Ein Typ in meiner Firma sagt mir, ich solle FF:TMG zwischen meine Haupt-Internet-Firewall (Cisco 5510) einfügen und meinen Exchange-Server und DC in das interne Netzwerk stellen.
Ein anderer Typ sagt mir, ich solle den Exchange-Server und den DC in eine DMZ stellen
Mir gefällt die Idee nicht besonders, meine Postfächer und Benutzernamen/Passwörter der DCs in einer DMZ zu haben und ich glaube, dass die Windows-Authentifizierung erfordern würde, dass ich so viele Ports zwischen meiner DMZ und meinem internen Netzwerk öffne, dass es sowieso sinnlos wäre, sie dort zu haben.
Was sind einige Gedanken? Wie haben Sie es eingerichtet?
Antwort1
Austausch
Dies hängt davon ab, welche Exchange-Version Sie verwenden. Wenn Sie Exchange 2007 oder 2010 haben, gibt es eine Rolle, die speziell für das Leben in einer DMZ entwickelt wurde: den Edge-Server. Platzieren Sie diesen Server in Ihrer DMZ und konfigurieren Sie die richtigen Ports zwischen diesem Server und den Exchange Hub-Transport-Servern Ihres privaten Netzwerks. Wenn Sie Exchange 2000/2003 haben, gibt es keine gute Lösung, was InfoSec betrifft. Sie müssen SMTP (und TCP/443, wenn Sie OWA verwenden) für einen Domänencomputer öffnen.
ANZEIGE
Auch hier kommt es auf Ihre Exchange-Version an. Wenn Sie 2007/2010 verwenden, ist der Edge-Server so konzipiert, dass er ohne Live-Verbindung zu einem tatsächlichen Domänencontroller funktioniert. Es besteht also absolut keine Notwendigkeit, einen DC in die DMZ zu stellen. Wenn Sie 2000/2003 verwenden, muss der Server, der Internet-Mails empfängt, irgendwie mit der Domäne verbunden sein. Dies kann mit einem DC in der DMZ (aber ohne offene DMZ-/Internet-Firewall-Ports) oder mit DCs im privaten Netzwerk über eine DMZ-/Private-Firewall-Richtlinie geschehen, die den Datenverkehr zulässt.
Bedenken Sie, dass „DMZ“ nicht bedeutet, dass „alle Ports offen“ sind. Sie können nur die Ports öffnen, die Sie für Ihre DMZ/Internet- und privaten/DMZ-Firewalls benötigen. Sie können einen Exchange 2000/2003-Server in der DMZ betreiben und Löcher in Ihre private/DMZ-Firewall bohren, um ihm die Kommunikation mit den DCs im privaten Netzwerk zu ermöglichen. Ja, das ist ein Sprungbrett für das Hacken Ihrer DCs, aber wenn Sie das wirklich beunruhigt, aktualisieren Sie auf Exchange 2010, wo Microsoft eine viel bessere Lösung für das Problem entwickelt hat.
Antwort2
Jeder wird Ihnen dasselbe sagen: Platzieren Sie niemals einen DC in der DMZ. Bewahren Sie Ihren Exchange und alle DCs im internen Netzwerk auf, geschützt hinter Ihrer Firewall/FF:TMG. So einfach ist das.
Antwort3
Irgendwann diskutierte mein Team darüber, eine Box vom Typ Forefront/ISA in die DMZ zu stellen, auf der der gesamte eingehende Datenverkehr landen würde, bevor er in das interne Netzwerk umgeleitet würde. Mein Ziel war es, Exchange 2003 über eine DMZ zu veröffentlichen und den gesamten Datenverkehr zu bereinigen, bevor er mein internes Netzwerk erreichte, ohne dass wir unseren PIX ersetzen oder anderweitig größere Infrastrukturänderungen vornehmen mussten.
Dies funktionierte in meiner Testumgebung, indem nur 23 und 443 in die DMZ und nur 23 und 443 in das interne Netzwerk geöffnet wurden.
Antwort4
Die einzige Exchange-Rolle, die Microsoft in einer DMZ unterstützt, ist die Edge-Transport-Rolle. Alles andere muss sich im internen Netzwerk befinden.
Außerdem braucht derjenige, der Ihnen gesagt hat, Sie sollten einen DC in die DMZ stellen, eine gründliche Schulung zu Active Directory und Sicherheit. Geben Sie ihm ein paar Ohrfeigen für uns.