martes, 22 de noviembre de 2016

Seguridad Pasiva: Equipos

Seguridad Pasiva: Equipos.


1. Ubicación del CPD.

Los servidores se encuentran todos juntos en una misma sala. Esa sala tiene varios nombres: CDP (centro de proceso de datos), centro de cálculo, DataCenter, sala fría.. Centralizando se consigue:
  • Ahorrar en costes de protección y mantenimiento: No se necesita duplicar la vigilancia, refrigeración..
  • Optimiza la comunicaciones entre los servidores: Al estar unos con otros, no necesitan utilizar cables más largos o otros elementos que reduzcan su rendimiento,
  • Aprovechar mejor los recursos humanos del departamento de informática: No tienen que desplazarse a edificios para realizar instalaciones, sustituir tarjetas..

Al igual que es importante tomar medidas para proteger, hay que saber como actuar cuando dichas medidas fallan. Toda empresa debe de tener documentado un plan de recuperación ante desastres, donde con detalles debe especificarse que hacer frente a una caída de cualquier servicio que presta el CPD. Cuando se efectúe un cambio en el CPD, este plan de medidas debe de ser actualizado (nuevos servicios..). El plan debe incluir:

  • Hardware: Modelos de máquinas (servidores y equipamiento de red), modelos alternativos y cómo se instalarán (configuraciones y conexiones).
  • Software: Sistema operativo y aplicaciones instaladas predeterminadas, con el número de versión actualizado y las distintas opciones de configuración (permisos, usuarios..).
  • Datos: Sistemas de almacenamientos utilizados (discos locales y armarios), con dicha configuración predeterminada y cómo se hace el respaldo de datos (copias de seguridad).

1.1. Protección.

Si los servidores de apagan la empresa deja de funcionar. Por este motivo el CPD debe de estar protegido al máximo:
  • Elegiremos un edificio con baja probabilidad de accidentes naturales (terremotos, inundaciones..).
  • Evitaremos la proximidad de ríos, playas, aeropuertos..
  • Evitaremos edificios vecinos con funcionalidad de actividades peligrosas (gases inflamables, explosivos..).
  • Preferentemente elegiremos las primeras plantas del edificio.
    • La planta baja estará expuesta a impactos de vehículos, asaltos..
    • Las plantas subterráneas serán las primeras afectadas frente a inundaciones.
    • Las plantas superiores están expuestas a un accidente aéreo y, en caso de incendio iniciado en plantas inferiores, es seguro que nos afectará.
  • Es recomendado que el edificio tenga dos accesos a calles diferentes. Es recomendable evitar señalizar la ubicación del CPD para dificultar su localización a posibles atacantes. La lista de empleados que entran a esa sala es muy reducida y saben perfectamente dónde está.
  • Los pasillos que llevan hasta el CPD deben ser anchos porque algunos equipos son bastante voluminosos.
  • El acceso a la sala debe estar muy controlado. Los servidores solo interesan al persona del CPD.
  • En las paredes de la sala se deberá utilizar pintura plástica para facilitar la limpieza y se evita la generar de polvo.
  • En la sala se utilizará falso suelo y falso techo para facilitar distribuir el cableado (electricidad y comunicaciones) y la ventilación.
  • La altura de la sala será elevada para permitir el despliegue de falso suelo y falso techo como si hubiese muchos equipos en vertical, debido a que el espacio en estas salas es muy valioso.
  • En empresas con gran seguridad, el CPD, se recubre con un cofre de hormigón para protegerla de intrusiones desde el exterior.
  • Se instalarán equipos de detección de humos y sistemas de incendios.
  • El mobiliario de la sala debe utilizar materiales ignífugos.


1.2. Aislamiento.

Las máquinas situadas en el CPD utilizan circuitos electrónicos. Por los tanto son protegidos ante:

  • Temperatura: Los procesadores trabajan a una lata velocidad, por lo cual generan mucha calor. Si le sumamos la temperatura del aire, los equipos pueden tener problemas.
  • Humedad: Aparte del agua, también la humedad del ambiente puede ser dañarnos nuestros equipos. Para evitarlo utilizaremos deshumidificadores.
  • Interferencias electromagnéticas: El CPD debe estar alejado de equipos que generen estas interferencias, como material industrial o generadores de electricidad, sean nuestros o de alguna empresa vecina.
  • Ruido: Los ventiladores de los CPD generan mucho ruido (muchas máquinas trabajando), deberíamos de introducir aislamiento acústico para no afectar a los trabajadores.

