u.t 2 Seguridad Física

SEGURIDAD FÍSICA.

SEGURIDAD PASIVA.

HARDWARE Y

ALMACENAMIENTO

INDICE

Seguridad en el entorno físico Ubicación y protección física

Control de acceso

Sistemas de alimentación ininterrumpida

Almacenamiento de la información

Almacenamiento redundante y distribuido RAID en Windows

Adicional: RAID en Linux

Cluster de servidores Servicios

Almacenamiento externo Network Attached Storage

Storage Area Network

Seguridad en el entorno físico

“Es la aplicación de barreras físicas y procedimientos de

control, como medidas de prevención y contramedidas ante

amenazas a los recursos e información confidencia”

La seguridad física es uno de los aspectos más olvidados a la hora

del diseño de un sistema informático.

Por ejemplo: de nada sirve que nuestra empresa sea la más segura contra

hackers, virus, etc, si no se ha previsto como combatir un incendio.

Por ejemplo: que para un atacante sea más fácil lograr tomar y copiar una cinta

de la sala, que intentar acceder vía lógica a la misma

Enfocada a cubrir amenazas ocasionadas tanto por personal

externo o interno, como por la naturaleza del medio físico donde se

encuentre ubicado el centro.

Robos, destrucción de información o equipos.

Desastres naturales, alteración de suministro eléctrico, incendios, tormentas o

inundaciones.

Disturbios, sabotajes internos o externos deliberados.

Ubicación y protección física

¿Dónde lo colocamos?


Evitar la ubicación del CPD (centro de procesamiento de

datos) cerca de zonas donde existan sustancias

inflamables o explosivos.

Evitar las plantas bajas de edificios para evitar la

entrada de agua superficial.

Evitar la última planta para evitar desastres aéreos.

Evitar la cercanía de gran radiación de señales

electromagnéticas (transmisores de radio y estaciones

de TV), pues puede interferir en el correcto

funcionamiento de los equipos informáticos y la red. Si

no se puede utilizar cableado menos sensible como la

fibra óptica.


Factores a tener en cuenta El edificio. Evaluar

El acceso

El espacio

Instalaciones eléctricas

Acondicionamiento térmico (ideal: 15-25ºC)

Tratamiento acústico. Tener en cuenta al instalar los aparatos de aire acondicionado, necesarios para refrigerar los servidores, que deberán instalarse amortiguando el ruido y la vibración que generan.

Seguridad física del edificio. Sistema control de incendios (detectores de incendios, puertas

cortafuegos, extintores)

Protección contra inundaciones

Racks y armarios ignífugos (protección fuego y movimientos sísmicos)

Suministro eléctrico. Evitar pico y apagones.

Control de acceso

Servicio de vigilancia (vigilantes jurados, cámaras de seguridad)

Acceso al edificio

Acceso a la sala de servidores (CPD)

Detectores de metales y escáneres de control de pertenencias

Sistema de alarma, detección de cambios en la temperatura,

volumen, emisión de señales etc.

Sistemas de identificación

Para el acceso

Personal interno

Personal externo: rellenar un formulario con motivo de visita, datos

personales, fecha y hora de ingreso y salida.

Apertura y cierre de puertas

Permitir/Denegar acceso según restricciones de tiempo, área o sector

dentro de una empresa.

Control de acceso:

sistemas de identificación

Algo que poseo: Llave, tarjeta de identificación., tarjeta

inteligente (smart card) Desventajas: Estas tarjetas pueden ser robadas, copiadas,etc.

Algo que sé: Número de identificación, password,… Desventajas:

Generalmente se eligen identificaciones sencillas, o bien se olvidan.

Se pueden modificar las bases de datos donde están almacenadas las

claves de acceso.

Algo que soy: Control de acceso biométrico.

Ventajas:

El coste de administración es bajo.

Las características biométricas son intransferibles de una persona a otra.

Control de acceso

Biometría ”parte de la biología que estudia en

forma cuantitativa la variabilidad individual de

los seres vivos utilizando métodos estadísticos”.

