UNIDAD III.- OPERACIÓN DE UNA RED DE AREA LOCAL.

 

REDES EN WINDOWS NT

5.1 INTRODUCCIÓN A WINDOWS NT

Windows NT es un sistema operativo de servidor y como tal tiene una serie de características que lo distinguen de los sistemas operativos domésticos como pueda ser Windows 98 o Windows Me. Windows NT ha evolucionado en Windows 2000 y Windows 2000 en Windows XP. Sin embargo y a pesar de su antigüedad, NT se sigue utilizando en un elevado número de empresas. La razón es sencilla: los cambios de sistemas en las empresas pueden acarrear consecuencias imprevistas. ¿Qué administrador de red se arriesga a cambiar un sistema NT que cumple perfectamente con sus funciones por un sistema nuevo en el que todavía no tiene confianza? Esto explica el que las empresas siempre vayan retrasadas respecto al mercado. Windows NT sigue teniendo una elevada implantación en servidores. Veamos algunas características destacadas:

• Nuevo sistema operativo de 32 bits. Windows NT fue construido desde cero con 32 bits. No hereda viejos códigos por motivos de compatibilidad como hizo Windows 95.
• Memoria separada. Cada programa se ejecuta en una región de memoria separada. Esto impide que el cuelgue de un programa acarree el cuelgue del resto de programas en ejecución. El sistema operativo tiene la capacidad de expulsar a un programa sin afectar al resto de programas que estén funcionando en ese momento. Aunque fallen programas aislados, el sistema operativo no debería perder el control de la máquina en ningún momento.
• Multitarea preferente. Permite la ejecución simultánea de aplicaciones. Al menos ésta es la impresión que recibe el usuario aunque el procesador únicamente pueda estar atendiendo una tarea en cada momento. El sistema operativo es el que asigna los ciclos de procesador para cada aplicación evitando que una de ellas lo monopolice por completo.
• Multiprocesador. Es capaz de utilizar varios procesadores en la misma máquina, asignando a cada uno de ellos tareas distintas.
• Multiusuario. Gestiona accesos concurrentes de varios usuarios al sistema desde distintos puestos de la red.
• Portabilidad. Windows NT fue diseñado para funcionar, sin apenas cambios, en distintos tipos de hardware. El único código específico del hardware es el conocido como HAL (Hardware Abstraction Layer); el resto de código es común para todos los sistemas. Se comercializan versiones de Windows NT para procesadores Intel y para procesadores Alpha.
• Integración en entornos mixtos. Windows NT puede comunicarse con una gran variedad de máquinas en la red mediante la utilización de los correspondientes protocolos: con Novell Netware mediante IPX/SPX, con Unix mediante TCP/IP, con Macintosh mediante AppleTalk y con clientes Windows mediante NetBEUI. 
• Modelo de seguridad de dominio. Es un sistema de acceso de usuarios a recursos de la red en el que es necesaria una autentificación previa. Los controladores de dominio son las máquinas Windows NT que se encargan de la validación de los usuarios que inician sesión según la base de datos de usuarios o SAM (Security Account Manager).
• Sistema de archivos NTFS. Es un sistema de almacenamiento de archivos que incorpora seguridad: sólo los usuarios autorizados pueden acceder a los archivos. Windows NT también incluye soporte para FAT (aunque no para FAT32) y HPFS (sistema de archivos de OS/2).
• Tolerancia a fallos. Windows NT incorpora mecanismos para seguir funcionando aun en presencia de fallos. Incluye soporte para RAID (Redundant Array of Inexpensive Disk) que impide la pérdida de datos aunque falle uno de los discos duros del ordenador. 

Windows NT tiene una versión diseñada para los puestos de trabajo (Windows NT Workstation) y una familia de versiones para trabajar en los servidores (Windows NT Server). En este Capítulo estudiamos las versiones de servidor de Windows NT. El estudio de la versión Workstation queda fuera de las pretensiones del Curso: en su lugar hemos estudiado Windows 98 como cliente de red.

 

 

 

 

5.2 INSTALACIÓN DE WINDOWS NT

   5.3 CREACIÓN DE UN SERVIDOR DE USUARIOS Y ARCHIVOS

La mayor parte de las empresas necesitan uno o más servidores de usuarios y archivos. Windows NT incorpora las herramientas necesarias para que la configuración de estos servicios se realice cómodamente.

Un servidor de usuarios es aquella máquina que valida a los usuarios de la red cuando escriben su nombre de usuario y contraseña al iniciar sesión. Si el nombre de usuario y contraseña escritos por el usuario no son reconocidos por el servidor de usuarios, no se le permitirá acceder a los recursos en red. En Windows NT esta máquina recibe el nombre de Controlador principal de dominio. Los usuarios de la red se dice que inician sesión en el dominio del servidor (tienen que haber sido dados de alta previamente en el servidor como usuarios del dominio). El administrador de la red se encarga de la gestión de usuarios: altas, bajas, cambios de contraseña, etc.

Un servidor de archivos es la máquina que contiene los archivos privados de cada usuario, los de su grupo de trabajo y los archivos públicos de la red. En realidad, se trata de una colección de carpetas compartidas pero con distintos permisos de acceso. El administrador de la red debe preocuparse de establecer los permisos de acceso correctamente y de realizar las pertinentes copias de seguridad.

Las tareas de servidor de usuarios y archivos puede realizarlas una misma máquina Windows NT Server o bien, distintas máquinas. Incluso, puede haber varios servidores de usuarios y varios servidores de archivos según las dimensiones de la red. En este apartado nos centraremos en el primer caso: un solo ordenador realiza ambas tareas.

      
Gestión de usuarios. Grupos globales y locales

Cada usuario de la red necesita un nombre de usuario y contraseña para iniciar sesión en el dominio desde su puesto de trabajo. Estos dos datos se establecen en el servidor de usuarios (Controlador principal de dominio). La gestión de usuarios se realiza desde el programa Administrador de usuarios que se encuentra en Menú Inicio / Programas / Herramientas administrativas. La siguiente ventana muestra los campos que se deben introducir para el alta de un nuevo usuario. Únicamente son obligatorios el nombre de usuario y la contraseña, la cual hay que escribirla dos veces a modo de confirmación.

 

  

Los puestos de trabajo (Windows 98) se deben configurar para que inicien sesión en el dominio de Windows NT que hemos configurado según se explica en el apartado Contraseña de red Microsoft y contraseña de Windows. El nombre del dominio es el que hemos indicado durante la instalación de Windows NT (se puede consultar en las propiedades de Entorno de red, pestaña Identificación) y es distinto al nombre del servidor.