1.3. Ventilación.

Los CPD no suelen tener ventanas. La ventilación que conseguiríamos sería mínima para todo el calor que se genera, y el riesgo de intrusiones desde el exterior (lluvia) no es admisible en una instalación de tanta importancia. La temperatura recomendada sería de 22 grados. Las máquinas no las necesitan, pero también hay que tener en cuenta que trabajan personas. Para ello instalaremos equipos de climatización. Se instalan por duplicado , para estar seguros ante el fallo de uno de los equipos. 
En los CPD grandes se adopta la configuración de "pasillos calientes y pasillos fríos".  Los equipos se colocan en bloques formando pasillos, de manera que todos los ventiladores que extraen el calor de la máquina (fuente de alimentación, caja de CPU) apunten hacia el pasillo. En el pasillo se colocan extractores de calor del equipo de climatización. El equipo introduce aire frío en los pasillos fríos, generalmente a través del falso suelo utilizando baldosas perforadas. Normalmente todo el cableado de potencia irá en los pasillos fríos (peligro de sobrecalentamiento) y el cableado de datos en los pasillos calientes.

1.4. Suministro eléctrico y comunicaciones.

Nuestro CPD no está aislado, necesita servicios del exterior. Los más importantes son:
  • La alimentación eléctrica.
  • Las comunicaciones.
Para ambos casos conviene contratar con dos empresas diferentes, de manera que un fallo en una compañía no impida seguir trabajando. El suministro eléctrico del CPD debería estar separado del que alimenta al resto de la empresa para evitar que un problema en cualquier despacho de ese edificio afecte a los servidores, porque están siendo utilizados por empleados de otros edificios, o por clientes y proveedores. 

Para los sistemas que las empresas no pueden permitirse ninguna interrupción del servicio, se instalará generadores eléctricos alimentados pro combustible (diésel). En cuanto a comunicaciones, conviene que el segundo suministrador utilice una tecnología diferente al primero. Si tenemos una conexión ADSL, el segundo no debería de ser igual. En todo caso combiene tener una tercera conexión por si el problema ocurre en la calle (obras).

1.5. Control de acceso. 


Los CPD son necesarios para la empresa y solo tienen acceso un grupo reducido de especialistas. El acceso a esta sala debe de estar muy controlado. No podemos consentir que algún individuo se lleve alguna máquina o componente (discos duros, cintas backup), ni dejarle dentro si no tiene permiso. Se implantan identificaciones habituales (contraseñas, tarjeta de acceso..) para una mayor seguridad. En instalaciones importantes de CPD, suelen tener vigilantes de seguridad. En la sala se suele instalar una red de sensores de presencia y cámaras para detectar visitas de intrusos.




 2. Centro de respaldo.

A pesar de protección, también hay que pensar en la posibilidad de que ocurra una catástrofe en el CPD y quede destruido (inundaciones, terremotos..). La empresa no puede depender de un punto único de fallo. Si disponemos de presupuesto suficiente, debemos instalar un segundo CPD. Un centro de respaldo (segundo CPD), ofrece los mismos servicios que el principal. Si la versión de hardware es elevada, puede limitarse a los mismos servicios pero con menos prestaciones. Debe de estar alejado del CP (cuantos más kilómetros, mejor). 

Normalmente, el CR está parado (stand-by) esperando que la empresa pueda necesitar detener el CP y activar el CR como nuevo CP. Los trabajadores, empleados, etc, no deberían de notar el cambio. Para ello toda información del CP, está también en el CR. Esto incluye la configuración de los servicios pero, sobre todo, los datos modificados en el último momento, antes de la conmutación de centros. No es suficiente con recuperar la última copia de seguridad del CP (la configuración puede ser distinta). Debemos habilitar mecanismos especiales de réplica, en especial para las bases de datos, que son más complejas que los sistemas de ficheros. Pero esto necesita de muy buenas comunicaciones entre el CP y el CR, por lo tanto la distancia puede ser un problema.
En el plan de recuperación frente a desastres, puede haber circunstancias que nos lleven a conmutar el CR al CP sean urgentes y no haya tiempo para saber como se hace. Todo este procedimiento debe de estar documentado detalladamente, así como la recuperación del CP. Es conveniente probarlo una vez al año para confirmar los pasos a seguir y si el personal está capacitado para ejecutar bien los pasos.

