Upload
luismi-figueras-lopez
View
17
Download
0
Embed Size (px)
DESCRIPTION
lñk
Citation preview
SEGURIDAD FÍSICA.
SEGURIDAD PASIVA.
HARDWARE Y
ALMACENAMIENTO
INDICE
Seguridad en el entorno físico Ubicación y protección física
Control de acceso
Sistemas de alimentación ininterrumpida
Almacenamiento de la información
Almacenamiento redundante y distribuido RAID en Windows
Adicional: RAID en Linux
Cluster de servidores Servicios
Almacenamiento externo Network Attached Storage
Storage Area Network
Seguridad en el entorno físico
“Es la aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencia”
La seguridad física es uno de los aspectos más olvidados a la hora
del diseño de un sistema informático.
Por ejemplo: de nada sirve que nuestra empresa sea la más segura contra
hackers, virus, etc, si no se ha previsto como combatir un incendio.
Por ejemplo: que para un atacante sea más fácil lograr tomar y copiar una cinta
de la sala, que intentar acceder vía lógica a la misma
Enfocada a cubrir amenazas ocasionadas tanto por personal
externo o interno, como por la naturaleza del medio físico donde se
encuentre ubicado el centro.
Robos, destrucción de información o equipos.
Desastres naturales, alteración de suministro eléctrico, incendios, tormentas o
inundaciones.
Disturbios, sabotajes internos o externos deliberados.
Ubicación y protección física
¿Dónde lo colocamos?
Ubicación y protección física
Evitar la ubicación del CPD (centro de procesamiento de
datos) cerca de zonas donde existan sustancias
inflamables o explosivos.
Evitar las plantas bajas de edificios para evitar la
entrada de agua superficial.
Evitar la última planta para evitar desastres aéreos.
Evitar la cercanía de gran radiación de señales
electromagnéticas (transmisores de radio y estaciones
de TV), pues puede interferir en el correcto
funcionamiento de los equipos informáticos y la red. Si
no se puede utilizar cableado menos sensible como la
fibra óptica.
Ubicación y protección física
Factores a tener en cuenta El edificio. Evaluar
El acceso
El espacio
Instalaciones eléctricas
Acondicionamiento térmico (ideal: 15-25ºC)
Tratamiento acústico. Tener en cuenta al instalar los aparatos de aire acondicionado, necesarios para refrigerar los servidores, que deberán instalarse amortiguando el ruido y la vibración que generan.
Seguridad física del edificio. Sistema control de incendios (detectores de incendios, puertas
cortafuegos, extintores)
Protección contra inundaciones
Racks y armarios ignífugos (protección fuego y movimientos sísmicos)
Suministro eléctrico. Evitar pico y apagones.
Control de acceso
Servicio de vigilancia (vigilantes jurados, cámaras de seguridad)
Acceso al edificio
Acceso a la sala de servidores (CPD)
Detectores de metales y escáneres de control de pertenencias
Sistema de alarma, detección de cambios en la temperatura,
volumen, emisión de señales etc.
Sistemas de identificación
Para el acceso
Personal interno
Personal externo: rellenar un formulario con motivo de visita, datos
personales, fecha y hora de ingreso y salida.
Apertura y cierre de puertas
Permitir/Denegar acceso según restricciones de tiempo, área o sector
dentro de una empresa.
Control de acceso:
sistemas de identificación
Algo que poseo: Llave, tarjeta de identificación., tarjeta
inteligente (smart card) Desventajas: Estas tarjetas pueden ser robadas, copiadas,etc.
Algo que sé: Número de identificación, password,… Desventajas:
Generalmente se eligen identificaciones sencillas, o bien se olvidan.
Se pueden modificar las bases de datos donde están almacenadas las
claves de acceso.
Algo que soy: Control de acceso biométrico.
Ventajas:
El coste de administración es bajo.
Las características biométricas son intransferibles de una persona a otra.
Control de acceso
Biometría ”parte de la biología que estudia en
forma cuantitativa la variabilidad individual de
los seres vivos utilizando métodos estadísticos”.
Es una serie de medidas de características
específicas que permiten la identificación de
personas utilizando dispositivos electrónicos
que las almacena.
Esta identificación consiste en comparar esas
características físicas específicas de cada
persona con un patrón conocido y almacenado
en una base de datos.
