Isa server en una DMZ de terceros

Estimado Ivan,

No, no... yo en ningun momento he dicho que no se pueda... lo que he
dicho, es que no me parece la mejor implementacion, por supuesto,
desde mi punto de vista.

Ivan, lo primero muchas gracias por tu ayuda una vez más...

Si instalas ISA con un unico interface de red (modo proxy),
unicamente puedes utilizar reglas de publicacion web para OWA y
Sharepont, no puedes publicar RPC con el ISA.

Veamos eso es básicamente lo que quiero hacer, publicar el Sharepoint y el
OWA, si puedo hacerlo filtrando por el firewall de mi router (el cual es
bastante bueno) sería feliz.
Para Exchange había pensado en montar un servidor RPC de Exchange también
en
la DMZ.

La publicacion de los otros servicios de Exchange y otros posibles
servidores que quieras publicar ahora o en un futuro, la
tienes que realizar a traves del otro firewall, el cual no creo que
incorpore las mismas caracteristicas de filtrado de aplicacion que
ISA..

Eso es lógico, ISA es ISA y my Firewall es mi firewall.

Nadie dice que en la DMZ no puedas tener servidores integrados en el
dominio interno. Por poder, se puede perfectamente, lo unico que la
idea de

una DMZ no es esa precisamente. Si tengo que permitir la

comunicacion entre la DMZ y la red interna, aunque sea contra un par >

de
DCs, para que quiero la DMZ ? si un servidor de la DMZ se ve >

comprometido, el intruso puede acceder a recursos de la red interna,
y no a cualquier recurso, a los DCs que son ????????????????????.

pero yo diria que el nivel de seguridad es el mismo, o muy similar, y
el entorno es menos complicado.

Eso pienso yo también. Ahora bien lo que quiero saber es si poniendo ISA
en la
DMZ como te comento arriba ISA es capaz de hacer de reverse Proxy para
Sharepoint y OWA. Si eso es así ?creo? que me bastaría.

A nivel hardware mi firewall permite solo la entrada al puerto 80, 443
etc..
bloqueando absolutamente todo, pero no se que pasa con la autentificación
de
los usuarios que acceden a través de ISA en la DMZ a el servidor de
Sharepoint
u OWA que esta en la red Interna.

Quizas mi postura respecto a situar servidores miembros del dominio
en la DMZ es un poco inflexible, pero una DMZ es una DMZ, si
permitimos la comunicacion con el dominio interno lo unico que >podemos

conseguir es una

falsa sensacion de seguridad, lo cual es quizas lo mas peligroso que
hay...

Cualquier manual de cortafuegos y seguridad te dira que no se debe
permitir la comunicacion entre DMZ-red interna, no es algo que diga
yo

Ahora, el dia que los expertos digan que si, que es bueno, >perfecto,
pero
mientras, yo no voy a decir lo contrario.


Eso es totalmente cierto pero también es verdad que no hay nada, nada
100%
seguro y eso mismo lleva a la conclusión de que un 90% es un sistema tan
seguro como uno del 100%, y este último tiene menores costes y permite
mayor
flexibilidad a los usuarios que tienen que trabajar en el sistema (eso
pienso
yo personalmente).

Aqui puedes sacar todo el partido al filtrado a nivel de aplicacion
del ISA,

no solo a nivel HTTP/HTTPS, si no utilizar el filtro SMTP,

message screener, POP3, DNS, etc, etc. En la DMZ en back-to-back, el
ejemplo anterior, pierdes todas estas caracteristicas, si es que el
Zywall no las proporciona

Filtrado a nivel de aplicación (puedes explicarme un poco más), no se si
realmente necesito todos estos filtros.

Muchísimas gracias Ivan.
María.

Veamos eso es básicamente lo que quiero hacer, publicar el Sharepoint y
el
OWA, si puedo hacerlo filtrando por el firewall de mi router (el cual es
bastante bueno) sería feliz.
Para Exchange había pensado en montar un servidor RPC de Exchange también
en
la DMZ.

Si solo quieres usar ISA para publicar HTTP y HTTPS, suficiente, puedes
ponerlo en la DMZ con un unico interface de red.

Eso es lógico, ISA es ISA y my Firewall es mi firewall.

ISA es un firewall/proxy/cache/ServidorVPN a mi modo de ver muy superior a
tu otro firewalll... pero es una opinion personal.

Eso pienso yo también. Ahora bien lo que quiero saber es si poniendo ISA
en la
DMZ como te comento arriba ISA es capaz de hacer de reverse Proxy para
Sharepoint y OWA. Si eso es así ?creo? que me bastaría.

Si, puedes hacerlo perfectamente.

A nivel hardware mi firewall permite solo la entrada al puerto 80, 443
etc..
bloqueando absolutamente todo, pero no se que pasa con la autentificación
de
los usuarios que acceden a través de ISA en la DMZ a el servidor de
Sharepoint
u OWA que esta en la red Interna.

Esto no acabo de entender muy bien a que te refieres... Quieres decir que
los usuarios de tu red interna van a conectarse al Exhange y Sharepoint de
la DMZ ?

Eso es totalmente cierto pero también es verdad que no hay nada, nada
100%
seguro y eso mismo lleva a la conclusión de que un 90% es un sistema tan
seguro como uno del 100%, y este último tiene menores costes y permite
mayor
flexibilidad a los usuarios que tienen que trabajar en el sistema (eso
pienso
yo personalmente).
Filtrado a nivel de aplicación (puedes explicarme un poco más), no se si
realmente necesito todos estos filtros.

ISA incorpora filtros de aplicacion que permiten inspeccionar dicha capa.
Filtrado HTTP, filtrado SMTP, POP, DNS, FTP, etc.
http://www.microsoft.com/technet/pr...ering.mspx
http://www.microsoft.com/technet/pr...ilter.mspx

Mira en la ayuda de ISA: add-ins, tienes mucha informacion.

Un saludo.
Ivan
MS MVP ISA Server