Después de la instalación de Windows NT, hay varios usuarios que aparecen ya creados en el Administrador de usuarios:

• Administrador. Es el usuario que dispone de los máximos privilegios. Se utiliza para la administración del sistema, aunque no para el trabajo diario. Su contraseña debe ser la más protegida de la red (consultar el apartado Modelos de redes seguras).
• Invitado. Su finalidad es ofrecer acceso al sistema con unos mínimos privilegios a usuarios esporádicos. Es habitual desactivar esta cuenta ya que no es posible su eliminación.
• IUSR_nombre-del-servidor. Es la cuenta que utilizan los clientes que acceden al servidor web configurado en Windows NT (Internet Information Server). Sólo se debe tener habilitada si el servidor está ejerciendo tareas de servidor web.

Si bien es cierto que a cada usuario se le pueden asignar individualmente permisos distintos, no suele ser lo más práctico. En su lugar, se crean grupos de usuarios que comparten los mismos privilegios (por ejemplo, todos los usuarios de un mismo departamento de la empresa). La gestión de permisos se simplifica considerablemente de esta forma.

Un grupo es un conjunto de usuarios con los mismos privilegios. Un grupo puede ser de dos tipos:

• Grupo global (). Puede contener usuarios de un mismo dominio. Por ejemplo, el grupo "Admins. del dominio" (ver imagen superior).
• Grupo local (). Puede contener grupos globales y usuarios de distintos dominios. Por ejemplo, el grupo "Administradores".

La norma habitual es crear dos grupos de usuarios (uno global y otro local) para cada agrupación de usuarios que deseemos crear. Procederemos de la siguiente forma:

1. Crear los grupos globales
2. Incluir los usuarios dentro de los grupo globales
3. Crear un grupo local que incluya a cada grupo global
4. Asignar los recursos a los grupos locales

Los usuarios nuevos que creemos deben pertenecer siempre al grupo global predeterminado "usuarios del dominio", aunque pueden pertenecer además a otros grupos globales que nosotros creemos.

Veamos un ejemplo: Los usuarios de la red María, Pablo e Isabel son alumnos y necesitan tener una carpeta en el servidor que les permita realizar sus prácticas:

1. Creamos el grupo global "alumnos del dominio"
2. Damos de alta a los usuarios "maria", "pablo" e "isabel" y los incluimos en el grupo global "alumnos del dominio" (además de en "usuarios del dominio")
3. Creamos el grupo local "alumnos" y dentro incluimos el grupo global "alumnos del dominio"
4. Creamos la carpeta "practicas" y la compartimos al grupo local "alumnos"

Si más adelante necesitamos dar de alta a algún alumno nuevo, bastará con incluirlo en el grupo global "alumnos del dominio" y automáticamente tendrá los mismos permisos de acceso que el resto de alumnos (podrá acceder a la carpeta "practicas").

En el siguiente ejemplo vamos a crear un mayor número de grupos. Supongamos que tenemos dos grupos de alumnos: unos que asisten a clase por la mañana y otros que lo hacen por la tarde. Cada grupo tendrá una carpeta distinta para almacenar sus prácticas. Estará disponible, además, una carpeta común para ambos grupos de alumnos. Finalmente, crearemos una carpeta pública que sea accesible no sólo por los alumnos sino también por el resto de usuarios del dominio.

1. Crear los grupos globales "mañanas global" y "tardes global".
2. Dar de alta al usuario "fulanito" (es un alumno que asiste por las mañanas) e incluirlo dentro de los grupos globales "mañanas global" y "usuarios del dominio"
3. Dar de alta al usuario "menganito" (es un alumno que asiste por las tardes) e incluirlo dentro de los grupos globales "tardes global" y "usuarios del dominio"
4. Dar de alta al usuario "aladino" (es el jefe de estudios) e incluirlo dentro del grupo global "usuarios del dominio"
5. Crear los grupos locales "mañanas", "tardes" y "alumnos".
6. En el grupo local "mañanas" incluir el grupo global "mañanas global"
7. En el grupo local "tardes" incluir el grupo global "tardes global"
8. En el grupo local "alumnos" incluir los grupos globales "mañanas global" y "tardes global"
9. Crear la carpeta "\compartir\practicasmañanas" con control total al grupo local "mañanas"
10. Crear la carpeta "\compartir\practicastardes" con control total al grupo local "tardes"
11. Crear la carpeta "\compartir\todoslosalumnos" con control total al grupo local "alumnos"
12. Crear la carpeta "\compartir\todoslosusuarios" con control total al grupo local "usuarios"

Creación de carpetas para usuarios y grupos

Una vez que hemos creado los usuarios, grupos globales y locales es el momento de diseñar una estructura de carpetas en el servidor para que los usuarios de la red puedan almacenar sus archivos privados y compartir documentos con otros usuarios. En los ejemplos anteriores ya hemos introducido el concepto de carpetas de grupos; sin embargo, ahora vamos a verlo con más detalle.

Las necesidades de almacenamiento de archivos en una red se suelen reducir a tres tipos de carpetas para cada usuario:

• Carpeta privada del usuario. Únicamente tiene acceso el usuario propietario de esa carpeta (ni siquiera los directores o supervisores de su departamento). El usuario puede almacenar en esa carpeta los archivos que considere oportunos con total privacidad. El administrador de la red puede imponer un límite de espacio para evitar que las carpetas de los usuarios crezcan indefinidamente.
• Carpetas del grupo. Son una o más carpetas utilizadas por el grupo (departamento de la empresa) para intercambiar datos. Únicamente tienen acceso los miembros de un determinado grupo de usuarios, pero no los miembros de otros grupos. Por ejemplo, el departamento de diseño podría tener una carpeta llamada "diseños" que almacenase los diseños que está creando el departamento; y el departamento de contabilidad, una carpeta llamada "cuentas" que almacenase las cuentas de la empresa.
• Carpetas públicas. Son una o más carpetas que están a disposición de todos los usuarios de la red. Por ejemplo, una carpeta llamada "circulares" que incluyese  documentos de interés para todos los trabajadores de la empresa.

¿Cómo organizar las carpetas en el disco duro del servidor? Es recomendable que se almacenen en una partición NTFS para disponer de seguridad. Las particiones FAT no son las más indicadas puesto que no permiten la configuración de permisos locales de acceso aunque sí permisos a la hora de compartir carpetas en la red. Este punto lo estudiaremos detenidamente más abajo.

A continuación se muestra un ejemplo de organización del disco duro del servidor que trata de diferenciar las carpetas de usuarios, grupos y pública.

