Bases de Datos Sistemas de Almacenamiento
-
Upload
automoto-aficionado-peru -
Category
Documents
-
view
214 -
download
0
Transcript of Bases de Datos Sistemas de Almacenamiento
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
1/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
2/92
Sistemas de Archivo Topologas de almacenamiento en red Sistemas RAID
Grid Computing y Sistemas en Clster
Gestin de la seguridad Seguridad fsica Seguridad lgica
Plan de seguridad Copias de respaldo LOPD 15/1999
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
3/92
SSA: Serial Storage Architecture (IBM) Arquitecturapropietaria de IBM capaz de almacenar 11 TBytes contasas de transferencia de 80 Mbps.
Arquitectura Dual Port Full Duplex a 20MbpsFullDuplex x 2Dual (doble anillo) x 280 Mb
DAS: Direct Attached Storage.
SAN: Storage Area Network. Red adicional a la LAN
donde se colocan los dispositivos de almacenamiento.Implementacin con: Fibber Channel Giga Ethernet (iSCSI) (solucin mas econmica)
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
4/92
SAN Inconvenientes: - No permite conectar dispositivos de distintos proveedores - Coste alto
Ventajas: - Almacenamiento centralizado. - Alta disponibilidad - No interfiere en la LAN. No introduce retardos
NAS:Network Attached Storage. Si permite lacomparticin de ficheros entre distintas plataformas
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
5/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
6/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
7/92
Dispositivos NASUtilizan un protocolo IP para suministrar los archivos a losclientesSe asemejan a los servidores de red que suministran losarchivos a los clientesSuministran los archivos previa solicitudLa conexin entre los dispositivos NAS y la red se realiza a
travs de EthernetServidor destinado exclusivamente al almacenamiento dedatos (array de almacenamiento) que se conecta a la red.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
8/92
Redes SANUtilizan un protocolo SCSI para suministrar losbloques de datos a los servidores.
Son un medio de almacenamiento adicional para losservidoresSe limitan a conceder el acceso directo a los discosLa conexin entre los servidores y la red SAN se
establece a travs de SCSI o canal de fibra.Es una red
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
9/92
(Redundant Array of Independent or Inexpensive Disks)
La gestin de los sistemas RAID no es accesible por el
usuario, pudiendo ser gestionada por hardware(tarjetas RAID) o por software (sistema operativo).Como suele ocurrir, el mtodo ms eficiente (pero mscostoso econmicamente) es el que utiliza tarjetas
hardware, debido a que desocupa a la CPU de lastareas RAID.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
10/92
A continuacin enumeraremos los niveles RAID mshabituales:
RAID 0"Disk Striping" o Discos en bandas: RAID 1:(disk mirroring, discos en espejo). RAID 2:Cdigo Hamming. RAID 3: Paridad RAID 4:Paridad . RAID 5: Similar al nivel 4 RAID-10: RAID-0 "Striping" y RAID-1 "Mirroring". RAID-7: Definido por Compaq e IBM como "Hotspare".
grupo
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
11/92
RAID 0 (disk striping, discos en bandas). En este nivel,la informacin se distribuye entre todos los discos queforman el conjunto RAID, proporcionando una mayor
velocidad en las transferencias debido al trabajoconjunto de todos los discos para acceder a un mismoarchivo. No obstante, si falla alguno de los discosperderemos toda la informacin. La implementacinde RAID 0 precisa de 2 discos como mnimo
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
12/92
RAID 1(disk mirroring, discos en espejo). Basado en elempleo de discos para duplicar la informacin. Coneste mtodo, cada vez que se escriba en un disco,deber grabarse la informacin en su disco copia paramantener la coherencia. A diferencia del mtodoanterior, si en ste falla un disco, el sistema podrcontinuar funcionando sin detenerse.
Es habitual implementar RAID 1con 2 discos. Este sistema permiteuna capacidad dealmacenamiento igual a la mitadde la capacidad total de los discosde que disponemos
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
13/92
RAID 2Ofrece deteccin y correccin de erroresen losdiscos mediante la utilizacin de cdigos deHamming. Este nivel est incluido en la actualidad enlos propios discos, por lo que ha dejado de ser unsistema a elegir por el usuario.
