Tenho um cara na minha empresa me dizendo que eu deveria colocar o FF: TMG entre meu firewall principal voltado para a Internet (Cisco 5510) e colocar meu servidor Exchange e DC na rede interna.
Tenho outro cara me dizendo que eu deveria colocar o servidor Exchange e o DC em uma DMZ
Eu particularmente não gosto da ideia de ter minhas caixas de correio e nomes de usuário/senhas de DC em uma DMZ e acho que a autenticação do Windows exigiria que eu abrisse tantas portas entre minha DMZ e minha rede interna que seria um ponto discutível ter de qualquer maneira.
Quais são alguns pensamentos? Como você configurou isso?
Responder1
Intercâmbio
Depende de qual versão do Exchange você está usando. Se você possui o Exchange 2007 ou 2010, existe uma função personalizada para viver em uma DMZ: o Servidor de Borda. Coloque esse servidor em sua DMZ e configure as portas corretas entre esse servidor e seus servidores Exchange Hub-Transport de rede privada. Se você possui o Exchange 2000/2003, não há uma boa solução no que diz respeito ao InfoSec, você está praticamente preso ao abrir o SMTP (e o TCP/443 se usar o OWA) para uma máquina com domínio.
DE ANÚNCIOS
Novamente, depende da sua versão do Exchange. Se você estiver em 2007/2010, o servidor Edge foi projetado para operar sem qualquer conexão ativa com um controlador de domínio real, portanto, não há absolutamente nenhuma necessidade de colocar um controlador de domínio na DMZ. Se você estiver em 2000/2003, o servidor que está recebendo mensagens da Internet terá que estar conectado ao domínio de alguma forma, o que pode ser a um controlador de domínio na DMZ (mas sem portas de firewall DMZ/Internet abertas) ou a controladores de domínio na rede privada por forma de política DMZ/firewall privada permitindo o tráfego.
Tenha em mente que "DMZ" não significa "todas as portas abertas", você pode abrir apenas as portas necessárias para seus firewalls DMZ/Internet e Privado/DMZ. Você pode manter um servidor Exchange 2000/2003 na DMZ e abrir buracos em seu firewall privado/DMZ para permitir que ele se comunique com os controladores de domínio na rede privada. Sim, é um trampolim para ter seu DC hackeado, mas se isso realmente preocupa você atualize para o Exchange 2010, onde a Microsoft projetou uma solução muito melhor para o problema.
Responder2
Todo mundo dirá a mesma coisa: nunca coloque um DC na DMZ. Mantenha seu Exchange e todos os DCs na rede interna, protegidos por seu firewall/FF:TMG. Simples assim.
Responder3
A certa altura, minha equipe discutiu a colocação de uma caixa do tipo Forefront/ISA na DMZ, na qual todo o tráfego de entrada chegaria antes de ser devolvido à rede interna. Meu objetivo era publicar o Exchange 2003 por meio de uma DMZ e ter todo o tráfego limpo antes que ele chegasse à minha rede interna, sem a necessidade de substituir nosso PIX ou de fazer grandes alterações na infraestrutura.
Isso funcionou no meu ambiente de teste, abrindo apenas 23 e 443 na DMZ e apenas 23 e 443 na rede interna.
Responder4
A única função do Exchange que a Microsoft dará suporte em uma DMZ é a função Edge Transport. Todo o resto tem que estar na rede interna.
Além disso, quem lhe disse para colocar um controlador de domínio na DMZ precisa de bastante conhecimento sobre Active Directory e segurança. Dê um tapa na cara dele algumas vezes por nós.