none
DNS Server em um ambiente ISA. RRS feed

  • Pergunta

  •  Boa Tarde Senhores,

     Gostaria de saber como configurar meus DNS Servers em um ambiente ISA, tendo uma estrutura de Host de Internet ou seja meus DNS tanto os primários qto os secundários respondem para a Fapesp.

     Fazendo um Forward das requisições  para a minha rede interna? Se não qual é a melhor pratica para defender servidores DNS que são publicos na internet?

     Desde já agradeço a atenção de todos,

     Fernando

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 05:24 (De:ISA Server 2004)
    sábado, 9 de setembro de 2006 21:05

Todas as Respostas

  • Olá Fernando,

    Como sugestão colocaria no Servidor com ISA Server, desta forma você não precisa abrir consulta DNS para rede interna.

    Ja li em diversos artigos e foruns que a melhor topologia é ter o DNS public no ISA ou em uma DMZ, depende um pouco da sua topologia atual, se você não utiliza DMZ e não vai implementar sugiro que deixe seu DNS no ISA.

    Segue link de assunto relacionado.

    http://www.isaserver.org/articles/Running_a_DNS_Server_on_the_ISA_Server.html

    Abraço.

    Armindo Gabriel Sgorlon

    MCP - ISA Server 2004

    segunda-feira, 11 de setembro de 2006 15:22
  • Na realidade, se a topologia usada for Bastion Host, ou seja, um unico servidor entre a rede interna e a internet, nao vai fazer muita diferenca onde esteja o servico de DNS.

    O recomendado seria em uma DMZ, para caso o servidor de DNS seja comprometido, ele nao tenha acesso a rede interna. Se o servidor de DNS for o mesmo do ISA caso ele seja comprometido, o seu ISA e rede interna estarao comprometidos da mesma forma.

    Portanto, o ideal e que o servico de DNS esteja em uma maquina separada do ISA, e preferencialmente no servidor do ISA nao instale nenhum outro software.

    Quanto ao acesso externo ao seu servico de DNS, o que voce deve fazer e criar uma Server Publishing Rule e nao uma Access Rule.

    segunda-feira, 11 de setembro de 2006 16:01
  • Ola Aloisio,

    Descordo em partes do seu post acima, como ja diz o Thomas Shinder  "A lot of people want to run DNS servers on the ISA Server machine itself."

    Tive contato com varios engenheiros dentro e fora da Microsoft, e as melhores soluções de implementar o DNS pode ser na maquina ISA ou numa DMZ. Claro que o DNS public pode estar dentro da rede interna, porém não é o mais recomendado.

    Ainda acredito que o DNS pode estar na maquina ISA.

    Por que você acredita que não seja uma implementação segura ?

    Abraços.

    segunda-feira, 11 de setembro de 2006 16:23
  • Ola Armindo,

    A tradução do que o T. Shinder disse é: "Muitas pessoas querem rodar o DNS Server na prórpia máquina do ISA Server", o que ainda assim não significa que seja o ideal.

    Porque não seria seguro? Simples, quanto maior o número de serviços em um mesmo ponto/servidor, maior a probabilidade de existir um Bug/Exploit/Ataque que deixe o servidor e todos os seus serviços indisponíveis. Em relação a esse caso específico, a melhor opção realmente é a DMZ.

    Imagine que seja encontrado um bug que dê total acesso a um invasor no serviço de DNS, e que o mesmo por exemplo instale um vírus como o Blaster (situação hipotética uma vez que a falha que permitia o Blaster finalizar o processo do lsass.exe já foi corrigida) e que a máquina fique reiniciando infinitamente que era o que o Blaster fazia. Além do DNS Server ficar indisponível o ISA Server ficaria também indisponível.

    Outra situação é a partir do DNS Server o invasor ter acesso a rede a qual ele faz parte, se ele estiver no ISA ou na rede Interna não vai fazer diferença, os acessos serão os mesmos. Por isso a mlehor opção seria a DMZ.

    Mas de qualquer forma, como você disse, a melhor solução, pode ser instalar o serviço de DNS,ou outro, dependendo da necessidade, na máquina do ISA Server, o que vai variar dependendo do Budget e insfraestrutura de onde a solução será implementada.

    Ainda continuando o post, se você discordar de algo que eu disse, ou tiver algo a complementar, ficarei feliz em ler e responder.

     

     

    segunda-feira, 11 de setembro de 2006 16:34
  • Olá Aloisio,

    Concordo plenamente com seu post, a melhor solução realmente seria uma DMZ.

    Voltando ao post de origem vamos pegar o trecho abaixo:

    "Fazendo um Forward das requisições  para a minha rede interna? Se não qual é a melhor pratica para defender servidores DNS que são publicos na internet?"

    Analisando a primeira pergunta do post do Fernando, podemos supor que ele só trabalha com uma Rede ( Interna ), sendo assim acredito ser a melhor solução para o ambiente o DNS instalado no servidor ISA.

    Analisando a segunda pergunta do post, a melhor solução seria a descrita no post anterior a este, ou seja o DNS em uma DMZ.

    Abraços.

    segunda-feira, 11 de setembro de 2006 16:43
  • Caros Amigos,

     

    Agradeço muito a ajuda de vcs, achei muito interessante e motivacional esse pequeno debate de forma respeitável e técnica.

    Entendi bem a idéia de vcs, mas tenho alguns pontos ainda para esclarecer, vou explicar meu ambiente:

     

    Tenho dois Servidores DNS Públicos fazendo todo o trabalho de Host para paginas e e-mail exemplo:

     

    DNS Máster

    200.200.200.1

     

    DNS Secundário

    200.200.200.2

     

    A pergunta é se eu deixar essa mesma estrutura externa e fazer o forward para minha rede ISA exemplo:

     

    Colocar um listen no ISA para escultar requisições da porta 53 e ecaminhar para outro DNS Server da rede interna que teria a mesma estrutura do Publico? Seria uma DMZ?

