Colocando um DC do Windows, Exchange em um DMZ

2

Eu tenho um cara na minha empresa me dizendo que eu deveria colocar FF: TMG entre meu firewall principal voltado para a Internet (Cisco 5510) e colocar meu servidor Exchange e DC na rede interna.

Eu tenho outro cara me dizendo que eu deveria colocar o servidor Exchange e DC em um DMZ

Eu particularmente não gosto da idéia de ter minhas caixas de correio e nomes de usuário / senhas da DC em uma DMZ e acho que a autenticação do Windows exigiria que eu abrisse tantas portas entre minha DMZ e minha rede interna, o que seria uma discussão ponto de tê-lo lá fora de qualquer maneira.

Quais são alguns pensamentos? Como você configurou isso?

    
por blsub6 21.12.2010 / 20:11

4 respostas

5

Troca

Depende de qual versão do Exchange você está usando. Se você tiver o Exchange 2007 ou 2010, há uma função personalizada para residir em uma DMZ: o Servidor de Borda. Coloque esse servidor em sua DMZ e configure portas corretas entre esse servidor e seus servidores de Transporte de Hub do Exchange de rede privada. Se você tem o Exchange 2000/2003, não há uma boa solução no que diz respeito ao InfoSec, você está praticamente preso ao abrir o SMTP (e o TCP / 443 se você usa o OWA) em uma máquina com domínio.

AD

Novamente, depende da sua versão do Exchange. Se você estiver em 2007/2010, o servidor Edge será projetado para operar sem nenhuma conexão ativa com um controlador de domínio real, portanto, não há necessidade de colocar um DC na DMZ. Se você estiver com 2000/2003, o servidor que está recebendo e-mail da Internet precisará estar conectado ao domínio de alguma forma, que pode ser para um DC em DMZ (mas sem portas de firewall DMZ / Internet abertas) ou para DCs na rede privada forma de política DMZ / firewall privado permitindo o tráfego.

Lembre-se de que "DMZ" não equivale a "todas as portas abertas", você pode abrir apenas as portas necessárias para os firewalls DMZ / Internet e Private / DMZ. Você pode manter um servidor Exchange 2000/2003 na DMZ e fazer furos em seu firewall privado / DMZ para permitir a comunicação com os DCs na rede privada. Sim, é um ponto de partida para ter seu DC hackeado, mas se isso realmente diz respeito a você atualizar para o Exchange 2010, onde a Microsoft projetou uma solução muito melhor para o problema.

    
por 21.12.2010 / 20:25
1

Todo mundo vai te dizer a mesma coisa - nunca coloque um DC na DMZ. Mantenha seu Exchange e todos os DCs na rede interna, protegidos por trás de seu firewall / FF: TMG. Simples assim.

    
por 21.12.2010 / 20:19
1

Em um ponto, minha equipe discutiu a colocação de uma caixa do tipo Forefront / ISA na DMZ na qual todo o tráfego de entrada chegaria antes de ser devolvido para a rede interna. Meu objetivo era publicar o Exchange 2003 por meio de um DMZ e ter todo o tráfego limpo antes que ele chegasse à minha rede interna sem a necessidade de substituir nosso PIX ou fazer grandes alterações na infraestrutura.

Isso funcionou no meu ambiente de teste, abrindo apenas 23 e 443 na DMZ e apenas 23 e 443 na rede interna.

    
por 10.08.2011 / 20:47
0

A única função do Exchange que a Microsoft oferecerá em uma DMZ é a função de Transporte de Borda. Todo o resto tem que estar na rede interna.

Além disso, quem lhe disse para colocar um DC na DMZ precisa de um ensino sério sobre o Active Directory e a segurança. Bata na cara dele algumas vezes para nós.

    
por 21.12.2010 / 20:24