Es una serie de medidas de características

específicas que permiten la identificación de

personas utilizando dispositivos electrónicos

que las almacena.

Esta identificación consiste en comparar esas

características físicas específicas de cada

persona con un patrón conocido y almacenado

en una base de datos.

Control de acceso

Utilización de sistemas biométricos basados en

identificar a las personas.

Actividad

Busca los distintos tipos de acceso biométrico

que existe, mínimo 5. Anótalos y pon una breve

descripción y el grado de fiabilidad.

Busca vídeos en youtube de biometría o acceso

biométrico. Toma nota de lo que consideres

más llamativo.

Sistema de

acceso

biométrico

Descripción Fiabilidad Enlaces

Sistema de Alimentación Ininterrumpida Un SAI es un dispositivo electrónico que

permite proteger a los equipos frente a picos o caídas de tensión.

Permiten trabajar de 15’ a 4h 30’ extra tras el corte de suministro

Algunos poseen reguladores de voltaje para evitar que los picos que se producen la línea afecten a los equipos

Algunos poseen otros conectores para conectar equipos de comunicaciones como el router

No sustituyen el suministro eléctrico durante un tiempo prolongado, sino que nos permiten guardar con seguridad los datos y apagar con seguridad nuestro sistema.

Sistema de Alimentación Ininterrumpida

Problemas que resuelve el SAI.

Corte de electricidad.- Interferencia de la red eléctrica, o microcorte si dura aproximadamente un

segundo.

Perdida total del suministro eléctrico.

Sobrevoltaje Voltaje mayor del máximo previsto.

Bajadas de tensión Caída momentánea de voltaje

Ruido eléctrico Interferencias de alta frecuencia causadas por radiofrecuencia (RFI), o

interferencia electromagnética (EMI)

Picos de corriente Puede ser producido por una rápida reducción de la carga, cuando el equipo

pesado es apagado.



Tipos:

SAI en estado de espera Stand-by Power System, activa la alimentación desde baterías cuando se detecta un fallo en el suministro eléctrico. (en el cambio de baterías se producirá un micro-corte, que en la mayoría de los equipos es inapreciable).

SAI en línea, alimenta el ordenador de modo continuo aunque no existan problemas en el suministro, al mismo tiempo recarga su batería. Proporciona un voltaje constante evitando picos, pero el tiempo extra en caso de corte de suministro es inferior a los anteriores.


Instalación y mantenimiento


Instalación y mantenimiento

Actividad

Busca en Internet información sobre distintos

tipos de SAI disponibles en el mercado. Crea

una tabla clasificándolos en función del tiempo

de trabajo extra que ofrecen, del número de

equipos que pueden conectarse a ellos, si

disponen de reguladores de tensión y de su

precio. Algunos de los fabricantes más

importantes que puedes consultar son:

Emerson, APC, Eaton, Sacomec.

Actividad 3.

Como ya sabes, un SAI incorpora habitualmente

mecanismos reguladores de tensión, pero su

precio hace que no sea asequible a un usuario

doméstico. En el mercado existen alternativas

mucho más económicas para proteger los

equipos contra subidas y picos de tensión.

Busca información sobre estos equipos en

Internet y escoge el que te parezca más

adecuado para tu ordenador personal. Puedes

consultar las páginas de los fabricantes citados

en el ejercicio anterior.

INDICE


Control de acceso





Cluster de servidores



Almacenamiento redundante y distribuido

RAID: Redundant Array of Independent Disk. Grupo redundante de discos independientes. Se emplean varios discos duros en los que una vez configurados adecuadamente, se distribuyen y/o replican los datos que se almacenan.

El RAID reúne varios discos físicos en una unidad lógica, es decir a ojos del S.O y del usuario nuestro equipo cuenta con un solo disco duro.

Existen diferentes implementaciones de RAID, clasificadas en niveles y pueden ser HW o SW. En implementación HW hace falta una tarjeta controladora

integrada en la placa base o bien una tarjeta de expansión independiente.