 

Las únicas carpetas que se comparten son las del último nivel (nunca las carpetas "compartir", "usuarios" o "grupos"); en concreto, las carpetas "alumnos", "mañanas", "tardes", "publico", "aladino", "fulanito" y "menganito". Cada una de estas carpetas tendrá unos permisos de acceso distintos. Lo habitual es dar permiso de control total al propietario de la carpeta (ya sea el usuario o un grupo local) en Compartir y control total a todos en Seguridad. En el caso de la carpeta "publico" daremos control total al grupo "usuarios" en Compartir. Los permisos se asignan accediendo a las propiedades de la carpeta. Obsérvese que las pestañas Compartir y Seguridad pueden tener permisos distintos. Veamos cómo quedarían los permisos de la carpeta "alumnos". Podemos seguir este mismo esquema para el resto de carpetas.

 

    

Diferencia entre los permisos de Compartir y de Seguridad

• En la pestaña Compartir. Afectan a los usuarios remotos (que acceden por la red), pero no a los usuarios que inician sesión local en el servidor.
• En la pestaña Seguridad. Afectan a todo el sistema, incluidos los usuarios locales.

¿Qué permisos necesitamos?

• Para poder acceder a un recurso remoto, tenemos que tener permisos tanto en Compartir como en Seguridad.
• Para poder acceder a un recurso local, basta con que tengamos permisos en Seguridad (no importa lo que haya en Compartir).

Forma de proceder:

• Si en el servidor NT sólo inicia sesión local el administrador, podemos dejar el permiso de control total para todos en Seguridad y usar sólo la pestaña Compartir (así es como lo hemos utilizado en el ejemplo anterior y es el caso más usual).
• Si otros usuarios, aparte del administrador, inician sesión local en el servidor, tenemos que establecer permisos en Seguridad. Compartir podría dejarse con control total a todos.

 

ARCHIVOS DE INICIO DE SESIÓN

Los archivos de inicio de sesión son una serie de comandos que se ejecutan cada vez que un usuario inicia sesión en su puesto de trabajo. Su mayor utilidad es la conexión a las unidades de red del usuario. De esta forma conseguimos que cada usuario vea siempre sus unidades de red independientemente del puesto (Windows 98) en el que inicie sesión (carpeta del usuario (U:), carpeta del grupo (G:) y carpeta pública (P:)) evitándole la incómoda tarea de buscar los recursos compartidos sobre los que tiene permisos en Entorno de red.

Los archivos de inicio de sesión se almacenan en la carpeta \winnt\System32\Repl\Import\Scripts del servidor. Para cada usuario crearemos un archivo de inicio de sesión (script) distinto. Estos archivos siguen la sintaxis de los archivos por lotes de MS-DOS. Se pueden crear con cualquier editor de textos, incluido el Bloc de notas. El siguiente script para el usuario menganito se puede utilizar como esquema (lo llamaremos "menganito.bat"):

@echo off

echo **************************************
echo  Hola Menganito, bienvenido a Minerva
echo  Espera unos instantes, por favor...
echo **************************************
echo.
net use u: \\minerva\menganito
net use g: \\minerva\tardes
net use p: \\minerva\publico

En el ejemplo anterior, "minerva" es el nombre del servidor y "menganito", "tardes" y "publico", recursos compartidos del servidor "minerva". Este archivo generará en Mi PC las unidades de red U:, G: y P: según se indica en el script, cada vez que el usuario Menganito inicie sesión en cualquier Windows 98 de la red.

Una vez creados los archivos de inicio de sesión tenemos que asociar cada uno de ellos a cada usuario. Esto se realiza escribiendo el nombre del script en el cuadro Archivo de comandos de inicio de sesión de las propiedades de cada usuario del Administrador de usuarios (botón Perfil), según se muestra en la siguiente imagen:

 

5.4 RELACIONES DE CONFIANZA ENTRE DOMINIOS

Concepto de dominio

Hasta ahora no hemos dado una definición formal de dominio; sin embargo, hemos tenido la noción intuitiva de que un dominio es la estructura de recursos y usuarios que utilizan las redes de Windows NT. Podemos definir dominio como una colección de equipos que comparten una base de datos de directorio común (SAM). Cada usuario tiene que validarse en el dominio para poder acceder a sus recursos mediante un nombre de usuario y contraseña que le asignará el administrador. Los servidores del dominio ofrecen recursos y servicios a los usuarios (clientes) de su dominio.

Lo habitual es tener un solo dominio en cada red. Sin embargo, por motivos organizativos en ocasiones es interesante utilizar varios dominios interconectados entre sí. Esto lo veremos más adelante cuando tratemos las relaciones de confianza. El caso más sencillo es un solo dominio y un solo servidor en el dominio. Sin embargo, en un mismo dominio pueden coexistir distintos servidores.

 

FUNCIONES DE UN SERVIDOR WINDOWS NT

Un máquina Windows NT dentro de un dominio puede actuar de una de estas tres maneras (estas funciones se eligen durante la instalación de NT):

• Controlador principal de dominio. Es el servidor que contiene la SAM (base de datos de usuarios). Todo dominio tiene que tener exactamente 1 controlador principal de dominio.
• Controlador de reserva. Contiene una copia de seguridad de la SAM. No es obligatorio que exista en una red, aunque es recomendable. Puede haber varios controladores de reserva. Se sincronizan cada 5 minutos con el controlador principal de dominio.
• Servidor independiente. No contiene ninguna copia de la SAM. Participa en el dominio para ofrecer recursos y servicios. Por ejemplo, un servidor web o un servidor de impresión.

Si el controlador principal tiene una avería, el controlador de reserva puede cambiar su función a controlador principal. Esto se consigue desde el Administrador de servidores / Menú Equipo / Promover a controlador principal de dominio.

 Creación de una relación de confianza

Las relaciones de confianza se utilizan para que los usuarios de un dominio puedan acceder a los recursos de otro dominio. 

Sean A y B dominios, se dice que B confía en A si usuarios de A pueden acceder a recursos de B. Gráficamente se representa:

 

Para crear la relación de confianza anterior:

1. En el controlador principal del dominio A, incluimos B en el cuadro Dominios de confianza.
2. En el controlador principal del dominio B, incluimos A en el cuadro Dominios en los que se confía.

Estos cuadros se encuentran en el Administrador de usuarios / Menú Directivas / Relaciones de confianza.

Las relaciones de confianza habitualmente se crean siguiendo una serie de modelos predefinidos que se amoldan a la mayoría de las necesidades.