CODIGO HAMMING: es un cdigodetector y corrector de errores
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
14/92
RAID 3. Emplea un disco para almacenar la paridad. Lainformacin se distribuye a nivel de bits entre los distintosdiscos. Si un disco falla, la informacin se reconstruiramediante la operacin O-exclusiva (XOR) de los discosrestantes. Son necesarios un mnimo de 3 discos para
implementar un RAID 3. Todos los discos funcionan a lavez, lo que hace bajar el rendimiento con sistemastransaccionales (mltiples accesos sobre pequeascantidades de datos).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
15/92
RAID 4.Utiliza un disco para el almacenamiento de laparidad, al igual que el anterior; sin embargo, los datosse distribuyen a nivel de bloque(en lugar de a nivel debits) y se puede acceder a cada disco de formaindividual. Este hecho mejora el rendimiento ensistemas transaccionales.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
16/92
RAID 5. La paridad se almacena entre todos los discos,eliminando el excesivo uso del disco de paridad quehacan los dos niveles anteriores. Este mtodo es elms eficiente, ofreciendo la mayor tasarendimiento/coste y el menor coste por megabyte deinformacin. Se necesitan al menos 3 discos para sudesarrollo; no obstante, el funcionamiento ptimo sealcanza a partir de los 7 discos.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
17/92
imagina que se perdiera el disco 2. Llega una peticin delectura de la lnea D. Podra realizarse? Quinformacin devolvera?
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
18/92
RAID-10: RAID-1 Mirroring y RAID-0 " "Striping" ".
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
19/92
RAID-01: RAID-0 "Striping" y RAID-1 "Mirroring".
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
20/92
NivelRAID Aplicaciones Ventajas Inconvenientes
0Altas prestaciones
sin redundancia
Incremento velocidad de
acceso
No resuelve el
problema de fiabilidad
1
Gran porcentaje de
escritura sobre
lectura
Alta disponibilidad
Coste de duplicar el
almacenamiento y no
mejora la velocidad de
acceso
2
Menor porcentaje de
escritura sobre
lectura
Grabacin de datos en
distintos discos
simultneamente
Divisin a nivel de BIT
3 Cientficas
Ms eficaz respecto nivel
2 al almacenar datos de
redundancia
Muchas operaciones
E/S sobrecargan y
ralentizan el sistema
4Pequeos bloques de
datos
Permite que ms de una
operacin E/S est activa
sobre los datos
Acceso en paralelo a
los discos pero no
simultneo
5 Transaccionales
Cada disco acta de
forma independiente.
Gran aumento de
velocidad con pequeasop. E/S
Descenso del
rendimiento de
operaciones de
escritura
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
21/92
CLUSTERING: Mquinas con infraestructura de redlocal. Un clster est compuesto por 2 o msordenadores conectados de forma que se comportancomo una nica mquina. Tcnica de clustering para
procesado paralelo, el balanceo de carga, y latolerancia a fallos. Amortizacin de PCs.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
22/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
23/92
Mquinas con infraestructura de red de rea Extensa(WAN). Sistema de computacin distribuida.Experimental. Esta red usa los ciclos de proceso de losdistintos ordenadores que la forman para resolver
problemas muy complejos para ser resueltos por unasola mquina.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
24/92
GriPhyN: Proyecto EEUU de fsica. SETI@home: anlisis de seales buscando patrones
inteligentes extraterrestres.
Red EDG (grid de datos europea) con el apoyo delCERN.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
25/92
La informacin ha pasado a ser un activo crtico que lesirve a las organizaciones en distintos grados: desdeuna base de datos con la informacin de todos lostrabajadores hasta los sistemas de ayuda a la decisin
que les sirven a los directivos para la planificacinestratgica.
Es necesario salvaguardar la informacin para el buenfuncionamiento de la empresa as como evitar que loscompetidores tengan ventajas.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
26/92
Activo: recursos del sistema de informacinnecesarios para que la organizacin funcionecorrectamente y alcance sus objetivos.
Clasificados en: Entorno, SI (HW + SW +Comunicaciones), Informacin, Funcionalidades yotros.
Amenaza: eventos que pueden desencadenar un incidente,produciendo daos sobre los activos. Tipos: Accidentales,Intencionadas, Presenciales y Remotas.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
27/92
Vulnerabilidad: posibilidad de ocurrencia de lamaterializacin de una amenaza sobre un activo. Se midepor la probabilidad de ocurrencia o por la frecuenciahistrica.
Impacto: consecuencia en un activo de la materializacinde una amenaza. Mide la diferencia del estado de seguridaddel activo antes y despus del impacto, si no hay diferenciano hay impacto.Tipos: cuantitativos (perdidas econmicas), cualitativos con
perdidas funcionales (reduccin de los subestados ACID ytrazabilidad en datos) y cualitativos con perdidas orgnicas(responsabilidad penal, imgen, dao a personas, etc.) El daoes absoluto independientemente de su probabilidad.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
28/92
Riesgo: posibilidad de que se produzca un impactodeterminado en un activo, en un dominio o en toda laorganizacin. Riesgo Intrnseco (antes de aplicar salvaguardas o sea sin
protecciones), residual (despus de aplicar salvaguardas),
umbral de riesgo (base para decidir si el riesgo calculado esasumible).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
29/92
La seguridad informtica se basa en lapreservacin de los requisitos ACID:
Autenticacin:Se puede asegurar cul es el origen yel destino de la informacin. Esto se puede solucionarmediante la firma digital.