Objetivos para implementar un RAID Seguridad (raid 1)

Velocidad (raid 0)

Seguridad y velocidad (raid 5)

Inicialmente era: Redundant Array of

Inexpensive .- Por la capacidad de usar distintos

discos duros de bajo coste y tecnología más

antigua en un conjunto que ofrecía mayor

capacidad, fiabilidad, velocidad o una

combinación de estas.

Actualmente: Redundant Array of Independent.

Actividad

Video 1: tipos de raid, seguridad y velocidad.

Video 2: términos duplexing, mirroring, hot-swap

y hot-spare

Video 3: control de paridad de Raid 5

Disco HOT-SPARE.

Es un disco físico (o varios) que esta conectado a la

controladora RAID, pero no están siendo utilizados en ningún

disco lógico que tengamos creado. Su trabajo consiste en estar

vigilantes por si algún disco físico falla y sustituirlo.

Un ejemplo muy típico: cogemos cuatro discos físicos y los

configuramos como RAID 5 + HOT-SPARE y, automáticamente,

el RAID generado es un RAID 5 de tres discos y el cuarto disco

esta “observando” el disco lógico por si falla alguno de los tres

discos físicos que lo componen. De esta forma podemos

obtener una doble seguridad: si un disco falla, “entra” el Hot-

spare a sustituirlo y, como es una RAID 5, todavía podría fallar

otro disco más y no perderíamos información.

HOT-SWAP. Es una expresión que significa “intercambio en caliente”.

Cuando un disco falla y tenemos que cambiarlo, nos podemos encontrar

con la situación que el disco defectuoso está colocado fijamente en el

interior del servidor y debemos parar éste último para poder extraer el disco

averiado y colocar uno nuevo, con la perdida de tiempo y dinero para la

empresa que depende de ese servidor pues no puede funcionar. Lo

adecuado es tener colocados los discos físicos en un modulo “hot-

swap” que permite fácilmente

sacar el disco averiado y, lo mas importante,

NO TENEMOS QUE PARAR EL SERVIDOR.

Estos módulos pueden ser de varios tipos,

en base a la cantidad de discos que pueden

albergar en su interior: los hay individuales,

que solo tienen un disco físico; y también

existen módulos que se puede colocar en el interior de un servidor para

albergar hasta seis discos. Si nuestras necesidades son mayores, existen

chasis externos que pueden albergar desde solo cuatro discos hasta doce o

mas discos.

RAID 0

No ofrece redundancia-> No

aumenta seguridad

Algunas definiciones no lo consideran

RAID

La información es distribuida de

forma equilibrada y transparente

para el usuario entre los discos.

Aumenta la velocidad pues se

puede leer y escribir

simultáneamente en los discos

(cada disco debe tener una

controladora independiente)

RAID 1 (mirror, espejo)

Redundancia total. Un disco

es la copia del otro.

Disponibilidad total en caso e fallo

en uno de los discos

Se utilizan en servidores

donde no prima la necesidad

de espacio sino la velocidad

de lectura ya que se puede

acceder a dato distintos en

discos diferentes a la vez.

Espacio se reduce a la mitad

RAID 5 Redundancia

Aumento en la capacidad de almacenamiento

Mínimo 3 discos.

La información de cada disco es distinta, como en el RAID0

Pero en cada disco hay un bloque de paridad (subíndice p) que

permite reconstruir sectores erróneos cuando se producen fallos

El bloque de paridad se

calcula, bit a bit, a

partir de los bloques de

datos de la misma

línea:

• Será 1 si hay un

número impar de 1’s

•Será 0 si hay un

número par de 1’s.

Actividad:

Las capacidades de los raid.

Completar el valor de los bloques incompletos

en un raid5

Los discos básicos y los discos dinámicos son dos tipos de configuraciones de disco duro en Windows.

La mayoría de los equipos personales están configurados como discos básicos.

Los usuarios avanzados y profesionales informáticos pueden emplear discos dinámicos, que usan varios discos duros de un equipo para administrar datos, normalmente para obtener un mayor rendimiento o confiabilidad (velocidad o seguridad)

DISCOS BÁSICOS vs. DINÁMICOS

Un disco básico

Usa particiones primarias, particiones extendidas y unidades lógicas para organizar datos.

