna
> y
> > > funciona bien, abriendo en el linux los puertos respectivos, pero
porque
> > me
> > > dices que el linux esta de adorno? particularmente no me gusta el
linux,
> > > pero como ya habras notado en otras preguntas hechas tambien a ti,

en

> los
> > > proximos meses lo cambiaremos a Isa.
> > >
> > > "Javier Gomez [SBS MVP]" ha
> > scritto
> > > nel messaggio news:e16Oom5%
> > > > Si pones el Exchange en un DMZ es exactamente igual que no tener
> > > firewall...
> > > > la caja de linux esta de adorno. Cuantas tarjetas de red tiene el
> > > servidor?
> > > > Asegurate que puedas hacer telnet x.x.x.x 25 en la tarjeta

externa.

> > > >
> > > > Javier [SBS MVP]
> > > >
> > > > << SBS ROCKS !!! >>
> > > >
> > > > "Francisco Ramos" wrote in message
> > > > news:%23Ik9$O5%
> > > > > Tengo instalado mi exchange 2003 detras de un firewall linux
(Ipcop)
> > > ayer
> > > > > hicimos una prueba y los correos salian pero no entraban, (el
> > exchange
> > > > esta
> > > > > en una dmz) hay algun puerto adicional por abrir en el firewall
> aparte
> > > del
> > > > > 25 y el 80???
> > > > >
> > > > > Gracias
> > > > >
> > > > >
> > > >
> > > >
> > >
> > >
> >
> >
>
>

1.- Esta bien que mi Correo este en la DMZ? o es igual a que este dentro

de

la LAN? en donde estaria mas seguro?

Depende... el servidor de Exchange es parte del dominio interno? o esta
totalemente aislado? Si los clientes internos accessan el servidor
unicamente via POP3 o IMAP no hay problema. Ahora si existiese algun otro
tipo de comunicacion entonces talvez tengas que redisenar el sistema.

Debo decirte que no es usual poner el servidor Exchange en un DMZ. Para que
haya una comunicacion con el servidor (no usando POP3 pero conectandote
directamente) se requiere que este en la red interna. En el caso ideal yo
quitaria el servidor Exchange del DMZ y pondria solamente un servidor Web
(podria ser con Linux) en su lugar. Entonces moveria el servidor de Exchange
dentro del Lan para que fuese parte del dominio, finalmente abriria un
puerto no estandar para OWA unicamente.

2.- Ha mejorado la arquitectura?? Espero que un poquito al menos

Definitivamente esta mejor asi... no se porque decidieron ponerle 2 tarjetas
al servidor de mail Linux, pero eso estaba raro! :-)

Saludos!

Javier [SBS MVP]

<< SBS ROCKS !!! >>

Bueno ahora no solo es parte del dominio, tambien es el unico DC.
Pero esta semana estoy por configurar otra PC que estara en la LAN Interna
como otro DC del dominio (lo q vendria a ser un BDC en NT 4).
Pregunta..., es posible y seria mejor segun lo q me dices que si yo
configuro esta nueva PC como otro DC del dominio, despues yo pueda quitar
todo lo relacionado a DC del actual Server de Exchange en la DMZ y dejarlo
solo como Member Server?? afectarà en algo a mi Exchange 2003 ya q segun
entiendo este se amarra totalmente al dominio? que posibles consecuencia
puede tener eso?

Mis clientes internos ahora se conectan no con POP3 sino escogiendo la
opcion Server Microsoft Exchange en el Outlook (no se como se llame eso y q
protocolo use).
POP3 usan los de fuera.

Saludos


"Javier Gomez [SBS MVP]" ha scritto
nel messaggio news:etN5Etk$

> 1.- Esta bien que mi Correo este en la DMZ? o es igual a que este dentro
de
> la LAN? en donde estaria mas seguro?

Depende... el servidor de Exchange es parte del dominio interno? o esta
totalemente aislado? Si los clientes internos accessan el servidor
unicamente via POP3 o IMAP no hay problema. Ahora si existiese algun otro
tipo de comunicacion entonces talvez tengas que redisenar el sistema.

Debo decirte que no es usual poner el servidor Exchange en un DMZ. Para

que

haya una comunicacion con el servidor (no usando POP3 pero conectandote
directamente) se requiere que este en la red interna. En el caso ideal yo
quitaria el servidor Exchange del DMZ y pondria solamente un servidor Web
(podria ser con Linux) en su lugar. Entonces moveria el servidor de

Exchange

dentro del Lan para que fuese parte del dominio, finalmente abriria un
puerto no estandar para OWA unicamente.

> 2.- Ha mejorado la arquitectura?? Espero que un poquito al menos

Definitivamente esta mejor asi... no se porque decidieron ponerle 2

tarjetas

al servidor de mail Linux, pero eso estaba raro! :-)

Saludos!