Control de acceso
Utilización de sistemas biométricos basados en
identificar a las personas.
Actividad
Busca los distintos tipos de acceso biométrico
que existe, mínimo 5. Anótalos y pon una breve
descripción y el grado de fiabilidad.
Busca vídeos en youtube de biometría o acceso
biométrico. Toma nota de lo que consideres
más llamativo.
Sistema de
acceso
biométrico
Descripción Fiabilidad Enlaces
Sistema de Alimentación Ininterrumpida Un SAI es un dispositivo electrónico que
permite proteger a los equipos frente a picos o caídas de tensión.
Permiten trabajar de 15’ a 4h 30’ extra tras el corte de suministro
Algunos poseen reguladores de voltaje para evitar que los picos que se producen la línea afecten a los equipos
Algunos poseen otros conectores para conectar equipos de comunicaciones como el router
No sustituyen el suministro eléctrico durante un tiempo prolongado, sino que nos permiten guardar con seguridad los datos y apagar con seguridad nuestro sistema.
Sistema de Alimentación Ininterrumpida
Problemas que resuelve el SAI.
Corte de electricidad.- Interferencia de la red eléctrica, o microcorte si dura aproximadamente un
segundo.
Perdida total del suministro eléctrico.
Sobrevoltaje Voltaje mayor del máximo previsto.
Bajadas de tensión Caída momentánea de voltaje
Ruido eléctrico Interferencias de alta frecuencia causadas por radiofrecuencia (RFI), o
interferencia electromagnética (EMI)
Picos de corriente Puede ser producido por una rápida reducción de la carga, cuando el equipo
pesado es apagado.
Sistema de Alimentación Ininterrumpida
Sistema de Alimentación Ininterrumpida
Tipos:
SAI en estado de espera Stand-by Power System, activa la alimentación desde baterías cuando se detecta un fallo en el suministro eléctrico. (en el cambio de baterías se producirá un micro-corte, que en la mayoría de los equipos es inapreciable).
SAI en línea, alimenta el ordenador de modo continuo aunque no existan problemas en el suministro, al mismo tiempo recarga su batería. Proporciona un voltaje constante evitando picos, pero el tiempo extra en caso de corte de suministro es inferior a los anteriores.
Sistema de Alimentación Ininterrumpida
Instalación y mantenimiento
Sistema de Alimentación Ininterrumpida
Instalación y mantenimiento
Actividad
Busca en Internet información sobre distintos
tipos de SAI disponibles en el mercado. Crea
una tabla clasificándolos en función del tiempo
de trabajo extra que ofrecen, del número de
equipos que pueden conectarse a ellos, si
disponen de reguladores de tensión y de su
precio. Algunos de los fabricantes más
importantes que puedes consultar son:
Emerson, APC, Eaton, Sacomec.
Actividad 3.
Como ya sabes, un SAI incorpora habitualmente
mecanismos reguladores de tensión, pero su
precio hace que no sea asequible a un usuario
doméstico. En el mercado existen alternativas
mucho más económicas para proteger los
equipos contra subidas y picos de tensión.
Busca información sobre estos equipos en
Internet y escoge el que te parezca más
adecuado para tu ordenador personal. Puedes
consultar las páginas de los fabricantes citados
en el ejercicio anterior.
INDICE
Seguridad en el entorno físico Ubicación y protección física
Control de acceso
Sistemas de alimentación ininterrumpida
Almacenamiento de la información
Almacenamiento redundante y distribuido RAID en Windows
Adicional: RAID en Linux
Cluster de servidores
Almacenamiento externo Network Attached Storage
Storage Area Network
Almacenamiento redundante y distribuido
RAID: Redundant Array of Independent Disk. Grupo redundante de discos independientes. Se emplean varios discos duros en los que una vez configurados adecuadamente, se distribuyen y/o replican los datos que se almacenan.
El RAID reúne varios discos físicos en una unidad lógica, es decir a ojos del S.O y del usuario nuestro equipo cuenta con un solo disco duro.
Existen diferentes implementaciones de RAID, clasificadas en niveles y pueden ser HW o SW. En implementación HW hace falta una tarjeta controladora
integrada en la placa base o bien una tarjeta de expansión independiente.