Una partición formateada también se denomina volumen (los términos volumen y partición se usan por lo general indistintamente).

Los discos básicos pueden tener cuatro particiones primarias o tres primarias y una partición extendida.

La partición extendida puede contener varias unidades lógicas (se admiten hasta 128 unidades lógicas).

Las particiones de un disco básico no pueden compartir ni dividir datos con otras particiones. Cada partición de un disco básico es una entidad independiente del disco.


Los discos dinámicos:

Pueden contener un gran número de volúmenes dinámicos (aproximadamente 2000), que funcionan como las particiones primarias usadas en discos básicos. Volumen simple: Si utilizamos un solo disco para repartir el espacio no

asignado

En algunas versiones de Windows, es posible: Combinar discos duros dinámicos independientes en un único volumen

dinámico. Lo que recibe el nombre de expansión.

Dividir datos entre varios discos duros. Lo que recibe el nombre de sección, RAID 0. Para obtener un mayor rendimiento. Variante del volumen distribuido, ya que también utiliza el espacio de varios discos.

Duplicar datos entre varios discos duros. Lo que recibe el nombre de reflejo o espejo, RAID 1, para obtener una mayor confiabilidad.

RAID 5


INDICE


Control de acceso









Conjunto de varios servidores que se

construyen e instalan para trabajar como si

fuesen uno sólo.

Tienen características similares, porque si no

tenderíamos a utilizar siempre el mejor

Están unidos mediante una red de alta velocidad.

Grupo de ordenadores que se unen

mediante una red de alta velocidad, de tal

forma que el conjunto se ve como un único

ordenador, mucho más potente que los

ordenadores comunes.


Una de sus principales ventajas es que no es necesario

que los equipos que lo integren sean iguales a nivel

hardware ni que dispongan del mismo sistema

operativo, lo que permite reciclar equipos que se

encontraban anticuados o en desuso y rentabilizar su

uso mediante un cluster de servidores.

Cluster de servidores: servicios Con este tipo de sistemas se busca conseguir cuatro servicios

principales, o una combinación de varios de ellos:

Alta disponibilidad.

Alto rendimiento.

Balanceo de carga.

Escalabilidad.

Los clusters son sistemas tan fiables que organizaciones como

Google y Microsoft los utilizan para poner en marcha sus portales.

Por ejemplo, en el año 2003, el cluster Google llegó a estar

conformado por más de 15 000 ordenadores personales.

Cluster de servidores: clasificación según el servicio que prestan Atendiendo a los servicios que prestan, hay tres tipos de clusters:

Clusters de alto rendimiento (HC o High Performance Clusters).

Ejecutan tareas que requieren de gran capacidad de cálculo o del uso

de grandes cantidades de memoria. En estas tareas, los recursos del

cluster son utilizados casi en exclusiva durante periodos de tiempo

bastante largos.

Clusters de alta disponibilidad (HA o High Availability).

Con estos se busca dotar de disponibilidad y confiabilidad a los

servicios que ofrecen. Se utiliza hardware duplicado, de modo que

al no tener un único punto de fallos (aunque haya una avería en un

componente siempre habrá otro funcionando), se garantiza la

disponibilidad del sistema.

También incorporan software de detección y recuperación ante fallos.

Clusters de alta eficiencia (HT o High Throughput).

El objetivo es que se puedan ejecutar el mayor número de tareas en

el menor tiempo posible (tareas individuales cuyos datos no tienen

dependencia entre sí).

Cluster de servidores: clasificación según el ámbito de uso

Clasificación de los clusters de servidores atendiendo a su ámbito

de uso, hay dos tipos:

Clusters de infraestructuras comerciales.

Que conjugan la alta disponibilidad con la alta eficiencia.

Clusters científicos

Que en general son sistemas de alto rendimiento.

