none
Devo instalar o Firewall Client em servidores? RRS feed

  • Pergunta

  • Tenho 1 maquina com isa com multihomed para 1 DMZ e a rede interna. Maior dúvida, devo instalar o firewall client nos servidores na rede interna?

    quinta-feira, 15 de outubro de 2009 16:05

Respostas

  • NA verdade eu discordo um pouco do que foi proposto.

    Servidores não devem ter acesso direto para internet....Se não for servidor web eles nao devem ter esse acesso...portando secure nat nem pensar.
    Ja pensou o mesmo pega um virus e fica se atualizando e se propagando??? Que beleza seria o seu ambiente?

    Se o usuário que est alogado precis anavegar , o servidor não é o local que ele fará essa atividade. Portanto para isso existe maquinas clientes, ao menos que seja um servidor de TS.

    Se existe uma aplicação que utilize SOCKS faz-se necessário a intalação do FC, caso contrario nem internet o mesmo deve ter.

    Espero ter ajudado

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 15 de outubro de 2009 17:48
    Moderador
  • NA verdade eu discordo um pouco do que foi proposto.

    Servidores não devem ter acesso direto para internet....Se não for servidor web eles nao devem ter esse acesso...portando secure nat nem pensar.
    Ja pensou o mesmo pega um virus e fica se atualizando e se propagando??? Que beleza seria o seu ambiente?

    Se o usuário que est alogado precis anavegar , o servidor não é o local que ele fará essa atividade. Portanto para isso existe maquinas clientes, ao menos que seja um servidor de TS.

    Se existe uma aplicação que utilize SOCKS faz-se necessário a intalação do FC, caso contrario nem internet o mesmo deve ter.

    Espero ter ajudado

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

    Amigão servidores que precisam ter acesso a Internet vc tem sim que configurar como securenat dai vc limita os protocolos necessarios no ISA. Correto??

    Como servidor DNS, Web, e etc. Servidores não precisam não ha necessidade de configurar.

    Se for falar de segurança por completo vamos ter que abrir mais uns dez 10. Tipo isolando servidores por VLAN, back to back, encaminhamentoresolução DNS para outro servidor DNS na dmz e etc.

    Não comentei isso pq não foi o que ele perguntou, mais vale o que o Luiz disse.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 15 de outubro de 2009 18:48

Todas as Respostas

  • Não deve não. Servidores devem ser clientes Securenat. O maximo que voce pode fazer é configurar o Webproxy para o usuario que estiver logado no servidor.


    Se foi util marque como resposta


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 15 de outubro de 2009 16:43
  • Boa tarde Fabio!!

           Para completar o que o Felipe falou, segue o link de um tutorial de como configurar o WPAD e AUTO DESCOVERY, para que os usuarios recebam a configuração do Proxy automaticamente: http://ewerton-stabile.blogspot.com/2009/10/tutorial-configurando-wpad-auto.html

          Abraço!!


    Se Foi Util Classifique!!! Meu Blog = http://ewerton-stabile.blogspot.com/
    quinta-feira, 15 de outubro de 2009 16:53
  • NA verdade eu discordo um pouco do que foi proposto.

    Servidores não devem ter acesso direto para internet....Se não for servidor web eles nao devem ter esse acesso...portando secure nat nem pensar.
    Ja pensou o mesmo pega um virus e fica se atualizando e se propagando??? Que beleza seria o seu ambiente?

    Se o usuário que est alogado precis anavegar , o servidor não é o local que ele fará essa atividade. Portanto para isso existe maquinas clientes, ao menos que seja um servidor de TS.

    Se existe uma aplicação que utilize SOCKS faz-se necessário a intalação do FC, caso contrario nem internet o mesmo deve ter.

    Espero ter ajudado

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 15 de outubro de 2009 17:48
    Moderador
  • Ewerton,

    Uma dica, sobre o seu tutorial.
    A ordem esta um pouco confusa.
    Pois primeiro vc cria o regsitro depois habilita a funcionalidade no ISA.
    Se eu criar o regsitro do modo que vc criou e no ISA eu habilitar o WAPD para uma porta diferente da 80 não vai funcionar.

    Da um aolhada no meu http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12.

    acredito que valha acertar.

    forte abraço
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 15 de outubro de 2009 17:53
    Moderador
  • NA verdade eu discordo um pouco do que foi proposto.

    Servidores não devem ter acesso direto para internet....Se não for servidor web eles nao devem ter esse acesso...portando secure nat nem pensar.
    Ja pensou o mesmo pega um virus e fica se atualizando e se propagando??? Que beleza seria o seu ambiente?

    Se o usuário que est alogado precis anavegar , o servidor não é o local que ele fará essa atividade. Portanto para isso existe maquinas clientes, ao menos que seja um servidor de TS.

    Se existe uma aplicação que utilize SOCKS faz-se necessário a intalação do FC, caso contrario nem internet o mesmo deve ter.

    Espero ter ajudado

    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

    Amigão servidores que precisam ter acesso a Internet vc tem sim que configurar como securenat dai vc limita os protocolos necessarios no ISA. Correto??

    Como servidor DNS, Web, e etc. Servidores não precisam não ha necessidade de configurar.

    Se for falar de segurança por completo vamos ter que abrir mais uns dez 10. Tipo isolando servidores por VLAN, back to back, encaminhamentoresolução DNS para outro servidor DNS na dmz e etc.

    Não comentei isso pq não foi o que ele perguntou, mais vale o que o Luiz disse.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 15 de outubro de 2009 18:48
  • Ewerton,

    Uma dica, sobre o seu tutorial.
    A ordem esta um pouco confusa.
    Pois primeiro vc cria o regsitro depois habilita a funcionalidade no ISA.
    Se eu criar o regsitro do modo que vc criou e no ISA eu habilitar o WAPD para uma porta diferente da 80 não vai funcionar.

    Da um aolhada no meu http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=12.

    acredito que valha acertar.

    forte abraço
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.

    Blz Luiz, vou dar uma olhada lá!
    Abraço!

    Se Foi Util Classifique!!! Meu Blog = http://ewerton-stabile.blogspot.com/
    quinta-feira, 15 de outubro de 2009 20:20
  • Beleza,

    qualquer duvida me avise

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 15 de outubro de 2009 20:41
    Moderador