 

MODELOS DE DOMINIOS

• Dominio sencillo. No se necesitan relaciones de confianza. Toda la administración queda centralizada en un único dominio. Si hay muchos usuarios en el dominio, el controlador principal del dominio puede llegar a tener una gran carga de trabajo ocasionando que la red se vuelva ineficiente.
• Dominio maestro. Sean M, R1 y R2 dominios, se crean las relaciones de confianza "R1 confía en M" y "R2 confía en M". El dominio M tiene todos los usuarios y recibe el nombre de dominio maestro. Los dominios R1 y R2 se reparten los recursos.
  Este modelo de organización es interesante para que cada departamento (R1 y R2, en este caso) se autogestione sus recursos de forma independiente. Sin embargo, todos los usuarios siguen concentrados en el dominio M.
• Dominio de múltiples maestros. Sean M1, M2, R1, R2 y R3 dominios, se crean relaciones de confianza desde cada dominio Rx hasta cada dominio Mx y entre todos los dominios Mx. En concreto, "R1 confía en M1 y en M2", "R2 confía en M1 y en M2", "R3 confía en M1 y en M2", "M1 confía en M2" y "M2 confía en M1". De esta forma, la administración de usuarios queda repartida en varios dominios maestros (unos usuarios iniciarán sesión en el dominio M1 y otros, en el dominio M2) evitando la sobrecarga de un único servidor. Con independencia del dominio maestro en el que cada usuario inicie sesión, podrá acceder a todos los recursos de los dominios Rx.
• Confianza completa. Cada dominio confía en todos los demás (por ejemplo, "A confía en B y en C", "B confía en A y en C" y "C confía en A y en B"). Este modelo es apropiado para que cada departamento gestione sus propios usuarios y recursos, pudiendo acceder a recursos del resto de departamentos de la empresa. 

5.5 MENSAJERÍA ENTRE SISTEMAS WINDOWS

Los usuarios de sistemas Windows pueden enviar mensajes a otros usuarios Windows de la red. Los equipos Windows NT necesitan tener iniciado el servicio "Mensajería" (Panel de control / Servicios). Los equipos Windows 98 requieren tener abierto el programa "Winpopup" (escribir "winpopup" en Menú Inicio / Ejecutar). Si el programa Winpopup está cerrado, los mensajes enviados se perderán.

 

Los mensajes desde estaciones Windows NT se envían mediante el comando NET SEND.

• Para enviar un mensaje a un solo usuario o PC:
  net send  nombre_usuario_o_PC  mensaje

• Para enviar un mensaje a todos los usuarios de un dominio:
  net send /domain:nombre_dominio  mensaje
  net send /users  mensaje
   
  También es posible enviar un mensaje a todos los usuarios de un dominio mediante el Administrador de servidores / Equipo / Enviar mensaje.

El siguiente ejemplo, envía un mensaje a todos los usuarios del dominio. Sólo recibirán el mensaje aquellos Windows 98 que tengan abierto el programa Winpopup y aquellos Windows NT que tengan iniciado el servicio de mensajería.

net send /users El servidor se apagará en 10 minutos. Por favor, vaya guardando sus documentos.

 

5.6 SERVIDOR WINS

WINS es un servidor de resolución dinámica de nombres NetBIOS. La utilización de un servidor WINS en la red mejora la eficiencia de la red al evitar la difusión de mensajes de broadcasting. Además, agiliza la localización de recursos mediante Entorno de red. Se recomienda la utilización de un servidor WINS en redes grandes con elevado tráfico para aumentar la eficiencia de la red.

 

 

INSTALACIÓN DEL SERVIDOR WINS:

1. Agregar el servicio "Servidor de nombres de Internet para Windows".

Las estadísticas de uso de WINS se pueden consultar desde Herramientas administrativas / Administrador de WINS.

Configuración de los clientes WINS:

1. Añadir la dirección IP del servidor WINS en la pestaña "Dirección WINS" de las propiedades de TCP/IP.

En los clientes podemos comprobar que se está utilizando un servidor de nombres mediante el comando NBTSTAT -r, en lugar de enviar mensajes de difusión a la red.

  

5.7 SERVIDOR DHCP

Hasta ahora hemos configurado manualmente los parámetros TCP/IP de cada puesto de la red. Sin embargo, estos parámetros se pueden asignar dinámicamente mediante la utilización de un servidor DHCP (Dynamic Host Configuration Protocol, protocolo de configuración dinámica de host). Lo mínimo que puede asignar un servidor DHCP es la dirección IP y máscara de subred a cada puesto de la red, aunque también se pueden establecer el resto de parámetros de la configuración TCP/IP.

La utilización de un servidor DHCP evita la tarea de configurar manualmente los parámetros TCP/IP de cada puesto de la red y facilita los posibles cambios de configuración. Aunque tiene el inconveniente de requerir una máquina NT con este servicio configurado. Por otro lado, una red que utilice DHCP puede dificultar el rastreo y seguimiento de las tareas que cada usuario ha realizado en la red si no se asignan direcciones IP únicas a cada host de la red.

 

Instalación y configuración del servidor DHCP:

1. Agregar el servicio "Servidor DHCP de Microsoft" en la configuración de "Red"
2. Asegurarnos de que nuestro servidor tiene una IP estática
3. Reiniciar
4. Entrar a Herramientas administrativas / Administrador DHCP / Ámbito / Crear, e indicar el rango de IPs que vamos a reservar para los puestos de la red. Las direcciones IP del propio servidor DHCP y de otros posibles servidores con IP estática se deben excluir del rango anterior.
5. Establecer las opciones del ámbito en el menú Opciones DHCP / Ámbito. En la imagen anterior se muestran las opciones típicas de configuración (3 = puerta de salida o gateway, 6 = servidores DNS, 44 = servidores WINS, 46 = tipo de nodo de resolución de nombres NetBIOS).

Nota: El tipo de nodo 0x8 es el conocido como nodo híbrido. Significa que los clientes tratarán de resolver cada nombre en primer lugar mediante un servidor WINS y, si no lo consiguieran, mediante un broadcasting a la red. Es el nodo recomendado para la mayoría de las configuraciones.

Configuración de los clientes DHCP:

1. Marcar la opción "Obtener una dirección IP automáticamente" en las propiedades de TCP/IP. Si se han establecido las opciones propuestas anteriormente, desactivaremos la resolución WINS y eliminaremos los servidores DNS y puertas de enlace. Obsérvese que la configuración TCP/IP de los clientes DHCP es la predeterminada de Windows después de instalar el protocolo TCP/IP.

A continuación se muestra un ejemplo de diseño de una red con conexión a Internet que utiliza servidores DNS, WINS y DHCP. A la derecha se ofrece el resultado de la orden WINIPCFG para uno de los puestos de la red, el cual ha obtenido toda la configuración dinámicamente de un servidor DHCP (comparar con la imagen anterior).

