Estando a punto de mudarme a una nueva región, aproveché la oportunidad para revisar a fondo mi red interna. La había diseñado durante mis estudios y posteriormente la modifiqué. Esta arquitectura había llegado a sus límites, y la superposición de VLAN impedía realizar modificaciones importantes sin apagar todo e empezar de cero.
Tras externalizar mi sitio web y decidir prescindir de mi servidor cloud y otros servidores de aplicaciones que ya casi no usaba, pude apagar mi ESX, así como el NAS utilizado para el almacenamiento NFS del ESX (máquinas virtuales pesadas con bajos requisitos de recursos).
Sin más servidores abiertos al exterior, los servicios de proxy inverso (que proporcionaba a través de HAProxy) se volvieron inútiles, al igual que toda la VLAN dedicada a los servidores accesibles desde el exterior.
Así que reinstalé un nuevo firewall, cuyo nombre no revelaré por ahora, y comencé a reinstalar los servicios que se ejecutaban en el firewall anterior: NAT, filtrado basado en reglas, IDS e IPS, Squid y VPN.
Tras realizar algunas pruebas, logré cambiar entre el firewall antiguo y el nuevo, lo cual me dio algunos dolores de cabeza, pero en general funcionó bien.
Reescribí todas las reglas de filtrado desde cero, al igual que las reglas IPS, así que empiezo desde cero, con una configuración “limpia” y “state of the art”. Las VLAN de la DMZ (catch-all) y del servidor externo se reemplazaron por una nueva VLAN que uso para la domótica y una VLAN independiente, aislada y protegida para el teletrabajo, lo que se necesitaba realmente.
Para simplificar el teletrabajo, también creé un nuevo SSID en mis puntos de acceso wifi para conectar los ordenadores y teléfonos del trabajo a esta nueva red dedicada al teletrabajo, además de la posibilidad de conectarme por cable. Obviamente, al igual que con mis otras redes wifi, utilizo diversas protecciones, según las capacidades de mis puntos de acceso.
Al mismo tiempo, tras recuperar el NAS del ESX, uno de los próximos proyectos en las próximas semanas, entre embalajes, será reinstalar un sistema NAS más potente y con mejor mantenimiento para tener un NAS actualizado.
El antiguo firewall se pondrá a la venta (y espero venderlo antes de mi mudanza), y el ESX se reinstalará con la última versión de VMware ESX para usarlo como laboratorio si es necesario. Por lo tanto, estará casi siempre apagado, pero con la posibilidad de reiniciarlo.
Como probablemente habrán notado, hablo mucho sobre lo que puedo hacer, sin dar demasiados detalles, para garantizar la seguridad de mi sistema de información. Proporcionar información detallada, como el modelo de mi firewall o qué IPS utilizo, etc., equivaldría a entregarle las llaves del reino a un posible hacker, que podría usarlas. No pretendo tener una red atractiva para los hackers, pero en el mundo de la seguridad informática, el principio de precaución prevalece y siempre hay que encontrar el equilibrio adecuado entre demasiada información y poca.
Si has llegado hasta aquí, gracias por leer. ¡Nos vemos pronto!
