Para comprender a lo que nos estamos metiendo vamos a definir primero que es una DMZ (Extracto de Wikipedia http://es.wikipedia.org/wiki/Zona_desmilitarizada_(inform%C3%A1tica))
DMZ
En seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized zone) ored perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente enInternet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientrasque en general las conexiones desde la DMZ solo se pParaermitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrónico, Web y DNS. Y es precisamente estos servicios alojados en estos servidores los únicos que pueden establecer tráfico de datos entre el DMZ y la red interna, por ejemplo, una conexión de datos entre el servidor web y una base de datos protegida situada en la red interna.
NAT (Network address translation)
Para aislar los equipos dentro de la DMZ de la red interna, se implementa una NAT con el objeto de traducir las direcciones públicas en internas.
Este mecanismo se implementa en un dispositivo de enrutamiento que utiliza tablas de traducción “estado” que mapea las direcciones ocultas en una sola dirección IP que expone en Internet aparentando que fueron originados del dispositivo de enrutamiento.En la ruta de comunicación inversa, el Router mapea las respuestas de regreso a las direcciones IP originadas utilizando las reglas “Estado” almacenadas en las tablas de traducción.
Por ende si se desea acceder los servidores desde internet se utilizarán las IP publicas o externas si se desea acceder desde la red interna se utilizan las IP de la red interna.
CONFIGURACION
Debido a que las IPs son modificadas y se bloquean muchos puertos dentro de la DMZ es necesario revisar que estén abiertos:
Deberemos revisar el archivo host también para validar que no hayan registro desactualizados apuntando al las ips anteriores.
Podemos utilizar las siguientes utilerías:
1) ipconfig /flushdns (Esto comando elimina el cache del DNS)
2) ping nuevas direcciones
3) telnet dirección ip : puerto (Este es necesario instalarlo de las características o features de Windows)
Los puertos que deberán estar abiertos son los siguientes:
| Protocol | Port | Usage | Comment |
| TCP | 80 | http | Client to SharePoint web server traffic |
| TCP | 443 | https/ssl | Encrypted client to SharePoint web server traffic |
| TCP | 1433 | SQL Server default communication port. | May be configured to use custom port for increased security |
| UDP | 1434 | SQL Server default port used to establish connection | May be configured to use custom port for increased security |
| TCP | 445 | SQL Server using named pipes | When SQL Server is configured to listen for incoming client connections by using named pipes over a NetBIOS session, SQL Server communicates over TCP port 445 |
| TCP | 25 | SMTP for e-mail integration | Cannot be configured |
| TCP | 16500-16519 | Ports used by the search index component | Intra-farm only |
| TCP | 22233-22236 | Ports required for the AppFabric Caching Service | Distributed Cache… |
| TCP | 808 | Windows Communication Foundation communication | WCF |
| TCP | 32843 | Communication between Web servers and service applications | http (default) To use custom port, see references section |
| TCP | 32844 | Communication between Web servers and service applications | https |
| TCP | 32845 | net.tcp binding: TCP 32845 (only if a third party has implemented this option for a service application) | Custom Service Applications |
| TCP | 32846 | Microsoft SharePoint Foundation User Code Service (for sandbox solutions) | Inbound on all Web Servers |
| TCP | 5725 | User Profile Synchronization Service(FIM) | Synchronizing profiles between SharePoint 2013 and Active Directory Domain Services (AD DS) on the server that runs the Forefront Identity Management agent |
| TCP + UDP | 389 | User Profile Synchronization Service(FIM) | LDAP Service |
| TCP + UDP | 88 | User Profile Synchronization Service(FIM) | Kerberos |
| TCP + UDP | 53 | User Profile Synchronization Service(FIM) | DNS |
| UDP | 464 | User Profile Service(FIM) | Kerberos change password |
| TCP | 809 | Office Web Apps | Intra-farm Office Web Apps communication. |
Referencia Original de Microsoft: http://technet.microsoft.com/en-us/library/cc262849.aspx
NOTA: En ocasiones SharePoint no despliega las páginas adecuadamente y lo que se ha tenido que hacer es ejecutar el asistente de Configuración de SharePoint.
SharePoint4Fun!,
Juan Manuel Herrera Ocheita
No hay comentarios.:
Publicar un comentario