Estando a punto de mudarme a una nueva regi\u00f3n, aprovech\u00e9 la oportunidad para revisar a fondo mi red interna. La hab\u00eda dise\u00f1ado durante mis estudios y posteriormente la modifiqu\u00e9. Esta arquitectura hab\u00eda llegado a sus l\u00edmites, y la superposici\u00f3n de VLAN imped\u00eda realizar modificaciones importantes sin apagar todo e empezar de cero.<\/p>\n\n\n\n
Tras externalizar mi sitio web y decidir prescindir de mi servidor cloud y otros servidores de aplicaciones que ya casi no usaba, pude apagar mi ESX, as\u00ed como el NAS utilizado para el almacenamiento NFS del ESX (m\u00e1quinas virtuales pesadas con bajos requisitos de recursos).<\/p>\n\n\n\n
Sin m\u00e1s servidores abiertos al exterior, los servicios de proxy inverso (que proporcionaba a trav\u00e9s de HAProxy) se volvieron in\u00fatiles, al igual que toda la VLAN dedicada a los servidores accesibles desde el exterior.<\/p>\n\n\n\n
As\u00ed que reinstal\u00e9 un nuevo firewall, cuyo nombre no revelar\u00e9 por ahora, y comenc\u00e9 a reinstalar los servicios que se ejecutaban en el firewall anterior: NAT, filtrado basado en reglas, IDS e IPS, Squid y VPN.<\/p>\n\n\n\n
Tras realizar algunas pruebas, logr\u00e9 cambiar entre el firewall antiguo y el nuevo, lo cual me dio algunos dolores de cabeza, pero en general funcion\u00f3 bien.<\/p>\n\n\n\n
Reescrib\u00ed todas las reglas de filtrado desde cero, al igual que las reglas IPS, as\u00ed que empiezo desde cero, con una configuraci\u00f3n “limpia” y “state of the art”. Las VLAN de la DMZ (catch-all) y del servidor externo se reemplazaron por una nueva VLAN que uso para la dom\u00f3tica y una VLAN independiente, aislada y protegida para el teletrabajo, lo que se necesitaba realmente.<\/p>\n\n\n\n
Para simplificar el teletrabajo, tambi\u00e9n cre\u00e9 un nuevo SSID en mis puntos de acceso wifi para conectar los ordenadores y tel\u00e9fonos del trabajo a esta nueva red dedicada al teletrabajo, adem\u00e1s de la posibilidad de conectarme por cable. Obviamente, al igual que con mis otras redes wifi, utilizo diversas protecciones, seg\u00fan las capacidades de mis puntos de acceso. <\/p>\n\n\n\n
Al mismo tiempo, tras recuperar el NAS del ESX, uno de los pr\u00f3ximos proyectos en las pr\u00f3ximas semanas, entre embalajes, ser\u00e1 reinstalar un sistema NAS m\u00e1s potente y con mejor mantenimiento para tener un NAS actualizado.<\/p>\n\n\n\n
El antiguo firewall se pondr\u00e1 a la venta (y espero venderlo antes de mi mudanza), y el ESX se reinstalar\u00e1 con la \u00faltima versi\u00f3n de VMware ESX para usarlo como laboratorio si es necesario. Por lo tanto, estar\u00e1 casi siempre apagado, pero con la posibilidad de reiniciarlo.<\/p>\n\n\n\n
Como probablemente habr\u00e1n notado, hablo mucho sobre lo que puedo hacer, sin dar demasiados detalles, para garantizar la seguridad de mi sistema de informaci\u00f3n. Proporcionar informaci\u00f3n detallada, como el modelo de mi firewall o qu\u00e9 IPS utilizo, etc., equivaldr\u00eda a entregarle las llaves del reino a un posible hacker, que podr\u00eda usarlas. No pretendo tener una red atractiva para los hackers, pero en el mundo de la seguridad inform\u00e1tica, el principio de precauci\u00f3n prevalece y siempre hay que encontrar el equilibrio adecuado entre demasiada informaci\u00f3n y poca.<\/p>\n\n\n\n
Si has llegado hasta aqu\u00ed, gracias por leer. \u00a1Nos vemos pronto!<\/p>\n","protected":false},"excerpt":{"rendered":"
Estando a punto de mudarme a una nueva regi\u00f3n, aprovech\u00e9 la oportunidad para revisar a fondo mi red interna. La hab\u00eda dise\u00f1ado durante mis estudios y posteriormente la modifiqu\u00e9. Esta arquitectura hab\u00eda llegado a sus l\u00edmites, y la superposici\u00f3n de VLAN imped\u00eda realizar modificaciones importantes sin apagar todo e empezar […]<\/p>\n","protected":false},"author":1,"featured_media":117,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[3,6],"tags":[],"class_list":["post-239","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-infrastructure","category-securite"],"_links":{"self":[{"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts\/239","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/comments?post=239"}],"version-history":[{"count":1,"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts\/239\/revisions"}],"predecessor-version":[{"id":338,"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/posts\/239\/revisions\/338"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/media\/117"}],"wp:attachment":[{"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/media?parent=239"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/categories?post=239"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mx.tkrug.fr\/index.php\/wp-json\/wp\/v2\/tags?post=239"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}