Muchas de las características de las arquitecturas de

hardware y software son las mismas en todos estos tipos de

clusters, aunque luego los requisitos de las aplicaciones que

funcionen sobre ellos sean muy distintos. Esto hace que un

tipo de cluster pueda también presentar características de los

otros.

Cluster de servidores: componentes

Componentes, que, pueden tener diversos orígenes, no

tienen por qué ser de la misma marca, modelo o

características físicas. Entre estos componentes están:

Nodos

Sistema operativo

Conexión de Red

Middleware

Sistema de almacenamiento

Cluster de servidores: componentes Nodos:

Máquinas que usamos para montar un cluster, pueden ser

pcs o servidores.

Conviene que las capacidades de todos sean similares ya

que, sino habrá cierta tendencia a enviar el trabajo a realizar

a aquel equipo que disponga de una mayor capacidad de

procesamiento.

Sistema operativo

Cualquier sistema, que tenga dos características básicas:

multiproceso y multiusuario. También conviene que sea fácil

acceder a él.

Conexión de Red

Los nodos deben estar conectados entre sí. Por una conexión

Ethernet u otros sistemas de alta velocidad.

Cluster de servidores: componentes Middleware

Software entre el sistema operativo y las aplicaciones.

Objetivo: que el usuario del cluster tenga la sensación de estar frente a un

único superordenador, ya que provee de una interfaz única de acceso al

sistema.

Se consigue optimizar el uso del sistema y realizar operaciones de balanceo

de carga, tolerancia de fallos, etc.

Se ocupa también de detectar nuevos nodos que vayamos añadiendo al

clúster, dotándolo de una gran posibilidad de escalabilidad.

Sistema de almacenamiento

Cuando trabajamos con clusters podemos hacer uso de un sistema de

almacenamiento interno en los equipos, utilizando los discos duros de

manera similar a como lo hacemos en un PC, o bien recurrir a sistemas de

almacenamiento más complejos, que proporcionarán una mayor eficiencia y

disponibilidad de los datos, como son los dispositivos NAS (Network

Attaches Storage) o las redes SAN (Storage Area Network).

INDICE


Control de acceso








Almacenamiento externo (NAS y SAN) DAS es el método tradicional de almacenamiento y el

más sencillo. El dispositivo de almacenamiento se

conecta directamente al servidor o estación de trabajo.

Es el caso convencional de un disco duro conectado

directamente al sistema informático.

Almacenamiento externo:

NAS (Network Attached Storage): dispositivos de

almacenamiento a los que se accede por red (protocolos

TCP/IP). Cuando un usuario necesita un fichero lo solicita al

servidor, y cuando lo recibe trabaja en local. Esta tecnología

permite balanceo de carga y tolerancia a fallos

SAN (Storage Area Network): una red SAN o con área de

almacenamiento está pensada para conectar servidores, discos

de almacenamiento utilizando fibra óptica. De esta forma un

disco no es propiedad de un servidor sino del conjunto de

servidores de la red.

Almacenamiento externo (NAS y SAN)


NAS (Network Attached Storage) Son dispositivos de almacenamiento específicos, a los

cuales se accede utilizando protocolos de red, como NFS

(Sistema de archivos de red), FTP (Protocolo de Transferencia

de Archivos), CIFS (Common Internet File System nombre que

adoptó Microsoft en 1998 para el protocolo SMB). O SMB

(Server Message Block), como puedes ver en la siguiente

figura. La idea consiste en que el usuario solicita al servidor un

fichero completo y, cuando lo recibe, lo maneja localmente, lo

cual hace que este tipo de tecnología sea ideal para el uso

con ficheros de pequeño tamaño, ofreciendo la posibilidad de

manejar una gran cantidad de ellos desde los equipos clientes.

Ventajas:

El uso de NAS permite, con bajo coste, realizar balanceo de

carga y tolerancia a fallos, por lo que es cada vez más utilizado

en servidores Web para proveer servicios de almacenamiento,

especialmente contenidos multimedia.

Los sistemas NAS suelen estar compuestos por uno o más

dispositivos que se disponen en RAID, lo que permite aumentar

su capacidad, eficiencia y tolerancia ante fallos.