Las direcciones IP se pueden reservar para conseguir que cada host tome siempre la misma dirección IP. Esto permite rastrear los movimientos de cada host en la red y es recomendable su utilización por motivos de seguridad. Las reservas se hacen desde el menú Ámbito / Agregar reservas. Cada host se identifica mediante la dirección física de su tarjeta de red. Este número se debe introducir en el cuadro "Identificador único" como una secuencia de 12 caracteres sin utilizar ningún separador entre cada byte.

Obsérvese que la configuración DHCP se asigna a los clientes durante un determinado periodo de tiempo (llamado concesión o permiso). Durante ese tiempo el cliente no requiere realizar conexiones al servidor DHCP (el servidor podría estar incluso apagado y el cliente conservaría toda su configuración). Antes de que el permiso caduque, el cliente renovará automáticamente su configuración preguntando al servidor DHCP.

La configuración de DHCP se puede renovar anticipadamente utilizando los botones "Liberar" y "Renovar" de WINIPCFG o bien, el comando IPCONFIG (escribir IPCONFIG /? para conocer sus parámetros).

 

SEGURIDAD EN REDES

6.1 VIRUS Y CABALLOS DE TROYA

Un virus es un programa cuyo objetivo prioritario es su propagación entre ordenadores sin ser advertido por el usuario. Una vez que el virus considera que está lo suficientemente extendido pasa de su fase de latencia a su fase de activación. En esta fase los efectos del virus pueden ser tan variados como alcance la imaginación de su autor: pueden limitarse a mostrar inofensivos mensajes en pantalla o bien, eliminar información del disco duro o dañar la BIOS del ordenador.

Sus vías de propagación son las clásicas del software: disquetes, CD-ROMs, discos ZIP, copia de archivos por la red, descarga de un archivo por FTP o HTTP, adjunto de correo electrónico, etc. Sin embargo, las estadísticas demuestran que la principal vía de infección de virus es el correo electrónico; concretamente, los archivos adjuntos del correo. Debemos extremar las precauciones cuando recibamos un correo electrónico con un archivo adjunto.

¿Cómo podemos proteger nuestra red de virus? Básicamente por dos frentes: mediante una adecuada formación de los usuarios (prevención) y mediante programas antivirus (detección y desinfección). La primera forma es la más eficiente puesto que es aplicable tanto para virus conocidos como desconocidos.  

Formación de los usuarios

¿Saben los usuarios de nuestra empresa lo que no deben hacer? ¿Saben que si abren un archivo ejecutable desde su puesto de trabajo pueden comprometer la seguridad de toda la empresa? La formación de los usuarios, especialmente aquellos que tengan acceso a Internet en sus puestos, es lo primero que tenemos que tener en cuenta como administradores de una red.

• La navegación por Internet y la lectura de correos electrónicos no se consideran situaciones de riesgo. No es necesario siquiera tener un antivirus funcionando. Discutiremos este punto más adelante.
• La visión de imágenes (.GIF o .JPG) u otros archivos multimedia (.MP3, .MID, .WAV, .MPEG...) que habitualmente se transmiten por correo electrónico, tampoco suponen ningún riesgo.
• Los documentos de Office pueden contener virus de macro (archivos .DOC y .XLS principalmente). Se deben comprobar siempre con un programa antivirus antes de abrirlos.
• Los archivos ejecutables recibidos por correo electrónico no se deben abrir bajo ningún concepto. Los formatos más habituales son .EXE, .COM, .VBS, .PIF y .BAT.
• En caso de duda es preferible no abrir el archivo adjunto, aunque provenga de un remitente conocido. Los archivos más sospechosos son los que tienen un nombre gancho para engañar a usuarios ingenuos: LOVE-LETTER-FOR-YOU.TXT.vbs, AnnaKournikova.jpg.vbs, etc. Este tipo de archivos, en un 90% de probabilidades, no contienen lo esperado o, si lo contienen, también incluyen un regalito malicioso oculto para el usuario. Los nuevos virus tratan de aprovecharse de la ignorancia de los usuarios para hacerles creer, mediante técnicas de ingeniería social, que cierto correo con datos interesantes se lo está enviando un amigo suyo cuando, en realidad, son virus disfrazados.  

Importante: Para que las extensiones de los archivos sean visibles debemos desactivar la casilla "Ocultar extensiones para los tipos de archivos conocidos" situada en Mi PC / menú Ver / Opciones de carpeta / Ver. La situación de esta opción puede variar dependiendo de la versión de Windows e Internet Explorer que estemos utilizando. Buena parte de los virus se aprovechan de que los usuarios tienen esta casilla marcada. Por ejemplo, si recibimos el archivo "LOVE-LETTER-FOR-YOU.TXT.vbs" teniendo la casilla marcada, veremos únicamente el nombre "LOVE-LETTER-FOR-YOU.TXT" y creeremos equivocadamente que se trata de un inofensivo archivo de texto, cuando en realidad es un archivo ejecutable (.VBS).

Si todos los usuarios siguieran estos consejos habríamos conseguido probablemente una red libre de virus. Microsoft, consciente del elevado riesgo que supone el correo electrónico, dispone de una actualización de seguridad para su programa Outlook (no Outlook Express) que impide al usuario abrir archivos potencialmente peligrosos. Como administradores de redes debemos considerar la opción de aplicar esta actualización en todos los puestos.

Es responsabilidad del administrador instalar en todos los equipos de la red tanto los últimos parches de seguridad como las últimas actualizaciones del antivirus. Si bien es cierto que han salido a la luz virus que se contagian con sólo abrir un archivo HTML (ver una página web o leer un correo electrónico), también es cierto que se apoyan en vulnerabilidades del sistema las cuales ya han sido subsanadas por Microsoft (por ejemplo, la vulnerabilidad "script.typelib") . Entre este tipo de virus podemos citar BubbleBoy, Happytime o Romeo y Julieta. Mediante una adecuada política de actualizaciones en los puestos de trabajo así como una correcta configuración de los programas de navegación y correo, podemos olvidarnos de los virus HTML: el riesgo que suponen es tan bajo que no merece la pena que nos preocupemos por ellos.

¿Cómo podemos configurar los puestos de trabajo para reducir las situaciones de riesgo en el correo electrónico?