Objetivos para implementar un RAID Seguridad (raid 1)
Velocidad (raid 0)
Seguridad y velocidad (raid 5)
Inicialmente era: Redundant Array of
Inexpensive .- Por la capacidad de usar distintos
discos duros de bajo coste y tecnología más
antigua en un conjunto que ofrecía mayor
capacidad, fiabilidad, velocidad o una
combinación de estas.
Actualmente: Redundant Array of Independent.
Actividad
Video 1: tipos de raid, seguridad y velocidad.
Video 2: términos duplexing, mirroring, hot-swap
y hot-spare
Video 3: control de paridad de Raid 5
Disco HOT-SPARE.
Es un disco físico (o varios) que esta conectado a la
controladora RAID, pero no están siendo utilizados en ningún
disco lógico que tengamos creado. Su trabajo consiste en estar
vigilantes por si algún disco físico falla y sustituirlo.
Un ejemplo muy típico: cogemos cuatro discos físicos y los
configuramos como RAID 5 + HOT-SPARE y, automáticamente,
el RAID generado es un RAID 5 de tres discos y el cuarto disco
esta “observando” el disco lógico por si falla alguno de los tres
discos físicos que lo componen. De esta forma podemos
obtener una doble seguridad: si un disco falla, “entra” el Hot-
spare a sustituirlo y, como es una RAID 5, todavía podría fallar
otro disco más y no perderíamos información.
HOT-SWAP. Es una expresión que significa “intercambio en caliente”.
Cuando un disco falla y tenemos que cambiarlo, nos podemos encontrar
con la situación que el disco defectuoso está colocado fijamente en el
interior del servidor y debemos parar éste último para poder extraer el disco
averiado y colocar uno nuevo, con la perdida de tiempo y dinero para la
empresa que depende de ese servidor pues no puede funcionar. Lo
adecuado es tener colocados los discos físicos en un modulo “hot-
swap” que permite fácilmente
sacar el disco averiado y, lo mas importante,
NO TENEMOS QUE PARAR EL SERVIDOR.
Estos módulos pueden ser de varios tipos,
en base a la cantidad de discos que pueden
albergar en su interior: los hay individuales,
que solo tienen un disco físico; y también
existen módulos que se puede colocar en el interior de un servidor para
albergar hasta seis discos. Si nuestras necesidades son mayores, existen
chasis externos que pueden albergar desde solo cuatro discos hasta doce o
mas discos.
RAID 0
No ofrece redundancia-> No
aumenta seguridad
Algunas definiciones no lo consideran
RAID
La información es distribuida de
forma equilibrada y transparente
para el usuario entre los discos.
Aumenta la velocidad pues se
puede leer y escribir
simultáneamente en los discos
(cada disco debe tener una
controladora independiente)
RAID 1 (mirror, espejo)
Redundancia total. Un disco
es la copia del otro.
Disponibilidad total en caso e fallo
en uno de los discos
Se utilizan en servidores
donde no prima la necesidad
de espacio sino la velocidad
de lectura ya que se puede
acceder a dato distintos en
discos diferentes a la vez.
Espacio se reduce a la mitad
RAID 5 Redundancia
Aumento en la capacidad de almacenamiento
Mínimo 3 discos.
La información de cada disco es distinta, como en el RAID0
Pero en cada disco hay un bloque de paridad (subíndice p) que
permite reconstruir sectores erróneos cuando se producen fallos
El bloque de paridad se
calcula, bit a bit, a
partir de los bloques de
datos de la misma
línea:
• Será 1 si hay un
número impar de 1’s
•Será 0 si hay un
número par de 1’s.
Actividad:
Las capacidades de los raid.
Completar el valor de los bloques incompletos
en un raid5
Los discos básicos y los discos dinámicos son dos tipos de configuraciones de disco duro en Windows.
La mayoría de los equipos personales están configurados como discos básicos.
Los usuarios avanzados y profesionales informáticos pueden emplear discos dinámicos, que usan varios discos duros de un equipo para administrar datos, normalmente para obtener un mayor rendimiento o confiabilidad (velocidad o seguridad)
DISCOS BÁSICOS vs. DINÁMICOS
Un disco básico
Usa particiones primarias, particiones extendidas y unidades lógicas para organizar datos.
