Configurar una pequeña red local con seguridad

Están surgiendo muchas dudas y preocupaciones sobre la seguridad en las actuales redes domésticas, o las pequeñas oficinas con salida a Internet. Fundamentalmente me voy a referir al actual sistema operativo de Microsoft: Windows XP.

Vamos a intentar ver las configuraciones más corrientes, y en donde podemos optimizar el sistema.

Una configuración clásica sería:

Veamos el por qué está configuración es la “menos” optima.

1) Todos los PC?s deben tener habilitado el “firewall”. Es decir la seguridad.

2) Al tener habilitada la seguridad, en principio, no “podrían” verse entre si. Microsoft ha implementado un mecanismo, que a pesar de tener cerrados los puertos NetBios, los PC?s en Windows XP, pueden verse a través de una subred local. Esto no es un estándar, por lo que otros PC?s con W98/ME/W2000 en la misma subred, no verían los recursos de XP.

3) El punto 2) a pesar de ser un tanto a favor de MS, y totalmente fiable por el momento, es, bajo mi punto de vista, totalmente peligroso. Antes o después se encontrará un agujero de seguridad en este tema.

4) Además, la configuración anterior, nos obliga a tener siempre actualizados y totalmente al dia, TODOS los PC?s de nuestra subred. Uno de ellos, si tuviese un agujero de seguridad por no estar actualizado, toda nuestra red estaría merced de cualquier atacante.

Solución sencilla.

Incorporamos entre el HUB y el router ADSL un nuevo PC con dos tarjetas de red. Podemos utilizar en este caso, el PC más pequeño o de menor configuración que tengamos. Si sabemos configurar la herramienta de Escritorio Remoto, no le haría falta ni un monitor. El disco que necesitaría, sería el mínimo para instalar un Windows XP (sin instalar ninguna herramienta).

En dicho PC (lo hemos llamado PC G), únicamente instalaríamos un XP, y lo configuraríamos para que utilizase la seguridad (“firewall”) en la conexión al ADSL. Y configuraríamos dicha conexión para que la compartiese con la otra tarjeta de red, que a su vez, sería la que nos da servicio a todo el resto de nuestra red.

Ventajas:

1) Únicamente sería necesario tener un PC “a la ultima”, con respecto a los parches y software de seguridad. El PC G. El mantenimiento sería en un solo punto. Podemos además configurar el firewall incorporado en XP con mayor nivel de protección.

2) En nuestra subred local, todos los PC?s estarían configurados sin el firewall.

3) Debido al punto 2), no habría problemas para compartir servicios entre distintos sistemas operativos.

Desventajas:

local. Incluso herramientas como en MetMeeting o el Messenger, aunque funcionen, no funcionarían a plena potencia ya que ciertas funcionalidades servidoras quedarían cortadas.

Solucional inconveniente anterior: Sustituir la conexión compartida en PC G, por un software de NAT. Existe uno muy sencillo de configurar y potente en www.sygate.con Igualmente sustituir el firewall de XP en esta caso, por el propio de Sygate. Esta configuración se puede “activar” y preconfigurar para que las herramientas que necesitemos funcionen en nuestra red local.

Escenario Ampliado:
En el caso, de una pequeña oficina que a su vez quiera tener un servidor Web / Ftp en Internet, la configuración optima sería:

En donde en PC G, le hemos incorporado otra tarjeta de Red, y PC W es un PC dedicado a Servidor Web / Ftp y totalmente desligado de la red.