Los equipos principales y el centro de respaldo constituyen los centros de producción de la empresa. Están en funcionamiento para dar servicio a los empleados, clientes y proveedores. No son las únicas salas con servidores y equipamiento de red. Cualquier cambio en las aplicaciones corporativas o la web de la empresa no puede instalarse directamente en las máquinas de producción, porque un fallo no detectado puede bloquear algunas áreas de la empresa. Primero se prueba en un entorno controlado (maqueta de preproducción). El personal de la empresa aplica el cambio. En ese momento hay un contacto directo con el suministrador del software para resolver inmediatamente cualquier problema.

3. SAI/UPS.

La corriente es necesaria para un ordenador. No podemos confiar en la empresa con la que hemos contratado el suministro eléctrico, tenemos que pensar en alternativas. Podemos contratar un segundo suministrador o disponer de un generador propio. En el CPD nunca debe de faltar un SI (sistema de alimentación ininterrumpida).

Un SAI es un conjunto de baterías que alimentan una instalación eléctrica (equipos informáticos). Si se corta la corriente, los equipos conectados al SAI siguen funcionando porque consigue electricidad de las baterías. La capacidad de estas baterías es reducida depende del SAI elegido y del consumo de los equipos, el mínimo suele ser diez minutos. A la hora de adquirir uno de ellos debemos de tener en cuenta que protege y cuánto tiempo.

Si el presupuesto lo permite, para los equipos de climatización conviene instalar un doble juego de equipos SAI, por si alguno falla. Esto es debido a que la mayoría de los servidores disponen de doble fuente de alimentación y conectaríamos una fuente a cada grupo de SAI. El SAI procede de la siguiente manera si se corta la luz:

  • Espera unos minutos por si el corte ha sido puntual y el suministro se recupera inmediatamente por sí solo.
  • Si no es así, ejecuta una parada ordenada de los equipos conectados al SAI. Siempre es mejor solicitar una parada al sistema operativo y las aplicaciones que ejecuta que perder la corriente y confiar en que no se genere ninguna inconsistencia.
Conectar los equipos al SAI tiene otras ventajas:
  • Suelen llevar un estabilizador de corriente.
  • En algunos, incluyen una entrada y salida de cable telefónico, que sirve para proteger nuestra conexión.

3.1. Tipos.

Veamos los diferentes tipos de SAI:
  • SAI en estado de espera: Los ordenadores toman corriente del suministro principal, mientras el SAI vigila que ese suministro fluya. Cuando ocurre un corte, el SAI activa inmediatamente sus baterías para que los equipos no se vean afectados. A partir de ese momento el SAI ejecuta los pasos del punto anterior. Cuando vuelve la corriente, desactiva la generación de corriente propia y empieza a cargar las baterías.
  • SAI en línea (on-line): Los equipos siempre están tomando corriente de las baterías del SAI. Cuando ocurre un corte, el SAI se limita a aplicar los tiempos de espera. Cuando vuelve la corriente, empieza a cargar las baterías.
La ventaja principal del SAI en línea, es que no dependemos del tiempo de respuesta para activar las baterías.

La ventaja principal del en espera es que podemos evitar sustituir las baterías sin detener el suministro de los equipos conectados.

3.2. Monitorización.

Conviene revisar el estado del SAI. Sulen incorporar indicadores luminosos en el frontal (si está cargando, descargándose, pocertaje de batería). Sin embargo es una información puntual y solo disponible si se está delante del equipo. Para mejorar esto suelen incorporar un puerto de conexión con un ordenador. no solo comprueba el estado actual, sino todas las veces que ha actuado en el pasado reciente. Por supuesto, ese ordenador debe estar protegido, sea por este SAI o por cualquier otro. Los elementos apreciables suelen ser.

  • Una primera columna que el tipo de evento. Puede ser informativo o una alerta.
  • Fecha y hora en que ocurrió el evento. Es importante para asociarlo a otros sucesos ocurridos: caída de alguna máquina, corte de líneas de comunicaciones, etc.
  • Descripción del evento: El arrancado del ordenador.

 3.3. Triggers.

A pesar de la monitorización, incluye la configuración de los comandos para responder ante un corte de corriente. Consiste en realizar una parada ordenada de los distintos equipos protegidos. Las opciones principales son:

  • Cuándo hacerlo: En un determinado momento o cuando detecte que la carga de la batería está baja.
  • Qué hacer: Suspender o apagar el sistema.
  • Qué comando ejecutar antes de empezar el apagado: Aprovecharemos para apagar las otras máquinas conectadas a dicho SAI.
Además se puede configurar un aviso por correo a los administradores del sistema. Introduciremos los datos del correo donde tenemos la cuenta (usuario y contraseña), la dirección del destino y lista de eventos que deseamos informar.