Una partición formateada también se denomina volumen (los términos volumen y partición se usan por lo general indistintamente).
Los discos básicos pueden tener cuatro particiones primarias o tres primarias y una partición extendida.
La partición extendida puede contener varias unidades lógicas (se admiten hasta 128 unidades lógicas).
Las particiones de un disco básico no pueden compartir ni dividir datos con otras particiones. Cada partición de un disco básico es una entidad independiente del disco.
DISCOS BÁSICOS vs. DINÁMICOS
Los discos dinámicos:
Pueden contener un gran número de volúmenes dinámicos (aproximadamente 2000), que funcionan como las particiones primarias usadas en discos básicos. Volumen simple: Si utilizamos un solo disco para repartir el espacio no
asignado
En algunas versiones de Windows, es posible: Combinar discos duros dinámicos independientes en un único volumen
dinámico. Lo que recibe el nombre de expansión.
Dividir datos entre varios discos duros. Lo que recibe el nombre de sección, RAID 0. Para obtener un mayor rendimiento. Variante del volumen distribuido, ya que también utiliza el espacio de varios discos.
Duplicar datos entre varios discos duros. Lo que recibe el nombre de reflejo o espejo, RAID 1, para obtener una mayor confiabilidad.
RAID 5
DISCOS BÁSICOS vs. DINÁMICOS
INDICE
Seguridad en el entorno físico Ubicación y protección física
Control de acceso
Sistemas de alimentación ininterrumpida
Almacenamiento de la información
Almacenamiento redundante y distribuido RAID en Windows
Adicional: RAID en Linux
Cluster de servidores
Almacenamiento externo Network Attached Storage
Storage Area Network
Cluster de servidores
Conjunto de varios servidores que se
construyen e instalan para trabajar como si
fuesen uno sólo.
Tienen características similares, porque si no
tenderíamos a utilizar siempre el mejor
Están unidos mediante una red de alta velocidad.
Grupo de ordenadores que se unen
mediante una red de alta velocidad, de tal
forma que el conjunto se ve como un único
ordenador, mucho más potente que los
ordenadores comunes.
Cluster de servidores
Una de sus principales ventajas es que no es necesario
que los equipos que lo integren sean iguales a nivel
hardware ni que dispongan del mismo sistema
operativo, lo que permite reciclar equipos que se
encontraban anticuados o en desuso y rentabilizar su
uso mediante un cluster de servidores.
Cluster de servidores: servicios Con este tipo de sistemas se busca conseguir cuatro servicios
principales, o una combinación de varios de ellos:
Alta disponibilidad.
Alto rendimiento.
Balanceo de carga.
Escalabilidad.
Los clusters son sistemas tan fiables que organizaciones como
Google y Microsoft los utilizan para poner en marcha sus portales.
Por ejemplo, en el año 2003, el cluster Google llegó a estar
conformado por más de 15 000 ordenadores personales.
Cluster de servidores: clasificación según el servicio que prestan Atendiendo a los servicios que prestan, hay tres tipos de clusters:
Clusters de alto rendimiento (HC o High Performance Clusters).
Ejecutan tareas que requieren de gran capacidad de cálculo o del uso
de grandes cantidades de memoria. En estas tareas, los recursos del
cluster son utilizados casi en exclusiva durante periodos de tiempo
bastante largos.
Clusters de alta disponibilidad (HA o High Availability).
Con estos se busca dotar de disponibilidad y confiabilidad a los
servicios que ofrecen. Se utiliza hardware duplicado, de modo que
al no tener un único punto de fallos (aunque haya una avería en un
componente siempre habrá otro funcionando), se garantiza la
disponibilidad del sistema.
También incorporan software de detección y recuperación ante fallos.
Clusters de alta eficiencia (HT o High Throughput).
El objetivo es que se puedan ejecutar el mayor número de tareas en
el menor tiempo posible (tareas individuales cuyos datos no tienen
dependencia entre sí).
Cluster de servidores: clasificación según el ámbito de uso
Clasificación de los clusters de servidores atendiendo a su ámbito
de uso, hay dos tipos:
Clusters de infraestructuras comerciales.
Que conjugan la alta disponibilidad con la alta eficiencia.
Clusters científicos
Que en general son sistemas de alto rendimiento.
