No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 OWA e rpc over http
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

dgelosini
New Member

28 Posts

Posted - 09/03/2009 :  12:09:38  Show Profile  Reply with Quote
La mia situazione attuale :
DC 2008
Exchange 2007 su win 2008
isa server proxy 2006 su win 2003 sp2 ad una nic
e tutto il traffico http dei client esce da isa
Dopo l'is interviene attualmente un pix(che genere anche la rete dmz)e che poi esce tra poco verr soppiantato da un asa 5510.
Tutto il routing interno lo gestice un cisco 2811.
Quello che vorrei avere da voi un consiglio su come strutturare un eventuale isa da mettere in dmz per pubblicare l'owa e il rpc over blabla...
Noi in terini di sicurezza avevamo pensato ad un altro server isa con una sola scheda affacciata ll'esterno e poi il routing lasciarlo al pix e al router......per da letture fatte sul vostro sito vedo che siete sbilanciati su una configurazione a due schede, ma al mio interno sono pruccupati per un eventual e perforamento della macchina isa affacciata si in dmz sia in rete e quindi.... si troverebbero in rete .

IsaCab
Moderator

4298 Posts

Posted - 09/03/2009 :  12:55:03  Show Profile  Reply with Quote
Ciao,

vediamo se ho capito bene:

PIX/ASA fa da NAT tra Internet e LAN.

PIX/ASA gestisce anche una DMZ (classe ip pubblica o privata?)

ISA in LAN fa da proxy (single NIC) per le connessione http/https/ftp

Ora i server che vorresti pubblicare dove si trovano LAN o DMZ ?

quote:
Noi in terini di sicurezza avevamo pensato ad un altro server isa con una sola scheda affacciata ll'esterno e poi il routing lasciarlo al pix e al router

Non capisco dove lo posizionereste rispetto al PIX.

Inoltre valuta che in single NIC non puoi fare NAT.

quote:
per da letture fatte sul vostro sito vedo che siete sbilanciati su una configurazione a due schede,

Se ragioniamo in termini di sicurezza, questa la soluzione migliore, sia da LAN verso internet che da Internet verso LAN (NAT Statico o pubblicazione).


quote:
ma al mio interno sono pruccupati per un eventual e perforamento della macchina isa affacciata si in dmz sia in rete e quindi.... si troverebbero in rete .

Esattamente quale la preoccupazione ?

Lo stesso problema lo hai se ti bucano il PIX o qualsiasi altro firewall tu decida di mettere tra la tua LAN/DMZ ed internet.

Per fare in modo che la vostra preoccupazione abbia successo, necessario avere accesso al server come administrator in console o in RDP. Inoltre valuta che ISA (LocalHost) un oggetto network separato rispetto a LAN(internal) e DMZ. Questo sognifica che passa solo il traffico autorizzato dalle access rule.

Ciao Giulio



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

dgelosini
New Member

28 Posts

Posted - 09/03/2009 :  13:22:16  Show Profile  Reply with Quote
quote:
Originally posted by IsaCab

Ciao,

vediamo se ho capito bene:

PIX/ASA fa da NAT tra Internet e LAN.
quote:

Il firewall fa solo da controllore di quello che passa e lo passa al router
No il nat viene fatto dal router la mia situazione
internet==>pix/asa==>router==>lan
Ovviamnete la dmz sta nel firewall

PIX/ASA gestisce anche una DMZ (classe ip pubblica o privata?)
quote:

classe ip privata

ISA in LAN fa da proxy (single NIC) per le connessione http/https/ftp
quote:

classe ip privata
Ora i server che vorresti pubblicare dove si trovano LAN o DMZ ?
quote:

Exchange 2007 in lan

quote:
Noi in terini di sicurezza avevamo pensato ad un altro server isa con una sola scheda affacciata ll'esterno e poi il routing lasciarlo al pix e al router

Non capisco dove lo posizionereste rispetto al PIX.
quote:

rispetto al pix no solo una schea di rete messa in dmz tu l'altra ho dato per scontato che suggerisca di metterla in lan, invece la metteresti sul pix?
Inoltre valuta che in single NIC non puoi fare NAT.

quote:
per da letture fatte sul vostro sito vedo che siete sbilanciati su una configurazione a due schede,

Se ragioniamo in termini di sicurezza, questa la soluzione migliore, sia da LAN verso internet che da Internet verso LAN (NAT Statico o pubblicazione).


quote:
ma al mio interno sono pruccupati per un eventual e perforamento della macchina isa affacciata si in dmz sia in rete e quindi.... si troverebbero in rete .

Esattamente quale la preoccupazione ?

Lo stesso problema lo hai se ti bucano il PIX o qualsiasi altro firewall tu decida di mettere tra la tua LAN/DMZ ed internet.

Per fare in modo che la vostra preoccupazione abbia successo, necessario avere accesso al server come administrator in console o in RDP. Inoltre valuta che ISA (LocalHost) un oggetto network separato rispetto a LAN(internal) e DMZ. Questo sognifica che passa solo il traffico autorizzato dalle access rule.

Ciao Giulio



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 09/03/2009 :  14:45:45  Show Profile  Reply with Quote
Ciao,

non si capisce nulla, cerca di quotare meglio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 09/03/2009 :  15:14:40  Show Profile  Reply with Quote
Lasciando perdere il discorso che ISA in Edge se viene bucato ecc. ecc. che lascia il tempo che trova; visto che e' un rischio a cui sono soggetti TUTTI gli apparati di frontiera - es. Router, PIX, ASA ecc.ecc -.
Comunque te hai una sola porta DMZ sul tuo PIX/ASA a cui vuoi connettere ISA e pubblicare OWA e RPC su SSL... direi che la soluzione Reverse Proxy e' ideale; tieni conto pero' che se vuoi autenticare i tuoi utenti di dominio ti serve RADIUS aumentando la complessita' della tua infrastruttura; inoltre la soluzione RPC over SSL non e' proprio una passeggiata.

Il tutto sarebbe molto piu' semplice se ISA fosse il back-end firewall, membro del dominio e protetto, sul front-end dal tuo PIX/ASA...Parlane con il tuo security Advisor; poi se hai bisogno di una consulenza piu' mirata hai gia' tutti i riferimenti.

Non mancare ai prossimi Workshop Security Technical Days - Da Marzo/Maggio - organizzati da ISAserver.it a Bologna. Puoi iscriverti direttamente da qui.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso pi efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it  parte del network GITCA - Global IT Community Association