Confidencialidad: La informacin nicamente serconocida por las personas autorizadas. Esto se puedesolucionar con tcnicas criptogrficas.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
30/92
Salvaguarda: accin que reduce el riesgo y
dispositivo lgico o fsico capaz de reducir el riesgo.
Preventivas actan sobre la vulnerabilidad con anterioridad ala agresin (formacin, informacin, disuasin, deteccin)
y Curativas actan sobre el impacto reduciendo sugravedad, con posterioridad (correccin, recuperacin).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
31/92
Integridad:Garantizar que la informacin no semodifica cuando se est enviando, es decir que llega aldestino sin haber sido alterada. Esto se puedesolucionar con tcnicas criptogrficas.
Disponibilidad:La informacin ha de estardisponible para las personas autorizadas, evitndose
las prdidas de datos.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
32/92
Adicionalmente se pueden considerar otros aspectosadicionales, relacionados con los anteriores:
No repudio: Cualquier entidad que ha enviado orecibido informacin no puede negar este hecho. Estoes importante sobre todo en el comercio electrnico ybanca.
Auditoria:Indica las acciones o procesos que se llevana cabo en el sistema, as como quin y cuando lasrealiza.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
33/92
Conjunto de requisitos de seguridad del sistema deinformacin y controles necesarios para alcanzarlos.Todo ello marcando las responsabilidades ycomportamiento de todo el personal que accede al
sistema. Comprende un conjunto de normas, reglas yprcticas.
Debe contener una estrategia de prevencin (proactiva)y una de correccin (reactiva)
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
34/92
La gestin de la seguridad analiza los requisitos deseguridad que deben cumplir los sistemas, paraelaborar una estrategia que permita mantener yadministrar los mismos proporcionando un nivel de
seguridad adecuado. Dicha estrategia es el plan deseguridad.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
35/92
La gestin de la seguridad tiene las siguientes etapas:
Establecer objetivos y estrategias
Anlisis y Gestin de los riesgos Implementacin del Plan de seguridad
Mantenimiento
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
36/92
Creando la estructura organizativa adecuada e implicando alos altos niveles de la organizacin.
Para la identificacin de objetivos o requisitos de seguridad: Marco legal: LOPD, RD 994/99, RD 263/96, RD 209/03 Requisitos y objetivos particulares Las posibles estrategias que se van a tomar respecto a las
posibles amenazas de seguridad son:
Evitar el riesgoTransferir el riesgoMinimizar el riesgoAceptar el riesgo sin control
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
37/92
Evitar el riesgo, para ello se aplican las medidas desalvaguarda oportuna. P.e: respecto a los fallos decorriente, una medida sera los sistemas SAI dealimentacin ininterrumpida.
Transferir el riesgo, para que otro lo trate. P.e:contratar un seguro.
Minimizar el riesgo,para que una vez que se haproducido el ataque tenga menos consecuencias. P.e:
plan de contingencias. Aceptar el riesgo sin control.Porque se presupone
que la posibilidad de que ocurra es mnima.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
38/92
Anlisis y Evaluacin de Riesgos (AER): aproximacincuantitativa (se basa en la probabilidad de ocurrencia ydao producido; se calcula como:
Coste Anual Estimado=probabilidad de prdida*prdidaeconmica ocasionada
y aproximacin cualitativa (estimacin de prdidas
potenciales: obtiene el riesgo asociado a un activo, o sea,posibilidad de que una amenaza se materialice en un activoy produzca un impacto) en un contexto dado.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
39/92
Hay que tener en cuenta factores como el tiempo(cunto ms tiempo se tarde en implantarse
peor),
econmico(es antieconmico que una salvaguardacoste ms que el propio activo),
tcnico (debe ser una medida que se adecue a lossistemas existentes).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
40/92
basadas en los resultados del AER y debe contener lassalvaguardas seleccionadas para alcanzar el nivel deseguridad deseado
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
41/92
Por ltimo se procede a laElaboracin del Plan de Seguridad
DEFINICIN DE OBJETIVOS Y
ESTRATEGIAS
ANLISIS Y GESTIN DERIESGOS
ELECCIN DE MEDIDAS AADOPTAR
SEGURIDADPREVENTIVA
PLAN DECONTINGENCIAS
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
42/92
a la vez que se implementa el Plan de Seguridad, se debeformar al personal y al usuario final en su uso yconocimiento de las salvaguardas
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
43/92
Debe de hacerse un mantenimiento continuo queincluya pruebas sobre el plan de seguridad peridicas
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
44/92
Descripcin detallada de cmo debe reaccionar laorganizacin para asegurar la continuidad del Sistemaante determinados eventos, ya sea estos accidentales odeliberados.
