Hay muchas, muchas maneras de llevar a cabo esta tarea en particular. La configuración de una LAN varía enormemente dependiendo del equipo que tengas. Asumamos, sin embargo, que estás usando un dispositivo que tiene tanto la funcionalidad de la capa 2 como la de la capa 3, y que cualquier servicio que proveas puede ser conectado a eso. Recuerde, la capa 2 en el modelo OSI es todo acerca de la conmutación. Es la capa de enlace de datos. Las direcciones MAC están en la capa 2. La capa 3 es la capa de «enrutamiento» o de red. Son las direcciones IP y la forma en que los paquetes son enrutados a su destino. Un dispositivo que hace ambas funciones de capa 2 y capa 3 es típicamente llamado un conmutador multicapa. Lo primero que hay que discutir es el espacio de direcciones.
Direcciones
En un entorno LAN, las direcciones privadas son la norma. Esto te permite determinar el tamaño de la red que tienes. En un entorno remoto, normalmente irás con un conjunto de direcciones más pequeño. Usando la notación CIDR, vamos con una subred /24. Esto es típico en muchas redes domésticas por defecto. Esto le permite tener 254 direcciones IP utilizables. ¿Cómo va a emitir estas direcciones IP a los usuarios? DHCP o estáticamente? La manera más fácil y común de emitir direcciones IP es a través de DHCP. La mayoría de los dispositivos de capa 3 tienen la capacidad de actuar como un servidor DHCP, así que hacerlo no es muy difícil.
Para averiguar su rango, usemos un conjunto de direcciones muy común: 192.168.0.0/24. Si estás proporcionando servicios de voz sobre IP (VoIP), querrás añadir otra subred o dividir ésta por la mitad. Sin embargo, en este ejemplo, todo se utilizará para los servicios de datos. Reservemos también algunas direcciones para usarlas de forma específica. Mantendremos 192.168.0.1 para la dirección IP del enrutador, 192.168.0.2 para nuestra impresora (cada red necesita una impresora, ¿verdad?), y luego 0.3-0.5 para futuras reservas como el servidor de archivos compartidos. Todo lo demás es utilizable (con la excepción de 0.0 y 0.255, que son las típicas direcciones IP de red y difusión para esta subred. La configuración de este servidor DHCP es diferente en cada dispositivo que pueda tener. La mayoría de los enrutadores de los hogares y las pequeñas empresas tienen una agradable interfaz gráfica de usuario (GUI) que te ayuda en el proceso.
Servicios
Dado que los servicios de voz que se proporcionan van a ser a través de las computadoras y los dispositivos de datos que conectamos, no tenemos que preocuparnos de un direccionamiento especial para esto. Después de todo, queremos que nuestra configuración y puesta en marcha en un entorno remoto sea lo más fácil posible. Algunas buenas opciones para estos servicios incluyen aplicaciones como Skype, Google Voice, etc. También puede descargar teléfonos «soft» que pueden actuar como un teléfono normal en su ordenador pero que están basados en software.
Compartir archivos es una necesidad en la red de hoy en día. Puede ser tan fácil como conectar un disco duro USB al enrutador y hacer clic en un botón para compartir, o tan difícil como construir un servidor separado con permisos de usuario específicos. La mayoría de los enrutadores tienen la capacidad de compartir archivos con los usuarios; algunos de los protocolos, como FTP, SFTP y SMB, se utilizan dentro de las redes para hacerlo también. Algunos enrutadores que tienen capacidades de tipo «compartir fácilmente» hacen que la configuración sea fácil, pero limitan severamente el control que se tiene y la granularidad sobre el acceso al disco. Démosle a nuestro archivo compartido su propia dirección IP, asumiendo que tomamos un pedazo de un servidor y lo compartimos; 192.168.0.3. El servidor de Windows hace que compartir una partición de un disco sea relativamente fácil. Normalmente, puedes hacer clic con el botón derecho del ratón en la carpeta y hacer clic en el botón de compartir para ver las opciones y compartirlo. Lo bueno de esto es que puedes especificar el nivel de permisos para cada usuario dentro de cada directorio que compartas. Pueden buscar en la red (dependiendo de la capacidad de detección) o navegar directamente al recurso compartido en el Explorador de Windows.
También puedes configurar un sistema Linux para compartir archivos. La aplicación Samba para Linux es una muy común que se utiliza. Así que, con el tamaño de disco que quieras en el sistema Linux, instala Samba, crea tus usuarios y contraseñas, identifica el directorio en el que compartir, asegúrate de editar el archivo smb.conf para incluir todos los parámetros necesarios, y luego reinicia la aplicación. Sus usuarios deberían entonces poder acceder al archivo compartido desde sus máquinas! Hay varias otras aplicaciones y métodos utilizados para crear un archivo compartido. Sólo asegúrese de recordar que los permisos son enormes cuando se trata de esto. El principio del menor privilegio debe ser seguido aquí.
