none
ISA contra ataques internos RRS feed

  • Pregunta

  • Saludos!!

       La filosofía que seguimos para instalar el ISA es proteger la corporación de nuestros usuarios, ya que tenemos formación técnica y son ellos los potenciales hackers. Segun este esquema: 

    http://www.monlau.es/img_intranet/ISAesquema.jpg

      Las preguntas son las siguientes:

    1. ¿En las deficiniciones de redes, se han definir cada una segun el rango de la vlan?
    2. ¿Que regla debo crear para que los usuarios puedan llegar a logearse en los servidores y acceder a ellos?
    3. ¿En el DHCP debo crear alguna característica especial?

    A día de hoy, no conseguimos que los usuarios se logueen ni que puedan navegar... y no encontramos el fallo... Si alguien nos puede ayudar, le estaríamos agradecidos.

     

    Gracias.

     

    miércoles, 10 de enero de 2007 9:49

Respuestas

  • Pues no me gusta tu esquema ;-)

     

    En la DMZ tienen que estar.

    El www.

    El sql pero sin dc

    El sharepoint

     

    Fuera de la DMZ con el firewall del SP1 activado usando scw tienen que estar los dc, los dns los dhcp y los exchange.

     

    Todos estos servidores requieren de que se dejen abiertos muchos puertos en el firewall algunos incluso RPCs dinamicos lo cual pone en riesgo la seguridad de los servidores en los que realmente estan los riesgos mas importantes que son los que tienes que dejar en la DMZ.

     

    Tendras que crear una relacion NAT y abrir los puertos necesario para que los servidores de la DMZ se validen en los DCs fuera de la misma.

    La seguridad de los servidores fuera de la dmz se consigue con el SCW que configura el firewall local segun los roles del servidor configurando incluso reglas ipsec para bloquear los puertos.

     

    Asegurate de montar wsus para las actualizaciones y mantener actualizados todos tus servidores.

     

     

    Un saludo.

     

    *******************************************************************************************************************

    Colabora con el foro: Si la respuesta te es de utilidad marca la pregunta como respondida.

    *******************************************************************************************************************

    Daniel Matey.

    MVP

    MCSE, MCSA, MCSD, MCDBA.

    Blog: http://dmatey.spaces.live.com

     

    • Marcado como respuesta Akaris martes, 22 de septiembre de 2009 8:53
    miércoles, 10 de enero de 2007 10:39