Javier [SBS MVP]

<< SBS ROCKS !!! >>

Ok... veo tu situacion. Si Exchange es el DC de tu dominio... no debes
tenerlo en un DMZ. Aunque fuese un servidor miembro no seria prudente usar
un DMZ en esta situacion. De hecho si el DMZ esta bien configurado...
cualquier persona podria ver tu DC desde el internet!

Mi recomendacion es que lo saques del DMZ y lo coloques en el lado seguro
del Firewall con una IP privada. Si te hace falta otro DC adicional lo
puedes instalar tambien en el Lan privado (aunque en un lan pequeño tener un
2do DC no se justifica). Lo mas que me preocupa es que estes haciendo de
servidor web en un DC... con el puerto 80 abierto (especialmente si estas
usando Win2k que el IIS5.0 tiene mas hoyos que un queso suizo). Esto no es
buena idea, si te es posible utiliza otro servidor para proporcionar http
(el cual podrias poner en el DMZ) pero no lo debes hacer parte del dominio
(yo prefiero usar linux/apache en esta situacion).

No importa lo que hagas asegurate que ningun equipo desde el lan interno se
puede ver desde el intenet... solamente permite los puertos que vayas a
usar. Mi recomendacion es que solo abras: 25 (SMTP), 110 (POP3). Si
necesitas publicar OWA... no uses un puerto estandar o usa una conexion
segura como 443 (HTTPS).

Cuando termines de configurarlo todo-> Asegurate que haces un "port scan" a
cada equipo y que solo los puertos necesarios aparecen abiertos.

Javier [SBS MVP]

<< SBS ROCKS !!! >>

"Francisco Ramos" wrote in message
news:O9zCxMl$

Bueno ahora no solo es parte del dominio, tambien es el unico DC.
Pero esta semana estoy por configurar otra PC que estara en la LAN Interna
como otro DC del dominio (lo q vendria a ser un BDC en NT 4).
Pregunta..., es posible y seria mejor segun lo q me dices que si yo
configuro esta nueva PC como otro DC del dominio, despues yo pueda quitar
todo lo relacionado a DC del actual Server de Exchange en la DMZ y dejarlo
solo como Member Server?? afectarà en algo a mi Exchange 2003 ya q segun
entiendo este se amarra totalmente al dominio? que posibles consecuencia
puede tener eso?

Mis clientes internos ahora se conectan no con POP3 sino escogiendo la
opcion Server Microsoft Exchange en el Outlook (no se como se llame eso y

q

protocolo use).
POP3 usan los de fuera.

Saludos


"Javier Gomez [SBS MVP]" ha

scritto

nel messaggio news:etN5Etk$
> > 1.- Esta bien que mi Correo este en la DMZ? o es igual a que este

dentro

> de
> > la LAN? en donde estaria mas seguro?
>
> Depende... el servidor de Exchange es parte del dominio interno? o esta
> totalemente aislado? Si los clientes internos accessan el servidor
> unicamente via POP3 o IMAP no hay problema. Ahora si existiese algun

otro

> tipo de comunicacion entonces talvez tengas que redisenar el sistema.
>
> Debo decirte que no es usual poner el servidor Exchange en un DMZ. Para
que
> haya una comunicacion con el servidor (no usando POP3 pero conectandote
> directamente) se requiere que este en la red interna. En el caso ideal

yo

> quitaria el servidor Exchange del DMZ y pondria solamente un servidor

Web

> (podria ser con Linux) en su lugar. Entonces moveria el servidor de
Exchange
> dentro del Lan para que fuese parte del dominio, finalmente abriria un
> puerto no estandar para OWA unicamente.
>
> > 2.- Ha mejorado la arquitectura?? Espero que un poquito al menos
>
> Definitivamente esta mejor asi... no se porque decidieron ponerle 2
tarjetas
> al servidor de mail Linux, pero eso estaba raro! :-)
>
> Saludos!
>
> Javier [SBS MVP]
>
> << SBS ROCKS !!! >>
>
>

OK, empezare a seguir tus recomendaciones poco a poco.

Primero: Usarè OWA con HTTPS
Segundo: El Web lo pasare a otra PC y quedarà en la DMZ y tratare de que sea
con W2003/IIS6 para mayor seguridad.
Tercero: Voy a configurar un DC en la Lan Interna, y quitare todo lo
relacionado a DC de mi Exchange,
Aqui surge una pregunta q no me respondiste, pueda quitar todo lo
relacionado a DC del actual Exch2003 en la DMZ y dejarlo solo como Member
Server sin q afecte el funcionamiento de mi Correo?? Tienes link sobre eso??
Cuarto: Pasarè mi Exch2003 a la Lan Interna
Aqui surge mi ultima pregunta, acaso no tengo que abrir en el FW tambièn el
25, 110 y 80/443 para que me lleguen correos de fuera cuando mi Exch2003
este en la Lan Interna?? no es similar a lo q tengo ahora con la DMZ donde
el 25,110 y 80 estan abiertos y redireccionados al Exch2003???