• Desactivar la ocultación de las extensiones de los archivos, según hemos indicado más arriba.
• Instalar la última versión de Internet Explorer y de Outlook Express / Outlook junto a todas sus actualizaciones.
• Instalar todas las actualizaciones críticas de Windows recomendadas en www.windowsupdate.com. 
• Si usamos el gestor de correo Outlook, instalar la actualización de seguridad que impide abrir archivos adjuntos potencialmente peligrosos.
• Establecer la seguridad de nuestro programa de correo electrónico en alta. En Outlook Express hay que elegir la opción "Zona de sitios restringidos" que se encuentra en el menú Herramientas / Opciones / Seguridad.
• Desinstalar Windows Scripting desde Panel de control / Agregar o quitar programas / Instalación de Windows / Accesorios / "Windows Scripting Host". La desinstalación de este componente de Windows impide que se puedan abrir archivos de secuencias de comandos o scripts (los .VBS por ejemplo) los cuales, en la mayoría de las ocasiones, se utilizan con fines maliciosos. Los usuarios sin Windows Scripting que traten de ejecutar un archivo adjunto .VBS no caerán en ninguna situación de riesgo porque este formato no será reconocido por Windows.

 

ANTIVIRUS

Los programas antivirus detectan la presencia de virus en archivos impidiendo la infección del sistema. Además disponen de rutinas de desinfección con mayor o menor éxito en función del tipo de virus y de la calidad del programa antivirus. Obsérvese que los antivirus no son la panacea: cada día se desarrollan nuevos virus los cuales pueden no ser detectados por nuestro programa antivirus. Las desinfecciones de archivos en caso de que un posible virus haya destruido datos (sobrescribiéndolos con caracteres basura, por ejemplo) pueden no tener ningún éxito. En la mayoría de los casos, después de una infección no queda más remedio que reinstalar equipos y recuperar datos de copias de seguridad. Por lo tanto, debemos invertir en medidas de prevención y detección para que las infecciones no lleguen a producirse. Si a pesar de todo ocurre lo peor, nuestra red debe estar diseñada para que las consecuencias sean las menores posibles.

¿Dónde colocar el antivirus? Se puede situar en los clientes y/o en los servidores:

• En los servidores. Teniendo en cuenta que el correo es la principal vía de propagación de virus, el servidor más crucial es el de correo. Existen en el mercado programas antivirus diseñados para acoplarse a los principales servidores de correo (para Exchange Server, por ejemplo). Téngase en cuenta que el servidor de correo nunca va a ser infectado por mucho que esté reenviando virus puesto que estos programas nunca llegan a ejecutarse en el servidor. La misión de un antivirus en un servidor de correo es proteger la red interna de virus externos recibidos por correo. Los usuarios de la red nunca recibirán virus en sus cuentas de correo (al menos, en las que dependen de este servidor, nada puede hacer con cuentas de correo gratuitas tipo Hotmail). Como inconveniente de la instalación del antivirus está la sobrecarga de trabajo en el servidor así como el elevado coste del software. Debemos hacer un balance de los factores coste, potencia del servidor y necesidad real de esta protección.
  
  También podemos pensar en la instalación de un antivirus permanente en el servidor de archivos de la empresa. Sin embargo, esta no suele ser una buena idea precisamente por la sobrecarga que esto supone para la máquina. Sí es interesante, en cambio, analizar diariamente todos los archivos de usuarios en momentos en que el servidor tenga poca carga (por la noche, por ejemplo) mediante un análisis programado. Este análisis se puede realizar desde el propio servidor o bien, desde un puesto de trabajo que haya iniciado sesión con privilegios de administrador y tenga acceso, por tanto, a los documentos de todos los usuarios.
   
• En los clientes. Se pueden utilizar dos tipos de antivirus:
   
• Antivirus residentes en memoria. Suele identificarse mediante un icono en la barra de tareas. Analiza todos los archivos antes de que el sistema operativo los abra (tecnología on-access) e informa de la presencia de virus. Este sistema es necesario en las empresas puesto que protege no sólo del correo sino también de virus provenientes de otras fuentes (como disquetes o descargas por FTP). de forma transparente para el usuario.
   
• Antivirus bajo demanda. Se activa únicamente a petición del usuario para analizar una unidad, directorio o archivo determinado. Es útil para usuarios avanzados que prefieren tener desactivado habitualmente el antivirus residente para trabajar a mayor velocidad pero resulta demasiado complejo de utilizar para usuarios comunes. Este tipo de antivirus se utiliza en la práctica para analizar discos duros completos o dispositivos de datos que acabamos de recibir (disquete, CD regrabado, disco LS-120, etc...)

Resumiendo: como norma general debemos instalar un antivirus residente en cada puesto de la red (pero no en los servidores). Si se trata de una red de dimensiones considerables y el presupuesto lo permite, podemos considerar también la instalación de un antivirus específico para el servidor de correo de la empresa.

Nota: La protección del servidor que da salida a Internet (proxy) se estudia más adelante. 

Como administradores de la red tenemos que preocuparnos de:

1. Formar al usuario para que distinga las situaciones que entrañan riesgo para la empresa de las que no. Es importante comprender que un sólo equipo infectado puede propagar la infección al resto de equipos de la red. 
2. Mantener los antivirus de todos los puestos actualizados. La actualización debe ser diaria o, como mucho, semanal. Para evitar la tediosa tarea de actualizar los antivirus puesto por puesto, se debe buscar un sistema que permita la actualización de forma centralizada.
3. Realizar copias de seguridad diarias o semanales de los documentos de los usuarios almacenados en el servidor de archivos y mantener un historial de copias. Los usuarios deben ser conscientes de que los únicos datos que estarán protegidos serán los que estén almacenados en el servidor pero no los que residan en sus equipos locales. Las copias de seguridad se suelen dejar programadas para realizarse durante la noche. El historial de copias se consigue utilizando un juego de cintas (las hay disponibles de varias decenas de GB) que se van utilizando de forma rotativa.. Por ejemplo, con un juego de 7 cintas tendríamos siempre un historial de 7 copias de seguridad anteriores. Por supuesto, las cintas deben guardarse en lugar seguro y, a ser posible, lo más alejadas físicamente del servidor con objeto de evitar la destrucción de todos los datos en caso de desastres naturales: inundaciones, incendios, etc.
4. Evitar la compartición de unidades y carpetas en los ordenadores cliente. Todos los recursos compartidos deben estar en los servidores, nunca en los ordenadores cliente. De esta forma se evitan propagaciones masivas de virus entre los puestos de trabajo.

 

Troyanos

Los caballos de Troya o troyanos son programas que se distribuyen siguiendo los mismos métodos que los virus. Las medidas de prevención son las explicadas anteriormente para el caso de los virus. Los troyanos más conocidos son también detectados por programas antivirus.

Pero, ¿qué es exactamente un caballo de Troya? Es un programa que tiene una apariencia inofensiva pero que realmente tiene objetivos hostiles. En concreto, se trata de un programa con dos módulos: un módulo servidor y otro cliente. El atacante se instala, con fines nada éticos, el módulo cliente en su ordenador. El módulo servidor es el troyano propiamente dicho que se envía a la víctima bajo alguna apariencia completamente inofensiva (unas fotos, un juego, etc.). Una vez que la víctima cae en la trampa y ejecuta el archivo éste se instala en su ordenador. A partir de ese momento, el atacante puede monitorizar todo lo que la víctima hace en su ordenador incluyendo el robo de contraseñas y documentos privados.

