Los dos puntos débiles para comprometer de forma remota los equipos basados en Windows NT son SMB (compartir carpetas e impresoras) e IIS (Internet Information Server). Si cierra estas dos puertas, habrá conseguido en gran medida que su sistema sea prácticamente impenetrable. En esta sección verá los mecanismos que permiten mejorar la seguridad de nuestro servidor:

Deshabilitar Compartir Impresoras y Archivos

Figura 1. Propiedades del adaptador de red

Figura 2. Configuración avanzada

Para deshabilitar el servicio Compartir impresoras y archivos seleccione Administrar conexiones de red que se encuentra en el Centro de redes y recursos compartidos del panel de control, que muestra las conexiones de red que hay instaladas en nuestro equipo.

Puede deshabilitar individualmente cada adaptador de red, para ello vaya a las propiedades del adaptador (véase la figura 1) y desactive el servicio Compartir Impresoras y archivos para redes Microsoft. Si lo desea puede administrar el servicio de forma global en todos los adaptadores. Para ver los adaptadores que están utilizando el servicio Compartir impresoras y archivos vaya a Opciones avanzadas y pulse en la opción Configuración avanzada. En la ventana que aparece en la figura 2 se muestran las conexiones de red del sistema y para cada conexión, se muestran los diferentes servicios que están utilizando. Deshabilite el servicio Compartir impresoras y archivos para las conexiones en donde no sea necesario.

Filtrado de puertos

Figura 1. Configuración avanzada

Figura 2. Configuración avanzada de TCP/IP

Para evitar, en la medida de lo posible, que un atacante obtenga información de su sistema debe filtrar los puertos del servidor. Debe tener cuidado al configurar los filtros ya que puede dejar sin comunicación un determinado servicio. Por ejemplo, si está utilizando un servidor Web tiene que tener abierto el puerto 80.

Para habilitar el filtrado de puertos seleccione el adaptador de red, pulse Propiedades, seleccione el Protocolo de Internet TCP/IP pulse Propiedades, y luego pulse el botón Opciones avanzadas. Seleccione la pestaña Opciones que se encuentra en la pantalla de la figura 1 seleccione Filtrado TCP/IP y pulse el botón Propiedades.

En la ventana de Filtrado TCP/IP (figura 2), active la casilla Habilitar filtrado TCP/IP (todos los adaptadores) y añada los puertos TCP y UDP que desea tener abiertos. Si desea más información sobre los puertos TCP y UDP, y protocolos IP vea el Anexo 1 – Listado de puertos y protocolos IP.

Existen herramientas que nos permiten comprobar la seguridad de un equipo. Dos de las más utilizadas para aspectos relacionados con la red son:

• Escaneador de puertos. Nos permite determinar los puertos que tiene abierto nuestro servidor. Un ejemplo de escaneador de puertos es la aplicación superscan http://www.snapfiles.com/reviews/SuperScan/superscan.html

• Trazador de rutas. Nos permite comprobar que el camino hacia nuestro servidor es el correcto y que el tráfico no ha sido redirigido hacia una IP desconocida. (por ejemplo, Visual Route, http://www.visualware.com/personal/products/visualroute/index.html).

Te recomiendo que realices un Escaneado de puertos para comprobar que los puertos están correctamente cerrados.