SAN (Storage Area Network) Es una red con área de almacenamiento, está pensada para

conectar servidores, discos de almacenamiento, etc.,

utilizando tecnologías de fibra (que alcanzan hasta 8Gb/s) usando

protocolos como Isasi (Abreviatura de Internet SCSI, es un

estándar que permite el uso del protocolo SCSI sobre redes

TCP/IP).

Ventajas:

El uso de conexiones de alta velocidad permite conectar de manera

rápida y segura los distintos elementos de esta red,

independientemente de su ubicación física.

Un dispositivo de almacenamiento no es propiedad exclusiva de un

servidor, y varios servidores pueden acceder a los mismos

recursos.

Funcionamiento

Se basa en las peticiones de datos que realizan las aplicaciones al

servidor, que se ocupa de obtener los datos del disco concreto donde

estén almacenados.

Almacenamiento externo

Dependiendo de la cantidad de información manejada,

podemos elegir una u otra tecnología.

Para grandes volúmenes, sería conveniente utilizar

una red SAN

Para pequeñas compañías lo idóneo sería un

dispositivo NAS.

Esto no quiere decir que ambas tecnologías sean

excluyentes; existe, de hecho, la posibilidad de

combinarlas en sistemas cuyas características así lo

requieran.


Una SAN se puede considerar una extensión DE UN DAS, donde

en un DAS hay un enlace punto a punto entre el servidor y su

almacenamiento una SAN permite a varios servidores acceder a

varios dispositivos de almacenamiento, en una red compartida.

Tanto en SAN como en DAS las aplicaciones hacen sus peticiones de

datos al sistema de ficheros directamente.

La diferencia reside en la manera que dicho sistema de ficheros obtiene

los datos requeridos del almacenamiento, en DAS el almacenamiento

es local mientras que el SAN es remoto. SAN utiliza diferentes

protocolos de acceso como FIBBRE CHANEL y GIGABIT ETHERNET,

En el lado opuesto de encuentra la tecnología NAS donde las

aplicaciones hacen las peticiones de datos a los sistemas de

ficheros de manera remota, mediante protocolos CIFS y NFS .


El rendimiento de la SAN esta directamente relacionado con el tipo

de red que se utiliza en el caso de una red de canal de fibra el ancho

de banda es de 100MB/s y de puede extender aumentando la

cantidad de conexiones de acceso, la capacidad de una SAN se

puede extender de una manera casi ilimitada y puede alcanzar

cientos y hasta miles de TB.

Una SAN permite compartir datos entre varios equipos de la red sin

afectar al rendimiento porque el trafico SAN, esta totalmente

separado del trafico de usuarios, son servidores de aplicaciones que

funcionan como una interfaz entre la red de datos (generalmente de

fibra) y la red de usuarios (por lo general ethernet).

Una SAN es mucho mas costosa que una NAS, ya que la primera es

una arquitectura completa que utiliza una tecnología que todavía es

muy cara


servicio iSCSI Internet SCSI es un estándar que permite el uso del protocolo iSCSI

sobre redes TCP/IP. iSCSI es una alternativa en los casos en los que

no es abordable la Fibra , iSCSI es menos costosa que las SAN

implementadas en fibra óptica por el elevado coste de la

infraestructura. Cuando las exigencias de transferencia y latencia son

inferiores como en los departamentos de infografía 3D o grafismo

podemos utilizar como alternativa a las SAN de fibra SAN iSCSI.

iSCSI permite a un servidor o estación de trabajo utilizar un iniciador

iSCSI (initiator) para conectar a un dispositivo iSCSI (Target) como

puede ser un cajón de discos externo de nuestro catalogo a través de

una red IP para acceder a información a nivel de bloque identica

funcionalidad que en SAN.

Desde el punto de vista del usuario los cajones de discos o cualquier

otro dispositivo iSCSI parecen estar conectados realmente como

dispositivos SCSI locales como "Discos Duros locales".

Documents

u.t 2 Seguridad Física