El troyano, después de ejecutarse, abre un determinado puerto en modo escucha en el ordenador de la víctima. El atacante puede crear entonces una conexión desde su ordenador hasta la dirección IP y puerto de la víctima (debe conocer estos dos números o diseñar algún método para obtenerlos). Una vez que está establecida la conexión, el atacante, que puede estar a miles de kilómetros, tendrá acceso completo al ordenador de la víctima.

Para detectar la presencia de un troyano basta con utilizar el comando NETSTAT -A. Si observamos algún puerto a la escucha que no esté asociado con ninguna aplicación conocida de nuestro ordenador es señal de una posible presencia de troyanos. Si, además, observamos que se establece una conexión con una dirección IP desconocida es muy probable que nuestro ordenador está transfiriendo datos sin nuestro consentimiento.

Nota: Se puede averiguar a quién pertenece una dirección IP mediante los sitios whois disponibles en la Red (ver www.saulo.net/links). El significado de cada puerto se estudia en el Curso de protocolos TCP/IP.

Los antivirus no son los programas más efectivos para enfrentarse a los caballos de Troya. En su lugar, es más recomendable la utilización de cortafuegos o firewall que nos avisará cuando detecte el establecimiento de una conexión TCP sospechosa o, simplemente, la rechazará. En las redes suele ser suficiente con la colocación de un cortafuegos justo en la salida de Internet. Más adelante se estudian los cortafuegos.

 

 

 

6.2 LEY DE LOS MÍNIMOS PRIVILEGIOS

Todos aquellos servicios que no sean imprescindibles en una red se deben deshabilitar. Además, todos aquellos privilegios que no sean indispensables para que los usuarios ejerzan con comodidad su trabajo deben ser suprimidos. Todo esto ser resume con la ley de los mínimos privilegios: ningún usuario ni ordenador debe poder hacer más de lo necesario. Veamos unos ejemplos:

• El servidor de correo de la empresa no tiene porqué tener habilitados los servicios de páginas web, FTP e impresión si no están siendo utilizados.
• El servidor de usuarios de la empresa no tiene porqué tener habilitados los servicios de páginas web y mensajería si no son indispensables.
• Los usuarios del departamento de diseño gráfico no tienen porqué tener acceso a los archivos del departamento de contabilidad.
• Los puestos de trabajo no deben tener programas que no sean indispensables para la empresa. Por ejemplo: clientes de IRC, programas de descarga de MP3, programas de mensajería, etc.
• Los usuarios no tienen porqué poder compartir carpetas en sus ordenadores locales si existe un espacio en un servidor preparado para el intercambio de datos.

Desde el punto de vista de la seguridad, la red más segura sería aquella que no dejara hacer nada (ni trabajar, siquiera) y la red más insegura aquella que lo permitiera todo (entrar desde el exterior a usuarios anónimos, por ejemplo). Por supuesto, debemos buscar un compromiso entre seguridad y número de servicios / privilegios requeridos para trabajar con comodidad.

 

Deshabilitar servicios innecesarios

Un servidor con pocos servicios habilitados tiene las siguientes ventajas: funciona más rápido puesto que tiene menos tareas a las que atender, consume menos memoria y hace un menor uso del procesador, produce menos errores (hay menos cosas que pueden fallar y menos módulos que puedan interferir entre sí), es más resistente a agujeros de seguridad (sólo le afectan los agujeros de seguridad de los servicios que tiene activos) y, por último, tiene un mantenimiento más sencillo (sólo hay que instalar los parches de seguridad de los servicios que tiene habilitados). La gestión de servicios en Windows NT se realiza desde Panel de control / Servicios.

Los servidores deben tener el menor número de puertos abiertos. Esto se consigue eliminando todos los servicios innecesarios. De esta forma evitamos posibles ataques desde el exterior que se aprovechan de algún reciente agujero de seguridad para puertos concretos. Los puertos abiertos se listan con la orden NETSTAT -A. Por supuesto, los clientes sólo deben tener abiertos los puertos imprescindibles para sus tareas (generalmente los puertos NetBIOS: 137, 138 y 139): nunca un puesto de trabajo puede ser un servidor web o similar (esto se produce en ocasiones con puestos de trabajo que funcionan con Windows 2000 Professional).

Nota: En los ordenadores Windows 9x/Me los puertos se abren porque algún programa los está utilizando. Pulsando Ctrl+Alt+Supr podemos ver la lista de programas activos en ese momento. Mediante la orden MSCONFIG, pestaña Inicio se listan todos los programas que se ejecutan al iniciarse el sistema operativo. Una vez que hemos localizado el programa que abre un determinado puerto que queremos cerrar, basta con desmarcarlo en la lista anterior. En el próximo reinicio el puerto permanecerá cerrado. El cierre de los puertos NetBIOS se explica en el apartado Cómo deshabilitar NetBIOS en Windows 98.

La gestión de los privilegios de los usuarios debe realizarse cuidadosamente en los servidores de usuarios y archivos. Aunque los usuarios sean de confianza siempre reduciremos riesgos por descuidos. Además, en el caso de una infección por virus, el virus no podrá traspasar los departamentos si no hay ninguna vía de acceso o recurso compartido común. En general, la aplicación de la ley de los mínimos privilegios reduce la mayor parte de riesgos potenciales.

 

6.3 PARCHES DE SEGURIDAD

El software que sale al mercado dista mucho de ser un producto perfecto e infalible: habitualmente contiene una serie de errores que no fueron detectados o corregidos a tiempo antes de su comercialización. Desde el punto de vista de la seguridad nos interesan aquellos fallos que pueden ser utilizados por personas maliciosas para romper la seguridad de un sistema, extraer datos, dejar un sistema fuera de servicio, etc. Cada día se descubren nuevos agujeros de seguridad en los productos más utilizados y también cada día se lanzan parches de seguridad que subsanan estos errores. El tiempo que transcurre entre que un agujero de seguridad es publicado y la instalación del correspondiente parche en el servidor es tiempo que el servidor está a merced de los hackers que pululan por la Red.

Las informaciones de primera mano en temas de seguridad se obtienen de listas de correo especializadas. En español se destaca la lista una-al-dia de Hispasec que lanza diariamente una noticia de seguridad. Hispasec también incluye un sistema de mensajes a móviles para alertar de los riegos más graves.