Compartir impresoras es también una necesidad en la red actual. Requerirá su propia dirección IP también, así que le daremos la dirección reservada, 192.168.0.2. Esta es una tarea bastante simple de hacer con la mayoría de las impresoras modernas y los dispositivos multifuncionales. Una vez que la impresora tiene una dirección IP, puede buscarla e instalarla en la mayoría de los ordenadores muy fácilmente. Tanto el sistema operativo de Mac como el de Windows suelen identificar la primera impresora instalada como la predeterminada, por lo que tener usuarios que puedan imprimir no debería llevar mucho tiempo.
Seguridad
Como mencioné antes, asegurar nuestras redes es una necesidad. Los puertos de la impresora que están abiertos en la red son vulnerables. Los servicios de intercambio de archivos y los puertos que utilizan son vulnerables. Si usamos una de las aplicaciones de voz, estas llegan a la web. ¡Esos también son vulnerables! Las listas de control de acceso (ACL) son una de las mejores capacidades que tenemos, especialmente cuando los recursos son limitados, para controlar lógicamente el acceso a ciertos dispositivos, puertos y protocolos. Dentro de estas, puedes definir las direcciones IP que están permitidas para acceder a ciertos recursos dentro de tu LAN. Por ejemplo, si se limita el acceso al dispositivo de intercambio de archivos a sólo un conjunto específico de computadoras para poder controlar mejor la actividad, sería necesario definir una regla dentro del enrutador que permitiera a esos dispositivos acceder al IP de los servidores. Preferiblemente, definir el puerto o el protocolo utilizado ayudaría a protegerlo más. Después de cada lista de acceso, asegúrese de tener esa denegación explícita (a menos que esté implícita en ella), denegar ip cualquiera. Lo que hace este «deny ip any any» al final de su lista de acceso es bloquear una dirección ip para acceder a los recursos. La parte de «any any» bloquea todo el tráfico donde se aplica el ACL, por lo que sólo permite el tráfico listado antes de esa declaración. El ACL funciona de arriba a abajo, el primer partido gana. Entonces, digamos que tienes tu impresora colgando de un dispositivo de red. Sólo quieres permitirle tu dirección 192.168.0.10. Así es como se vería tu ACL para eso, aplicándose al puerto al que está conectada la impresora:
Este ACL restringe el tráfico que sólo va a la impresora porque se aplica al puerto del que sólo la impresora cuelga. Puede restringir estos recursos basándose en la IP, la dirección MAC, el puerto o el tipo de tráfico con una ACL. Por lo tanto, estos pueden ser aplicados en todo el lugar en su entorno LAN. Puedes generalizar o granular todo lo que quieras con ellos, dándote mucho más control sobre tu entorno que sin ellos.
Además de los ACL, podemos controlar el acceso a los recursos de nuestra red de otras maneras también. Asumiendo que no tienes un servidor de gestión de identidades, podemos usar la lista blanca de direcciones MAC para permitir sólo ciertas direcciones MAC en la red. También podemos usar algo llamado MAC pegajoso si estamos usando un conmutador empresarial para asegurarnos de que cada puerto sólo permite un cierto número de direcciones MAC allí. Por supuesto, esto es un control de acceso para los usuarios. Para la administración de los dispositivos, sería conveniente endurecer el acceso a cualquier función de acceso de gestión que tenga. Las contraseñas fuertes son una necesidad para estos. ACLs también. No queremos que los usuarios puedan acceder a estas funciones de gestión.
Hablemos de VLANs rápidamente también. Como mínimo, deberías segmentar tu tráfico usando unas cuantas VLAN diferentes. Nunca use la VLAN 1 como la predeterminada. Defina una VLAN para el acceso de gestión y los dispositivos de gestión como los servidores de Active Directory, si es algo que tiene en el entorno. Además, tenga una VLAN separada de datos, voz e impresora, todas con sus propios niveles de acceso en la red. Segmentar la red de esta manera le da un mayor control sobre quién puede hacer qué en ella.
Un último tema sobre la seguridad de la LAN; protección de los dispositivos y formación de los usuarios. Estos van de la mano. El software antivirus, antispam y anti-todo que instalas es genial. Ayuda mucho, y es definitivamente una necesidad en cualquier red. Pero la capacitación de los usuarios es esencial. Promover una cultura centrada en la seguridad es necesario para proteger el medio ambiente. Enseñar a los usuarios sobre seguridad. Entrénalos en cómo identificar ataques y buscar correos electrónicos y popups sospechosos. Impulsar esta cultura es clave. En las áreas remotas, esta LAN es su único acceso. Si un ataque tiene éxito, su acceso podría estar caído por un tiempo.
Contenidos