Gracias


Pero no me respondiste si puedo quitar todo lo relacionado a DC de mi
Exchange y q este siga funcionando sin problemas
"Javier Gomez [SBS MVP]" ha scritto
nel messaggio news:%23LQP$Hm$

Ok... veo tu situacion. Si Exchange es el DC de tu dominio... no debes
tenerlo en un DMZ. Aunque fuese un servidor miembro no seria prudente usar
un DMZ en esta situacion. De hecho si el DMZ esta bien configurado...
cualquier persona podria ver tu DC desde el internet!

Mi recomendacion es que lo saques del DMZ y lo coloques en el lado seguro
del Firewall con una IP privada. Si te hace falta otro DC adicional lo
puedes instalar tambien en el Lan privado (aunque en un lan pequeño tener

un

2do DC no se justifica). Lo mas que me preocupa es que estes haciendo de
servidor web en un DC... con el puerto 80 abierto (especialmente si estas
usando Win2k que el IIS5.0 tiene mas hoyos que un queso suizo). Esto no es
buena idea, si te es posible utiliza otro servidor para proporcionar http
(el cual podrias poner en el DMZ) pero no lo debes hacer parte del dominio
(yo prefiero usar linux/apache en esta situacion).

No importa lo que hagas asegurate que ningun equipo desde el lan interno

se

puede ver desde el intenet... solamente permite los puertos que vayas a
usar. Mi recomendacion es que solo abras: 25 (SMTP), 110 (POP3). Si
necesitas publicar OWA... no uses un puerto estandar o usa una conexion
segura como 443 (HTTPS).

Cuando termines de configurarlo todo-> Asegurate que haces un "port scan"

a

cada equipo y que solo los puertos necesarios aparecen abiertos.

Javier [SBS MVP]

<< SBS ROCKS !!! >>

"Francisco Ramos" wrote in message
news:O9zCxMl$
> Bueno ahora no solo es parte del dominio, tambien es el unico DC.
> Pero esta semana estoy por configurar otra PC que estara en la LAN

Interna

> como otro DC del dominio (lo q vendria a ser un BDC en NT 4).
> Pregunta..., es posible y seria mejor segun lo q me dices que si yo
> configuro esta nueva PC como otro DC del dominio, despues yo pueda

quitar

> todo lo relacionado a DC del actual Server de Exchange en la DMZ y

dejarlo

> solo como Member Server?? afectarà en algo a mi Exchange 2003 ya q segun
> entiendo este se amarra totalmente al dominio? que posibles consecuencia
> puede tener eso?
>
> Mis clientes internos ahora se conectan no con POP3 sino escogiendo la
> opcion Server Microsoft Exchange en el Outlook (no se como se llame eso

y

q
> protocolo use).
> POP3 usan los de fuera.
>
> Saludos
>
>
> "Javier Gomez [SBS MVP]" ha
scritto
> nel messaggio news:etN5Etk$
> > > 1.- Esta bien que mi Correo este en la DMZ? o es igual a que este
dentro
> > de
> > > la LAN? en donde estaria mas seguro?
> >
> > Depende... el servidor de Exchange es parte del dominio interno? o

esta

> > totalemente aislado? Si los clientes internos accessan el servidor
> > unicamente via POP3 o IMAP no hay problema. Ahora si existiese algun
otro
> > tipo de comunicacion entonces talvez tengas que redisenar el sistema.
> >
> > Debo decirte que no es usual poner el servidor Exchange en un DMZ.

Para

> que
> > haya una comunicacion con el servidor (no usando POP3 pero

conectandote

> > directamente) se requiere que este en la red interna. En el caso ideal
yo
> > quitaria el servidor Exchange del DMZ y pondria solamente un servidor
Web
> > (podria ser con Linux) en su lugar. Entonces moveria el servidor de
> Exchange
> > dentro del Lan para que fuese parte del dominio, finalmente abriria un
> > puerto no estandar para OWA unicamente.
> >
> > > 2.- Ha mejorado la arquitectura?? Espero que un poquito al menos
> >
> > Definitivamente esta mejor asi... no se porque decidieron ponerle 2
> tarjetas
> > al servidor de mail Linux, pero eso estaba raro! :-)
> >
> > Saludos!
> >
> > Javier [SBS MVP]
> >
> > << SBS ROCKS !!! >>
> >
> >
>
>