Si bien los servidores son las máquinas más sensibles de la red y a las que debemos prestar una mayor atención, tampoco debemos olvidarnos de los clientes. Los puestos de trabajo deben contener al menos todas las actualizaciones críticas que recomienda www.windowsupdate.com

 

6.4 MODELOS DE REDES SEGURAS

En este apartado vamos a revisar algunos puntos que debemos tener en cuenta a la hora de diseñar redes seguras.

Las contraseñas escogidas en la red deben ser contraseñas seguras. No solamente las contraseñas de los servidores sino también la de los usuarios que inician sesión en sus puestos de trabajo. Pongamos un ejemplo: la palabra "cerrojo" no es en absoluto una contraseña segura puesto que es una palabra de diccionario. Los diccionarios se pueden utilizar para hacer ataques de fuerza bruta desde la primera palabra hasta la última, hasta que se encuentre alguna coincidencia. Sin embargo, nosotros podemos camuflar esta palabra mediante algún número o símbolo. La palabra "cerrojo56" es ya mucho más difícil de descifrar. También se pueden combinar números y letras en mayúsculas tratando de buscar algún sistema que nos permita recordar la contraseña. Por ejemplo, "cErr0j0". Las contraseñas deben tener más de 5 o 6 caracteres. Cuanto más larga sea la contraseña, más complicado será romperla. Otro método para inventarse contraseñas es utilizar las iniciales de frases. Sin embargo, las frases tampoco deben ser muy conocidas puesto que las iniciales más habituales se encuentran también en diccionarios de hackers (por ejemplo, "euldlm" = En un lugar de la Mancha).

Las contraseñas se deben renovar periódicamente (cada dos meses, por ejemplo) por si alguna hubiese podido ser descubierta. Además, se deben utilizar contraseñas distintas para cada servicio de la red. Por ejemplo, sería una temeridad utilizar la misma contraseña para el correo electrónico que para la cuenta de administrador de un servidor. ¿Por qué? Sencillamente porque una contraseña de correo no viaja encriptada por la red y podría ser descubierta fácilmente.

La utilización de switches es preferible a la utilización de hubs. Recordemos que un hub difunde la información que recibe desde un puerto por todos los demás. La consecuencia de esto es que todas las estaciones conectadas a un mismo hub reciben las mismas informaciones. Si en uno de estos puestos se sitúa un usuario malicioso (o bien, ese puesto está controlado remotamente mediante un troyano u otro tipo de acceso remoto) es posible que trate de instalar una herramienta conocida como sniffer para analizar todo el tráfico de la red y así, obtener contraseñas de otros usuarios. Los sniffers utilizados correctamente pueden mostrar información muy útil para el administrador de una red. Pero en manos de usuarios maliciosos y en redes mal diseñadas supone un elevado riesgo de seguridad. Un sniffer instalado en un puesto de trabajo carece de utilidad si en la red se utilizan switches para aislar los puestos. En cambio, un sniffer instalado en un servidor (de correo o de usuarios, por ejemplo) puede revelar datos altamente confidenciales. Es muy importante, por tanto, restringir el acceso de usuarios a los servidores así como mantenerlos protegidos con las últimas actualizaciones de seguridad.

Es preferible que las zonas pública y privada de nuestra red utilicen cableado distinto. Así evitaremos que un servidor de la zona pública comprometido pueda escuchar tráfico de la zona privada. Veamos dos ejemplos:

• Configuración incorrecta. El servidor proxy que separa las zonas pública y privada utiliza una sola tarjeta de red. Tanto los servidores públicos como los puestos de trabajo internos comparten el mismo cableado, es decir, se pueden conectar indistintamente a cualquier puerto libre de cualquier hub de la red. Y, lo que es más grave, cualquier usuario podría autoasignarse una IP pública y comprometer toda la seguridad de la red.
• Configuración correcta. El servidor proxy utiliza dos tarjetas de red. Una tarjeta de red se conecta al hub de la zona pública y la otra, al hub de la zona privada. La única vía física posible de pasar de una zona a otra es mediante el servidor proxy. Si un usuario trata de asignarse una IP pública a su puesto de trabajo quedará aislado de todos los demás.

Los servidores, ¿en la zona pública en la zona privada? Estamos de acuerdo en que los servidores tienen que tener direcciones IP públicas para que sean accesibles desde todo Internet. Sin embargo, no suele ser recomendable asignar directamente las IP públicas a los servidores. En su lugar se les puede asignar direcciones privadas e implantar un sistema de traslación de direcciones públicas-privadas. De esta forma se consigue que todo el tráfico público de la red se filtre por un router o/y cortafuegos antes de llegar a los servidores. Por ejemplo: el servidor web de la empresa puede tener la dirección 194.142.15.8 de cara a los visitantes pero la dirección 192.168.0.3 en su configuración. Un servidor previo (cortafuegos) tendrá la dirección 194.142.15.8 configurada y redirigirá las peticiones al puerto 80 de esta IP al servidor 192.168.0.3. Esta traslación de direcciones la pueden realizar routers correctamente programados o bien, máquinas Linux, las cuales se desenvuelven muy eficazmente en estas tareas. ¿Qué ocurre si alguien intenta acceder a un puerto distinto al 80 de la IP 194.142.15.8? Sencillamente que el cortafuegos rechazará la conexión sin molestar al servidor web que ni siquiera advertirá este intento de conexión. Los servidores públicos protegidos bajo este esquema pueden dedicarse únicamente a sus tareas, sin malgastar recursos en la defensa de ataques.

Los cortafuegos o firewalls se sitúan justamente en la salida a Internet de la red. Disponen de un panel de control que permite cerrar aquellos puertos que no se van a utilizar y así solventar descuidos de configuración de servidores internos. Pongamos un ejemplo: tenemos un servidor web NT  con el puerto 139 abierto (NetBIOS) pero en el cortafuegos cerramos el puerto 139. Entonces, ningún usuario externo a la red podrá abrir una conexión al puerto 139 del servidor web puesto que el cortafuegos la rechazará.

Por último, debemos recordar que el servidor de archivos debe estar correctamente configurado de forma que cada usuario pueda ver únicamente sus archivos pero no los de los demás usuarios. En el caso de redes grandes puede resultar interesante la división de departamentos en subredes (con cableado separado además) con el fin de crear unidades de administración independientes. De esta forma los usuarios de un departamento serán completamente independientes de los de otros departamentos. En este esquema se utiliza un servidor de archivos para cada subred y un router con tantas tarjetas de red como departamentos para interconectarlos.

Todo lo anterior son ideas que nos pueden guiar durante el diseño de una red segura. Cada caso hay que estudiarlo por separado evaluando los factores coste, nivel de seguridad requerido, comodidad de los usuarios y facilidad de administración.