Ports a obrir per servidors Windows en una DMZ

Aqui poso un article on mostra quins ports cal obrir per poder posar un servidor a la DMZ, i que aquest faci les funcions habituals: iniciar sessió, accedir a GPOs, DNS, LDAP, etc.

Introducción al servicio y requisitos del puerto de red para el sistema Windows Server

Com veureu, cal obrir mooooolts ports, ja que el RPC demana del 1024 al 65535 TCP, i el DCOM a més demana del 1024 al 65535 UDP.

Potser es millor posar un servidor que faci només de passarel·la en la DMZ, i posar els servidors de la DMZ sense que es connectin al AD, posant-los en un grup de treball.

Aquí tindriem un exemple dels serveis que poden tenir passarel·la:

- OWA: ISA Server 2004/2006 en grup de treball, amb validació LDAP

- Citrix CAE: Secure Gateway o Access Gateway. Només cal el HTTPS, el 1494/TCP i el 2598/TCP

- Correu: Passarel·la SMTP. Només cal el port 25/TCP

- Servidor Web: ISA Server 2004/2006 amb proxy invers.

- SQL Server: Posar un altre servidor i fer una replicació amb els servidors interns només de les dades necessàries via Replicació, log shipping o bé els típics paquets DTS

- RDP/Terminal Server: Aquest servei és vulnerable al atac Man-in-the-Middle. No es recomana posar-lo en la DMZ ni molt menys a la xarxa interna. Caldria mirar la nova tecnologia de Terminal Services Gateway de Windows 2008 a veure com va.

 

La recomanació es posar sempre aquestes passarel·les, i en cas de no ser possible, posar una VPN, pero que disposi de protecció end-point, és a dir, que abans de connectar-se comprobi si l’altre extrem té bàsicament aquestes tres coses:

- Antivirus conegut i actualitzat.

- Windows Update a la última.

- Spit tunnel, és a dir, que al connectar a la nostra xarxa no pugui veure cap més xarxa, per evitar infeccions remotes.

Conceptes bàsics: DMZ, Proxy, Citrix, Virtualització, Continuïtat de negoci

Aquest article explica de manera planera alguns conceptes bàsics que ens trobem en les xarxes d’avui en dia, i que són les tecnologies que implementem des d’Interwor T-SIC.

DMZ: Xarxa independent i separada de la xarxa interna on s’ubiquen els dispositius amb serveis accessibles des d’Internet.
En una xarxa corporativa segura no ha d’existir CAP accés des de l’exterior contra la xarxa interna.
Els accessos sempre han de passar pels dispositius d’una xarxa controlada separada anomenada DMZ.
De la mateixa manera, a la xarxa DMZ no pot haver-hi cap servidor que contingui dades. Han de ser servidors passarel·la sense contingut que únicament reenviïn les peticions als servidors de la xarxa interna, perquè en cas d’ésser atacats no hi hagi cap possibilitat de pèrdua o accés no desitjat a la informació sensible.

Proxy: Servei que permet l’accés controlat dels usuaris a Internet. A més d’accelerar la connexió, permet tallar els continguts que minimitzen la productivitat i crear informes complets sobre l’activitat de navegació per Internet que realitza la companyia. D’altra banda aquest sistema també permet publicar serveis web interns de manera segura mitjançant el servei de proxy invers, com poder ser pàgines web o web mails corporatius.

Citrix: Citrix és el fabricant del producte Presentation Server, que permet introduir el concepte de Server Based Computing. Sota aquest concepte les aplicacions d’usuari i les dades es troben i s’executen en el servidor.
El dispositiu client (PC, PDA, mòbil) de l’usuari només s’utilitza per representar les dades.
Aquesta fórmula garanteix la seguretat i integritat de les dades ja que no surten mai de la companyia i sempre estan centralitzades, ja que només viatgen els troços de pantalla que canvien, mai la informació completa.
A la vegada també permet utilitzar totes les eines internes de manera controlada en qualsevol lloc, amb qualsevol dispositiu i amb qualsevol connexió, gracies a l’ús del protocol propietari ICA, que comprimeix i protegeix les dades.

Virtualització: La virtualització és un sistema que permet compartir una màquina física per executar diverses màquines virtuals. Aquestes màquines virtuals comparteixen els recursos lliures de CPU, memòria, disc i connexió de xarxa que d’altra manera estarien sense aprofitar esperant només puntes de treball.
Aquest fet permet a la vegada poder executar aquestes màquines amb independència del hardware. No cal reinstal·lar ni migrar un sistema per moure una màquina virtual.
A més, mitjançant regles automàtiques, podem fer arrencar una instancia de la màquina virtual en un altre hardware sense intervenció de l’administrador inclús fora d’hores d’oficina, proporcionant al sistema una alta disponibilitat i d’una recuperació ràpida en cas de desastre, garantint la continuïtat de negoci en tot moment.

Continuïtat de Negoci: Es coneix com la continuïtat de negoci el conjunt d’eines i procediments orientats a garantir un funcionament dels sistemes que tendeixi al 100% de operativitat en el temps. És evident que sempre cal buscar una solució de continuïtat de negoci que sigui un compromís entre el temps d’aturada o recuperació i el cost d’implementació.