Muchas de las características de las arquitecturas de
hardware y software son las mismas en todos estos tipos de
clusters, aunque luego los requisitos de las aplicaciones que
funcionen sobre ellos sean muy distintos. Esto hace que un
tipo de cluster pueda también presentar características de los
otros.
Cluster de servidores: componentes
Componentes, que, pueden tener diversos orígenes, no
tienen por qué ser de la misma marca, modelo o
características físicas. Entre estos componentes están:
Nodos
Sistema operativo
Conexión de Red
Middleware
Sistema de almacenamiento
Cluster de servidores: componentes Nodos:
Máquinas que usamos para montar un cluster, pueden ser
pcs o servidores.
Conviene que las capacidades de todos sean similares ya
que, sino habrá cierta tendencia a enviar el trabajo a realizar
a aquel equipo que disponga de una mayor capacidad de
procesamiento.
Sistema operativo
Cualquier sistema, que tenga dos características básicas:
multiproceso y multiusuario. También conviene que sea fácil
acceder a él.
Conexión de Red
Los nodos deben estar conectados entre sí. Por una conexión
Ethernet u otros sistemas de alta velocidad.
Cluster de servidores: componentes Middleware
Software entre el sistema operativo y las aplicaciones.
Objetivo: que el usuario del cluster tenga la sensación de estar frente a un
único superordenador, ya que provee de una interfaz única de acceso al
sistema.
Se consigue optimizar el uso del sistema y realizar operaciones de balanceo
de carga, tolerancia de fallos, etc.
Se ocupa también de detectar nuevos nodos que vayamos añadiendo al
clúster, dotándolo de una gran posibilidad de escalabilidad.
Sistema de almacenamiento
Cuando trabajamos con clusters podemos hacer uso de un sistema de
almacenamiento interno en los equipos, utilizando los discos duros de
manera similar a como lo hacemos en un PC, o bien recurrir a sistemas de
almacenamiento más complejos, que proporcionarán una mayor eficiencia y
disponibilidad de los datos, como son los dispositivos NAS (Network
Attaches Storage) o las redes SAN (Storage Area Network).
INDICE
Seguridad en el entorno físico Ubicación y protección física
Control de acceso
Sistemas de alimentación ininterrumpida
Almacenamiento de la información
Almacenamiento redundante y distribuido RAID en Windows
Adicional: RAID en Linux
Cluster de servidores
Almacenamiento externo Network Attached Storage
Storage Area Network
Almacenamiento externo (NAS y SAN) DAS es el método tradicional de almacenamiento y el
más sencillo. El dispositivo de almacenamiento se
conecta directamente al servidor o estación de trabajo.
Es el caso convencional de un disco duro conectado
directamente al sistema informático.
Almacenamiento externo:
NAS (Network Attached Storage): dispositivos de
almacenamiento a los que se accede por red (protocolos
TCP/IP). Cuando un usuario necesita un fichero lo solicita al
servidor, y cuando lo recibe trabaja en local. Esta tecnología
permite balanceo de carga y tolerancia a fallos
SAN (Storage Area Network): una red SAN o con área de
almacenamiento está pensada para conectar servidores, discos
de almacenamiento utilizando fibra óptica. De esta forma un
disco no es propiedad de un servidor sino del conjunto de
servidores de la red.
Almacenamiento externo (NAS y SAN)
Almacenamiento externo:
NAS (Network Attached Storage) Son dispositivos de almacenamiento específicos, a los
cuales se accede utilizando protocolos de red, como NFS
(Sistema de archivos de red), FTP (Protocolo de Transferencia
de Archivos), CIFS (Common Internet File System nombre que
adoptó Microsoft en 1998 para el protocolo SMB). O SMB
(Server Message Block), como puedes ver en la siguiente
figura. La idea consiste en que el usuario solicita al servidor un
fichero completo y, cuando lo recibe, lo maneja localmente, lo
cual hace que este tipo de tecnología sea ideal para el uso
con ficheros de pequeño tamaño, ofreciendo la posibilidad de
manejar una gran cantidad de ellos desde los equipos clientes.
Ventajas:
El uso de NAS permite, con bajo coste, realizar balanceo de
carga y tolerancia a fallos, por lo que es cada vez más utilizado
en servidores Web para proveer servicios de almacenamiento,
especialmente contenidos multimedia.