3.4. Mantenimiento.

Las baterías se gastan con el tiempo y cada vez ofrecen peor rendimiento. El software del SAI nos ayuda a este aspecto:

  • Permite lanzar determinados test para comprobar la degradación actual de las baterías. Si no es suficiente para garantizar la parada ordenada de los equipos protegidos, debemos cambiarlas. Solo la cambiarán el personal especializado (contiene productos químicos peligrosos).
  • Operaciones automáticas de descarga controlada (aumenta la vida de las baterías).
Cambiar las baterías de un SAI de tipo stand-by porque mientras tanto los equipos seguirán alimentados. Pero en un SAI on-line perderemos la alimentación, por lo que es necesario detener los equipos. Este aspecto puede ser crítico en una empresa que no pueda permitirse ninguna parada.

Los SAI empresariales suelen adoptar una configuración modular: no utilizan pocas baterías
grandes, sino muchas baterías pequeñas, de manera que podemos cambiar fácilmente una batería sin afectar la carga total ofrecida por el equipo y conseguir escalabilidad.

La escalabilidad consiste en que el cliente compra un bastidor con capacidad de alojar muchas baterías, y lo va rellenando según aumenta el número de equipos protegidos.


Información: PDF, Wikipedia.
Vídeo:

Publicado por en No hay comentarios:

miércoles, 2 de noviembre de 2016

Criptografía

Criptografía

1. ¿Por qué cifrar?.

Partidos políticos, información personal sobre personas, fórmulas de nuevos medicamentos.. Toda la información anterior es importante. esta información es necesario compartirla con otras personas. El autor del documento (emisor), debe transferirlo al soporte (disco duro, CD..), y hacerlo llegar al destino (receptor) mediante un canal de comunicación (fax, correo electrónico). En ese canal puede que haya terceras personas con la finalidad de interceptar el mensaje para hacer una copia. Es prácticamente imposible asegurar el mensaje. La finalidad es que la información esté cifrada y no puedan leer nada. Esto se denomina criptografía. Veamos los diferentes mecanismos de comunicación:
  • Voz mediante teléfono fijo o móvil. 
  • Datos por línea digital (ADSL, fibra..)
  • Apertura de redes internas de las empresas para que puedan trabajar sus trabajadores, clientes y otras empresas, a través de Internet.
Todas esas conversaciones utilizan redes compartidas con otros usuarios y administradas por otras empresas que no son nuestras.

2. Criptografía.

En griego significa ocultar, escribir. Se puede traducir como mensaje oculto. Consiste en tomar el documento original y aplicarle un algoritmo cuyo resultado es un nuevo documento. Este documento estará cifrado (no puede ser entendido ni leído, pero llegará al destino que sabrá aplicar dicho algoritmo para recuperar el documento original. Realmente hace falta algo más que un algoritmo, debido a que el enemigo puede conocerlo. La privacidad la conocemos gracias a la clave del algoritmo (conjunto de valores que, combinados con el documento original y como se indica en el algoritmo, general un documento cifrado de tal forma que , solo con ese documento, es imposible deducir el documento original y la clave. Las claves de combinaciones son (letras, números, signos..) por lo tanto nuestra seguridad esta expuesta a ataques de fuerza bruta (recordamos que intenta probar todas las combinaciones posible para cifrar la contraseña). Para evitarlo, aplicaremos las siguientes
medidas:
  • Utilizar claves de gran longitud.
  • Combinar regularmente la clave.
  • Utilizar todos los tipos de caracteres posibles.
  • No utilizar palabras fácilmente identificables.
  • Detectar repetidos intentos fallidos en un corto intervalo de tiempo.


