Tengo un tipo en mi empresa que me dice que debería colocar FF:TMG entre mi firewall principal con acceso a Internet (Cisco 5510) y colocar mi servidor Exchange y DC en la red interna.
Otro tipo me dice que debería poner el servidor Exchange y el DC en una DMZ.
No me gusta particularmente la idea de tener mis buzones de correo y los nombres de usuario/contraseñas de DC en una DMZ y creo que la autenticación de Windows requeriría que abriera tantos puertos entre mi DMZ y mi red interna que sería discutible tener está ahí fuera de todos modos.
¿Cuáles son algunos pensamientos? ¿Cómo lo tienes configurado?
Respuesta1
Intercambio
Depende de la versión de Exchange que estés usando. Si tiene Exchange 2007 o 2010, existe una función personalizada para vivir en una DMZ: el servidor perimetral. Coloque ese servidor en su DMZ y configure los puertos correctos entre ese servidor y sus servidores Exchange Hub-Transport de red privada. Si tiene Exchange 2000/2003, no existe una buena solución en lo que respecta a InfoSec, está prácticamente atascado al abrir SMTP (y TCP/443 si usa OWA) en una máquina con dominio.
ANUNCIO
Nuevamente, depende de su versión de Exchange. Si está en 2007/2010, el servidor Edge está diseñado para funcionar sin ninguna conexión activa a un controlador de dominio real, por lo que no hay absolutamente ninguna necesidad de colocar un DC en la DMZ. Si está en 2000/2003, el servidor que recibe el correo de Internet tendrá que estar conectado al dominio de alguna manera, que puede ser a un DC en DMZ (pero sin puertos DMZ/firewall de Internet abiertos) o a DC en la red privada mediante forma de DMZ/política de firewall privada que permita el tráfico.
Tenga en cuenta que "DMZ" no equivale a "todos los puertos abiertos", puede abrir sólo los puertos que necesita para sus cortafuegos DMZ/Internet y Privado/DMZ. Puede mantener un servidor Exchange 2000/2003 en la DMZ y hacer agujeros en su firewall privado/DMZ para permitirle comunicarse con los DC en la red privada. Sí, es un paso adelante para hackear su DC, pero si eso realmente le preocupa, actualice a Exchange 2010, donde Microsoft ha diseñado una solución mucho mejor al problema.
Respuesta2
Todo el mundo te dirá lo mismo: nunca pongas un DC en la DMZ. Mantenga su Exchange y todos los DC en la red interna, protegidos detrás de su firewall/FF:TMG. Simple como eso.
Respuesta3
En un momento, mi equipo discutió la posibilidad de colocar un cuadro tipo Forefront/ISA en la DMZ al que aterrizaría todo el tráfico entrante antes de rebotar en la red interna. Mi objetivo era publicar Exchange 2003 a través de una DMZ y desinfectar todo el tráfico antes de que llegara a mi red interna sin la necesidad de reemplazar nuestro PIX o realizar cambios importantes en la infraestructura.
Esto funcionó en mi entorno de prueba abriendo solo 23 y 443 en la DMZ y solo 23 y 443 en la red interna.
Respuesta4
La única función de Exchange que Microsoft admitirá en una DMZ es la función de transporte perimetral. Todo lo demás tiene que estar en la red interna.
Además, quien le haya dicho que coloque un DC en la DMZ necesita una formación seria sobre Active Directory y seguridad. Dale una bofetada en la cara un par de veces por nosotros.