Los sistemas NAS suelen estar compuestos por uno o más
dispositivos que se disponen en RAID, lo que permite aumentar
su capacidad, eficiencia y tolerancia ante fallos.
Almacenamiento externo:
SAN (Storage Area Network) Es una red con área de almacenamiento, está pensada para
conectar servidores, discos de almacenamiento, etc.,
utilizando tecnologías de fibra (que alcanzan hasta 8Gb/s) usando
protocolos como Isasi (Abreviatura de Internet SCSI, es un
estándar que permite el uso del protocolo SCSI sobre redes
TCP/IP).
Ventajas:
El uso de conexiones de alta velocidad permite conectar de manera
rápida y segura los distintos elementos de esta red,
independientemente de su ubicación física.
Un dispositivo de almacenamiento no es propiedad exclusiva de un
servidor, y varios servidores pueden acceder a los mismos
recursos.
Funcionamiento
Se basa en las peticiones de datos que realizan las aplicaciones al
servidor, que se ocupa de obtener los datos del disco concreto donde
estén almacenados.
Almacenamiento externo
Dependiendo de la cantidad de información manejada,
podemos elegir una u otra tecnología.
Para grandes volúmenes, sería conveniente utilizar
una red SAN
Para pequeñas compañías lo idóneo sería un
dispositivo NAS.
Esto no quiere decir que ambas tecnologías sean
excluyentes; existe, de hecho, la posibilidad de
combinarlas en sistemas cuyas características así lo
requieran.
Almacenamiento externo
Una SAN se puede considerar una extensión DE UN DAS, donde
en un DAS hay un enlace punto a punto entre el servidor y su
almacenamiento una SAN permite a varios servidores acceder a
varios dispositivos de almacenamiento, en una red compartida.
Tanto en SAN como en DAS las aplicaciones hacen sus peticiones de
datos al sistema de ficheros directamente.
La diferencia reside en la manera que dicho sistema de ficheros obtiene
los datos requeridos del almacenamiento, en DAS el almacenamiento
es local mientras que el SAN es remoto. SAN utiliza diferentes
protocolos de acceso como FIBBRE CHANEL y GIGABIT ETHERNET,
En el lado opuesto de encuentra la tecnología NAS donde las
aplicaciones hacen las peticiones de datos a los sistemas de
ficheros de manera remota, mediante protocolos CIFS y NFS .
Almacenamiento externo
El rendimiento de la SAN esta directamente relacionado con el tipo
de red que se utiliza en el caso de una red de canal de fibra el ancho
de banda es de 100MB/s y de puede extender aumentando la
cantidad de conexiones de acceso, la capacidad de una SAN se
puede extender de una manera casi ilimitada y puede alcanzar
cientos y hasta miles de TB.
Una SAN permite compartir datos entre varios equipos de la red sin
afectar al rendimiento porque el trafico SAN, esta totalmente
separado del trafico de usuarios, son servidores de aplicaciones que
funcionan como una interfaz entre la red de datos (generalmente de
fibra) y la red de usuarios (por lo general ethernet).
Una SAN es mucho mas costosa que una NAS, ya que la primera es
una arquitectura completa que utiliza una tecnología que todavía es
muy cara
Almacenamiento externo:
servicio iSCSI Internet SCSI es un estándar que permite el uso del protocolo iSCSI
sobre redes TCP/IP. iSCSI es una alternativa en los casos en los que
no es abordable la Fibra , iSCSI es menos costosa que las SAN
implementadas en fibra óptica por el elevado coste de la
infraestructura. Cuando las exigencias de transferencia y latencia son
inferiores como en los departamentos de infografía 3D o grafismo
podemos utilizar como alternativa a las SAN de fibra SAN iSCSI.
iSCSI permite a un servidor o estación de trabajo utilizar un iniciador
iSCSI (initiator) para conectar a un dispositivo iSCSI (Target) como
puede ser un cajón de discos externo de nuestro catalogo a través de
una red IP para acceder a información a nivel de bloque identica
funcionalidad que en SAN.
Desde el punto de vista del usuario los cajones de discos o cualquier
otro dispositivo iSCSI parecen estar conectados realmente como
dispositivos SCSI locales como "Discos Duros locales".