A continuación se narra todos los puntos que se tuvieron en cuenta en la conexión de la red MEC a internet, y como no, al final se define una serie de aspectos de seguridad que la toda red debe cumplir en aspectos de seguridad.
 

1. Expectativas de la conexión a Internet

La idea de la conexión a Internet abría a las instalaciones un abanico extraordinario de
servicios, pero a la vista de las limitaciones que íbamos a tener que imponer en función de los
condicionantes de seguridad y economía, decidimos concretarlos en unos pocos :
 

•      Servicio de correo electrónico para todos los usuarios.
•      Acceso a las NEWS de Internet, así como grupos locales, para todos los usuarios.
•      Difusión a la comunidad académica y al resto de Internet de las Bases de Datos residentes en  los hosts de nuestra red interna, así como de información de carácter general del MEC.
•      Otros servicios, como telnet a sistemas externos, y como no, el servicio estrella de cualquier conexión a Internet que se precie, acceso a la WWW.

Para entender el desarrollo y topología de la red del MEC, en primer lugar se ha de comprender
mínimamente la estructura funcional de la organización. Por una parte se encuentra lo que
denominamos Servicios Centrales, una serie de edificios situados en varios puntos de Madrid,
relativamente distantes entre sí. Entre estos edificios se encuentra el más conocido de ellos: la sede
central del MEC en la calle Alcalá, con el gabinete del ministro y otras subdirecciones. Por otra
parte, como principal centro informático y de comunicaciones del ministerio, se encuentra el edificio
de la S.G.T.I. (Subdirección General de Tratamiento de la Información) , sito en la calle Vitruvio.
Además de estos dos edificios principales, existen otras 8 ó 9 dependencias más, que albergan otras  unidades funcionales del MEC, repartidas por toda la capital.

Por otra parte, el MEC dispone de una serie de delegaciones en cada una de las provincias que
administrativamente gestiona, en el llamado territorio MEC. A cada una de estas delegaciones se las
denomina Direcciones provinciales. Concretamente, en la actualidad existe conectividad con la
totalidad de estas 26 provincias. Como caso especial, se sitúa nuevamente Madrid, que en lugar de
disponer de una Dirección Provincial, dispone de 5 Subdirecciones territoriales, igualmente
conectadas al grueso de la red del MEC.

    La topología de la red con las Direcciones Provinciales es de una doble estrella, con centros en
Alcalá y Vitruvio, basada en líneas X.25 de 9.600 bps en su gran mayoría, con los nodos centrales
de 64 Kbps. El protocolo que circula por ellas es IP, encapsulado por encima de X.25.

    La conectividad con los edificios de Madrid está basada en líneas punto a punto, de varias
velocidades, con backups basados en RDSI, configurados en modo bandwidth on-demand.

    La conectividad con el resto del mundo Internet es proporcionada por RedIRIS, que como es
sabido, tiene ubicados sus nodos centrales en su sede de la calle Serrano, a escasos metros de las
instalaciones de esta S.G.T.I. Esta afortunada coincidencia geográfica es la que nos ha permitido
realizar una conexión a sus instalaciones vía fibra óptica. Y así, incorporarnos a la denominada red
del Campus de Serrano, que ya estaba integrada por la propia RedIRIS y el CSIC, algunas de
cuyas instalaciones también están situadas en las proximidades.

    Es importante remarcar en este punto, que la conexión del MEC a esta red del Campus de Serrano, se realiza a velocidad ethernet (10 Mbps), dado que la capacidad de la fibra óptica tendida entre ambas organizaciones es claramente superior a esta última, pero que la salida internacional y al resto de universidades se realiza por un enlace serie con velocidad fijada a 500 Kbps, perteneciente al mismo router ubicado en RedIRIS, para evitar agravios comparativos con el resto de organizaciones afiliadas a RedIRIS y que por situación geográfica no les sea posible disponer de este tipo de enlaces.

    Aún con esta limitación de la velocidad de salida en la línea internacional, ésta es plenamente
suficiente hasta el momento y no parece que vaya a convertirse en un cuello de botella en un futuro
cercano.
 

3. Direccionamiento

    Cuando acometimos el Plan de Comunicaciones que pretendía modernizar las infraestructuras de
comunicaciones y establecer la mencionada conexión a Internet, nos encontramos con una red que
había crecido muy rápidamente, y a la vez, de forma bastante anárquica. Por ella circulaban
básicamente dos protocolos: IP y VINES. El tráfico VINES se centraba fundamentalmente en los
enlaces punto a punto entre los edificios de Madrid, por los que también circulaba protocolo IP
encapsulado. Las comunicaciones con las Direcciones Provinciales se basaban únicamente en
TCP/IP encapsulado encima de conexiones X.25 conmutadas por Iberpac.

    Lo peor vino con el direccionamiento utilizado en la anterior estructura: se había utilizado para cada red, ya fuera de unos cuantos sistemas o de algunos cientos, una clase A completa, haciéndolas coincidir con los códigos postales de las provincias, y otros números para las distintas redes de Madrid.

    Dado que el espacio de direcciones utilizado, o mejor dicho, malgastado, por nuestra organización coincidía con buena parte de las direcciones en uso en Internet, esta forma de direccionamiento nos obligó a acometer un cambio de direccionamiento generalizado en todo el Territorio MEC, incluyendo todos los edificios de Madrid.

    Puestos al habla con RedIRIS, nos pusieron al corriente de la dificultad de conseguir por parte de los organismos internacionales correspondientes, una cantidad de direcciones oficiales, que tras
nuestras estimaciones, sería de una clase B aproximadamente. Una vez llegados a este punto, nos
planteamos utilizar un esquema mixto de direccionamiento privado RFC-1597 y direccionamiento
NIC. Con el inestimable apoyo y asesoramiento de RedIRIS, paralelamente al comienzo de la
renumeración de nuestras redes con direccionamiento privado, iniciamos las gestiones para
conseguir por parte de RIPE el máximo número de clases C. Al final, y después de varios meses de
peticiones rechazadas y revisadas, logramos conseguir un bloque de 85 clases C, que
progresivamente iremos aplicando en nuestras redes internas y externas.
 

4.- Políticas de seguridad

    Administrativamente, y a la hora de plantear el proyecto, se nos impusieron unos criterios de
seguridad muy estrictos. La conexión a Internet sólo debía realizarse cuando los riesgos de posibles
problemas de seguridad, tales como accesos no autorizados o robos de información, fuesen
absolutamente minimizados.

    A la vista de que la red actual estaba basada en un host IBM principal razonablemente seguro, y una serie de sistemas Unix de producción y desarrollo con una seguridad bastante más relajada, además de los innumerables PC's de usuarios finales, se llegó a la conclusión de que una conexión directa a Internet, por mucho que se mejorase la seguridad en cada uno de los sistemas pertenecientes a nuestra red, nunca llegaría a cumplir los requisitos mínimos de seguridad que nos fueron encomendados.

    Para la elaboración de la política de seguridad, el primer paso fue hacer una relación de los aspectos sensibles dentro de la organización, tanto físicos (equipos Unix, routers, etc.), como no materiales (aplicaciones, bases de datos, etc...).

    Una vez realizada esta lista de puntos sensibles a proteger, se pondera cada uno de ellos con un
peso específico, y se calcula la posibilidad de que sea vulnerado, ya sea por ataques intencionados o por causas meramente accidentales.

    Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad.
También es importante definir los usuarios contra los que proteger cada recurso. Las medidas
diferirán notablemente en función de los usuarios de los que se pretenda proteger el recurso.