 3. Criptografía simétrica y asimétrica.

La criptografía simétrica utilizan la misma clave para los dos procesos (cofrar y descifrar). Son sencillos de utilizar y resultan bastantes eficientes. Cuando el receptor recibe el documento cifrado, se aplico el algoritmo con dicha clave pero en función descifrar. Si el documento no a sido alterado en el camino y la clave es la misma, el resultado será el documento original. El problema de la criptografía simétrica es la circulación de las claves (como conseguimos que el emisor y y el receptor tengan la clave buena). No podremos utilizar el mismo canal inseguro por el que enviaremos el mensaje. Debemos de utilizar un segundo canal de comunicación, que también había que proteger y así sucesivamente. El segundo problema es la gestión de claves almacenadas. La criptografía asimétrica resuelve dos principales problemas:
  • No necesitamos canales seguros para comunicar la clave que utilizaremos en el cifrado.
  • No hay desbordamiento en el tratamiento de claves y canales.
Los algoritmos asimétricos tienen sus propios problemas:
  • Son pocos eficientes.
  • Analiza paquetes cifrados.
  • Hay que proteger la clave privada.
  • Necesitamos una copia de seguridad del llavero.
  • Hay que transportar la clave privada.
La solución más común a los problemas de proteger y transportar la clave privada es la tarjeta inteligente. La tarjeta de plástico contiene un chip electrónico. Hay dos tipos:
  • Tarjetas de memoria: Equivale a memoria Flash y se limita a almacenar el llavero.
  • Tarjeta procesadora: Las claves también están almacenadas, pero nunca sale de ella.
Las tarjetas inteligentes se pueden clasificar por el tipo de interfaz:
  • Tarjetas de contacto: Contactos metálicos del chip para interactuar con él.
  • Tarjetas sin contacto: Utiliza tecnologías inalámbricas para interactuar con el chip.
4. Cifrar y firmar.

La primera utilidad de la criptografía consiste en garantizar la confidencialidad de las comunicación cifrando un determinado documento. La segunda utilidad es conseguir determinar la autenticidad del emisor. En la criptografía asimétrica, el mecanismo de firma garantiza que el emisor es quien dice ser. El emisor aplica al documento una lista de caracteres. El emisor cifra ese resumen con su clave privada y lo envía al destino, junto con el documento original. En el destino se producen dos operaciones: 
  • Aplica la misma función hash al documento para obtener dicho resumen.
  • Descifra el resumen recibido, utilizando la clave pública del emisor.
Si ambos resúmenes coinciden, el destino está seguro de que el documento es el mismo que el dueño de la clave pública que acaba de aplicar para descifrar el documento recibido. Si queremos que el documento original no sea interceptado en la transmisión desde el emisor al receptor, debemos de cifrarlo. Para ello usamos la clave pública del receptor. Así se realiza:
  • El emisor aplica la función hash.
  • El emisor toma su clave privada para aplicar el algoritmo asimétrico. Como resultado, el documento es cifrado.
  • El emisor toma la clave pública del receptor para aplicar el algoritmo asimétrico al documento original y al documento resumen. Como resultado, el documento conjunto es cifrado, se envía al receptor.
El mecanismo de firma también se utiliza en las comunicaciones de datos para garantizar al servidor que somos clientes de confianza, así evitaríamos introducir usuario y contraseña. El servidor debe de tener almacenada la clave pública del cliente.

5. PKI. DNIe.

PKI, todo lo necesario, tanto de hardware como software, para las comunicaciones seguras mediante el uso de certificadas digitales y formas digitales. eEn la comunicación segura entre cliente y servidor
aparecen diversos interlocutores:
  • Autoridad de Certificación (CA): Emite certificados.
  • Autoridad de Registro (RA): Asegura que el certificado del solicitante es de quien dice ser.
  • Autoridad de Validación: (VA): Responsable de la validez de certificados digitales.
  • Los repositorios: Almacenes certificados.

El funcionamiento es el siguiente:

  • Durante el inicio de la sesión, el servidor envía su clave pública al cliente para que cifre el diálogo que van comenzar, pero el cliente antes comprueba que el servidor es quien dice ser.
  • El servidor lo ha supuesto y ha enviado, junto con su clave pública, la firma digital de esa clave.
  • El cliente verifica que forma, si ésta es correcta, la clave pública del servidor también lo es.
Por tanto para que funcione se necesitan dos pasos:
  • El servidor a conseguido que una autoridad de certificación firme su clave pública.
  • el cliente dispone de la clave pública de dicha autoridad dentro de su llavero de claves asimétricas.
Como todo en la seguridad informática, la PKI no es del todo perfecta, todavía disponemos de dos vulnerabilidades:
  • Un virus en nuestro ordenador puede alterar el depósito de claves, e importar sin nuestro consentimiento claves públicas. Una conexión segura a un servidor mediante la autoridad de certificación no es fiable.
  • Un ataque a los servidores podría probar su clave privada. El atacante puede firmar claves públicas de servidores peligrosos y los clientes se conectan con ellos confiando en que la forma es legal.



Bibliografía: PDF Tema 2.

Vídeo, Criptografía:



Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)