[Ajuda] Rede ORANGE - Exemplo Prático

[brunoagne3]

Até hoje só usei rede (Green, Red, e Blue), alguém poderia me dar um exemplo prático do uso da rede ORANGE?
um exemplo com IP's e funcionalidades.

Obrigado.

[Elton]

Boa tarde

a rede orange é para uso da dmz quando vc quer isolar sua rede wan com a sua rede interna algo assim,!

A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local


é uma segurança a mais!

[marceloleaes]

Correto, ou pode ser utilizada para segmentação interna em casos de multidominios no mesmo local.

Lembrando que o Endian trabalha com o conceito de zonas, e existe firewall interzonas também.

Dá para aplicar de diversas maneiras, vai da necessidade.

[leandro.cunha]

Correto,

só uma observação,

eu utilizei a DMZ ao contrário, eu tenho um Link externo no endian apontando pra uma aplicação interna em uma maquina especifica pra responder pelo ip da rede green do endian, pois se eu quiser acessar essa aplicação eu acesso via gerenciador hyper-v, não sei se esta certo, mas esta funcionando perfeitamente, pra ficar mais claro

Endian
Red: Externa
Green : 192.168.0.1
Orange: 10.0.0.14

IIS
Rede Local : 192.168.0.15

Minha Rede Local do trabalho: 10.0.0.0

Não sei se a DMZ é somenta isolar a rede da sua, eu usei a mesma ao contrário, usei a mesma para eu acessar o endian

Se tiver alguma outra dica estou a disposição

Abraços

[brunoagne3]

Obrigado pela colaboração, MAS....   vou tentar colocar minha dúvida.
imagine o cenário:

- endian (proxy)
  RED - internet
  Green - 192.168.0.1 (Lan + wifi corporativa)
  Blue - 192.168.5.1 (HOT SPOT para visitantes)
  Orange - ?? não utilizada
- um WinServ2012 como DC + AD + DNS + TS(acesso Interno e Externo).  192.168.0.2  "ligado ao switch na green do endian"

Dúvida: o correto seria usar o winServ2012 na ORANGE? ex.: 10.0.0.1 ?  é nisso ai que fico confuso, sobre a forma como a estação vai se comunicar com o DC.
seria só encaminhar tudo que a GREEN receber na "UDP 53" para a ORANGE no ip 10.0.0.1?
obs.: nunca utilizei a ORANGE, mas gostaria de usar se tiver um ganho na segurança.

[Elton]

pelo que entendi sim hein cara posso estar errado mais tenho quase certeza que é isso,se o windowns server fica para o mundo externo o melhor mesmo e colocar no rede orange pois se sofrer um ataque nele sua rede interna fica protegida pois o invasor não vai enxergar fácil! a rede orange exatamente protege serviços que estão na sua rede externa que fica de cara para o mundo da sua rede interna espero que deu para entender kkkkk assim se tenho um serviço para o mundo a probabilidade de sofrer um ataque é grande com o server na rede orange sua rede interna fica isolada !!!!

[leandro.cunha]

Mas pelo que ele falou na descrição Elton, ele tem um AD, se ele colocar esse AD, DNS na orange as maquinas da rede local talvez não funcione, o interessante e colocar o 2012 na interna mesmo e redirecionar somente a 3389 para o TS externo e colocar uma senha forte tanto pro ADMINISTRADOR e pra quem tem acesso como admin ao 2012, creio que colocando uma senha forte o invasor pode ate quebrar mas ate lá vc vai ver que tem uma sobrecarga na sua LAN e vc detecta e quebra a conexão, esse é o meu ponto de vista e pelo que ele descreveu, pra mim essa é a solução, lembrando que coloque caracter especial na senha, ai será bicho feio pra quebrar

Grande abraço

[brunoagne3]

Resumindo:

- se for usar AD + TS(interno e externo) use só a GREEN!

OBS.: não sei se poderia ter um cenário com 2 servidores de TS, um para acesso interno e um para externo(e esse segundo jogar na ORANGE)?

Juntos Podemos Mais!!! 

[leandro.cunha]

No meu ponto de vista sim, pois vc não tem como isolar o seu AD pra uma outra rede

Agora, tem alguma aplicação que usuários terão que usar nesse TS que vc quer redirecionar externo ?

Porque se tiver, vc tem que connhecer a aplicação e como é o funcionamento dels e os requisitos pra que ela funcione

De repente se for o caso, suponho eu, eu não conheço o que vc utiliza ai, mas se for o caso, crie um grupo no

AD, e pra esse grupo crie uma gpo para que no logon ele abra um especifico programa, o usuário não terá acesso

a area de trabalho ou outras coisas mais, mas tudo isso é configurabel via GPO

Qualquer duvida estamos ai

Abraços

[brunoagne3]

o ambiente é o seguinte:

Uma matriz com 20 funcionários.
          VPN
Uma filial com 10 funcionários.
----------------------------------------------
- o AD fica na matriz.
- Tem vários Thin Clients. (apenas logam via TS)
- o sistema de ERP somente é disponibilizado via TS.
- tudo funciona só via TS.
----------------------------------------------
o mesmo usuário pode usar o TS (internamente e fora da empresa).

o único motivo de eu pensar em usar a ORANGE é criar uma camada a mais na segurança, mas só se tiver um ganho real.

[marceloleaes]

Se tudo esta em cima de TS, eu acho que você deve se preocupar primeiramente em ter um balanceamento de TS.

Acho desnecessário uma DMZ, as filiais tendo ip fixo, libera somente o ip delas para conectar, problema resolvido.

[brunoagne3]

[quote="marceloleaes"]
Se tudo esta em cima de TS, eu acho que você deve se preocupar primeiramente em ter um balanceamento de TS.

Acho desnecessário uma DMZ, as filiais tendo ip fixo, libera somente o ip delas para conectar, problema resolvido.
[/quote]

Fala Marcelo, é um Dell T420 (32gb ram + 3 hd's de 1TB em raid 5, 1 processador six core "12 núcleos", 6 Lan de 1GB), onde uso tudo virtualizado no Xen Server 3.2: endian 2.5.1, win serv 2012.

para win2012 liberei os recursos: 12GB ram, 6 núcleos do processador. (o antigo winserv2003 nunca usou mais de 8GB com todos no TS)

nunca fiz balanceamento de TS, será que precisa mesmo?

obrigado!