Implementación de una zona desmilitarizada (DMZ) en ISA server

Que es una DMZ?

Una DMZ (del inglés Demilitarized zone) o Zona
DesMilitarizada. Una zona desmilitarizada (DMZ) o red
perimetral es una red local que se ubica entre la red interna
de una organización y una red externa, generalmente
Internet.
El objetivo de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas, mientras que
las conexiones desde la DMZ sólo se permitan a la red
externa, es decir: los equipos locales (hosts) en la DMZ no
pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ’s puedan dar
servicios a la red externa a la vez que protegen la red interna
en el caso de que intrusos comprometan la seguridad de los
equipos (host) situados en la zona desmilitarizada. Para
cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se
convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es
necesario que sean accedidos desde fuera, como servidores
de e-mail, Web y DNS.
Esto se ve muchísimo más claro en un esquema:

Las conexiones que se realizan desde la red externa hacia la

DMZ se controlan generalmente utilizando port address
translation (PAT).
Habitualmente una configuración DMZ es usar dos
cortafuegos, donde la DMZ se sitúa en medio y se conecta a
ambos cortafuegos, uno conectado a la red interna y el otro a
la red externa. Esta configuración ayuda a prevenir
configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de
configuración también es llamado cortafuegos de subred monitoreada (screened-subnet firewall).
Origen del término:

El término zona desmilitarizada es tomado de la franja de terreno neutral que separa a ambas Coreas, y que es una
reminiscencia de la Guerra de Corea, aún vigente y en tregua desde 1953. Paradójicamente, a pesar de que esta zona
desmilitarizada es terreno neutral, es una de las más peligrosas del planeta, y por ello da nombre al sistema DMZ.
Un término relacionado directamente con esta tecnlogía es el llamado equipo bastión, éste, normalmente a través de dos
tarjetas de red (interfaces) mantiene aislada la red local de la red externa, es decir, la LAN de la WAN.

En esta entrada del blog, que recien empiezo a crear les voy ha enseñara como implementar una zona desmilitarizada

(DMZ) en un servidor firewall con el software ISA Server 2004

Configura su servidor isa Server para que funcione en modo perímetro de 3 secciones:
En su servidor isa, seleccione configuración > redes
Seleccione la hoja plantillas y observe que existen diversas formas de conexión
Configure apropiadamente para que su servidor funcione en modo perímetro de tres secciones
Recuerde
o Agregar una tarjeta de red a su isa Server
o Colocar una computadora cliente en la red privada
o Colocar el servidor Web en la red desmilitarizada (DMZ) = red perímetro
o Los clientes de la red privada pueden acceder a Internet
o Los de Internet solo pueden acceder la DMZ
Configurando la red en modo de perímetro de tres secciones:

En la página Bienvenido, haga clic en Siguiente.

En la página Exportar la configuración del servidor ISA, haga clic en Exportar si desea conservar la configuración actual
En la página Direcciones IP de red perimetral, utilice los botones Agregar y Quitar para asegurarse de que sólo se
muestran las direcciones IP de la red perimetral. (20.0.0.0-20.255.255.255)
En la página Seleccione una directiva de firewall, seleccione Permitir acceso a Web limitado para crear una regla de
acceso desde la red interna a la externa (cuando haya finalizado el asistente) y, a continuación, haga clic en Siguiente.
En la página de resumen, revise la configuración de la red y después haga clic en Finalizar.

El Asistente para plantillas de red crea dos reglas de red: una que crea una relación de enrutamiento entre las redes
perimetral y externa (la regla Acceso a perímetro) y otra que crea una relación NAT entre las redes interna y perimetral (la
regla Configuración de perímetro). Compruebe que se crearon las reglas seleccionando la ficha Reglas de red del panel

de detalles Redes.
Ya implementado nuestra zona de desmilitarización y configurado debidamente sus direcciones IP procederemos a
publicar nuestro servidor Web dentro de nuestra
zona de desmilitarización
Hacemos clic en Publicar un servidor Web para iniciar el Asistente para nueva regla de publicación de Web.
En la página Seleccionar acción de regla, seleccionamos Permitir
En la página Definir sitio Web para publicar, en Dirección IP o nombre del equipo, escribimos la dirección IP de nuestro
servidor 20.0.0.2.
En la página Detalles de nombre público, comprobamos que está seleccionada la opción Este nombre de dominio y
escribimos la dirección IP del equipo servidor ISA. 192.168.100.1
En la página Seleccionar escucha de Web, haga clic en Nueva para iniciar el Asistente para nueva escucha de Web.
En la página Conjuntos hacemos clic en Siguiente.
En la página de resumen hacemos clic en Finalizar.

Comprobando que las configuraciones funcionen correctamente:

Verificamos la configuración de todas las interfaces de red del servidor ISA Server:
Verificamos las interfaces de red de nuestro servidor Web, además que este configurado adecuadamente la página Web
a mostrar
Dentro del cliente del isa Server verificamos la interfase de red además que este se pueda conectar ha Internet según la
configuración anteriormente realizada
Revisamos la configuración de nuestra red de perímetro de tres secciones que cada red este configurado con sus
intervalos de red

Verificamos desde una consola de comando de un equipo de la red externa que no se pueda acceder ala red interna
Verificamos que podemos acceder al servidor Web, desde algún equipo de la red externa colocando en el navegador la
dirección IP del servidor isa que se conecta a la red externa.

fuente: http://ticdeveloper.blogspot.com/2008/10/implemente-una-zona-desmilitarizada-dmz.html
http://www.solusan.com/que-es-una-dmz.html