     

    Conforme o nosso amigo Armindo uma boa pratica seria deixar o DNS no Servidor ISA.

    Porém como eu faço para deixar o Secundário também? Embora o secundário fica em outra maquina?

     

    Com as idéias eu coloquei o meu ambiente da seguinte maneira:

     

    Deixei os servidores Máster e Secundário do mesmo jeito más com a seguinte configuração:

     

    Criei um arquivo Host (A) encaminhando tudo que for para “www” para minha rede ISA coloquei um listen para 53 e ecaminhei a solicitação para o meu IIS (Rede Interna).Fiz mas algumas alterações para validar outros serviços.

     

    Conclusão....meus princinpais serviços como RDP, IIS e E-MAIL estão em um endereço invalido na internet, mas na minha visão meu DNS continua desprotegido.

     

    Desculpe a persistência más ultimamente procurei em muitos lugares na internet e vcs foram os únicos que me deram uma visão melhor de como poderia ser meu ambiente.

     

    Desde já agradeço muito a atenção e paciência para ler esse livro.

     

    Fernando

    quinta-feira, 14 de setembro de 2006 21:18
  • Olá Fernando,

    Boa Noite.

    Acho que esta havendo um confusão nesta configuração.

    De acordo com o post acima, se você ja tem os dois DNS externos fazendo forward para o ISA, então você nao precisa de DNS "publico" dentro da sua rede, o que você deve fazer é publicar os serviços que você quer no ISA.

    Ex:

    Quero que o site www.site.com.br esteja disponivel para acesso externo, lembrando que o servidor de IIS esta dentro da minha rede.

    Se o site www.site.com.br ja estiver registrado ( valido na internet ) basta você fazer uma publicação de webserver no ISA.

    Neste link ensina a publicação http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=081.

    Acredito que seja esta a duvida, de uma olhada e post a conclusao.

    Abraços.

    sexta-feira, 15 de setembro de 2006 02:59
  • Fernando,

    Imagine a segiunte situação:

    Você tem um servidor de IIS e um servidor de DNS na sua rede interna.

    Você tem um ISA Server como Proxy/Firewall.

    Na fapesp os seus IPs de DNS apontam para o IP externo do seu ISA Server.

    Imagine que eu sou um visitante do seu website, entao eu digito www.nandosmart.com.br , quando eu fizer isso, o meu computador vai procurar quem é nandosmart.com.br e na fapesp os servidores de DNS vão indicar que o responsável por nandosmart.com.br são os IPs 200.200.200.1 e 200.200.200.2 então o próximo passo é consultar esses servidores para saber qual o IP do host www .

    Depois que eu descobrir o IP do host www o browser vai tentar acessá-lo na porta 80. E a partir de então eu vou começar a navegar no seu website. Então resumindo o que você precisa.

    1- Que os seus servidores de DNS estejam publicados no ISA server com os IPs que você passou para a fapesp. (Obs.: Você TEM que passar 2 IPs na fapesp, mas não precisa ter dois servidores DNS, basta que você publique o mesmo com dois IPs diferentes, lembrando é claro que não terá redundancia.)

    2- Você terá que publicar os serus serviços com o IP que você colocar no host dentro do DNS. Exemplo: Você colocou o host www com o IP 200.200.200.3 então a sua publicação no ISA terá o listener nesse IP apontando para o IP interno. 

    Concluindo, não importa onde o seu servidor de DNS e ou Web estejam, seja em uma DMZ, no próprio ISA Server ou na rede interna, o que importa é como você vai publicá-los na internet.

    Qualquer dúvida sobre como fazer no ISA essas publicações funcionarem poste aqui no fórum.

    Abraços.

    sexta-feira, 15 de setembro de 2006 12:29
  •  Aloísio,

     Obrigado pela a resposta, agora ficou bem claro o que devo fazer para proteger meu DNS, quando vc mencionou:

    2- Você terá que publicar os seus serviços com o IP que você colocar no host dentro do DNS. Exemplo: Você colocou o host www com o IP 200.200.200.3 então a sua publicação no ISA terá o listener nesse IP apontando para o IP interno. (Eu poderia falar que essa solução é uma DMZ???Se não o que faltaria para eu fazer uma DMZ com esse ambiente que vc me passou???)

    Abraços

     

     

    sexta-feira, 15 de setembro de 2006 18:28
  •  Armindo,

     Obrigado pela resposta, estarei fazendo isso sim, minha unica pergunta que o nosso amigo Eloísio respondeu abaixo seria onde eu deixaria meu DNS secundário.

     Mas a solução ficou bem clara para mim.

     Abraços

    sexta-feira, 15 de setembro de 2006 18:33
  • Olá Fernando,

    Que bom que ficou esclarecido.

    Não se esqueça de classificar o post.

    Abraços.

    sexta-feira, 15 de setembro de 2006 18:40
  •  Aloísio,

     Coloquei um post sobre DMZ no meu ambiente no post anterior, qdo vc puder me responda.

     Obrigado

     Fernando

    sexta-feira, 22 de setembro de 2006 15:02
  • Olá,

    Não tinha visto.

    DMZ é uma zona separada da sua rede interna, você teria uma DMZ basicamente em 2 templates do ISA, que seriam o Three Homed e o Back to back.

    No three homed a DMZ seria a terceira placa de rede do ISA, que é uma rede separada para os seus servidores.

    No back to back a DMZ fica entre os dois firewall o front firewall e o back firewall.

    sexta-feira, 22 de setembro de 2006 15:53