Establece pautas detalladas para asegurar la continuidaddel servicio informtico o su restauracin en el menortiempo posible.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
45/92
Sus objetivos bsicos son:
Minimizar al mximo las interrupciones en la
operatividad normal del sistema. Limitar la extensin de los daos que se produzcan.
Posibilitar la rpida vuelta al servicio.
Ofrece a los trabajadores unas normas de actuacin
frente a casos de emergencia, provee de mediosalternativos en caso de catstrofe.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
46/92
Su elaboracin debe tener en cuenta la magnitud delriesgo, las interdependencias entre aplicaciones, lasprioridades de los distintos elementos y el valor decada elemento para la organizacin.
Un plan de contingencias est compuesto por un
plan de emergencias (que contiene un plan de
evacuacin), un plan de recuperacin
y un plan de respaldo.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
47/92
Se deben realizar los siguientes pasos:
1. Definicin de Polticasde Contingencia2. Anlisis del impacto: se considera que las
salvaguardas han sido superadas y se ha producido elimpacto, se deben identificar los recursos crticos, losimpactos y tiempos de discontinuidad asumibles(punto ptimo de recuperacin) y establecer lasprioridades de recuperacin.
3. Recuperacin: backups (de que ficheros, que tipo(total, incremental o diferencial), con qu frecuenciarealizarlos, qu medios de almacenamiento, etc.)
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
48/92
-Un backup totaldebera siempre guardarse en un lugar seguro (off-site). En un back-up total, se almacenan en la cinta todos los datos.(contenido del disco, ficheros de seguridad, control, configuracin,etc.) Generalmente es semanal.
-Con un back-up diferencial, se almacenan los datos modificadosdespus del ltimo back-up total realizado. Es decir con el ltimo
Back-Up total y el ltimo diferencial se tiene restaurada la informacin. -Con el back-up incremental, se almacenan todos los datos
modificados desde el ltimo back-up total, diferencial o incremental(se almacenan slo los datos modificados desde el ltimo back-up). Elback-up incremental es ms veloz pero la recuperacin de datos desdeuna serie de back-ups incrementales ser ms lenta, ya que requiere elltimo Back-Up total y cada uno de los incrementales.
Adems se puede complementar con salvado automtico en disco paraaquellos ficheros que se crean y borran accidentalmente en el da sinoportunidad de haber hecho algn back-up-
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
49/92
4. Evaluar Costes5. Desarrollo del Plande Contingencias6. Pruebas: permite encontrar las
deficiencias y evaluar la efectividad,asimismo es crucial el entrenamiento delpersonal en la ejecucin de los
procedimientos7. Mantenimientocontinuo. Probar el
Plan con cierta periodicidad.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
50/92
Es una gua en la que se recogen las normas de actuacindurante o inmediatamente despus de producirse un fallo.Consta de:
Acciones inmediatas:SF --Parar equipos, usar extintores,SL --mantener la consistencia de la BBDD, llamar al
jefe de sala...
Acciones posteriores:
SF --Acciones de salvamento, valorar daos, elaborarinformes.SL -- Relanzar procesos y Sistema Operativo, valorar
daos, usar copias de seguridad...
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
51/92
Plan de Recuperacin (Disaster Recovery Plan): Parte delPlan de Contingencias que desarrolla las normas aseguir para reiniciar las actividades crticas de procesoen caso de desastre, o dicho de otro modo para volver a
los niveles de SLA, bien en el mismo CPD o en un CRR
Incluye: propsito, alcance, bases, equipo, el responsablede activar el plan (Crisis Manager), tareas de los
miembros del equipo, procedimientos para evaluacinde daos, mantenimiento o sustitucin de equiposdaados, copias de seguridad, traslados y vuelta alcentro inicial, esto incluye un Plan de Migracin.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
52/92
Merecen especial atencin las aplicaciones de 24x7, oque causen prdidas econmicas o de credibilidad antelos clientes o usuarios.
Diferentes estrategias de recuperacin: Salvado y restauracin: (Back-Up and Restore). Realizarbackups diarios a horario fijo teniendo en cuenta un
salvado en caliente de bases de datos e incluso salvadode datos de usuario. Para servicios 24x7 o donde no esposible tener una ventana de mantenimiento se utiliza
el siguiente nivel. Es importante establecer la poltica deBack-Up, es decir cunto tiempo se conserva lainformacin antes de sobrescribirla.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
53/92
Journaling y commitment control: Capturar los cambiosde datos, es decir Back-Up incrementales o diferenciales.
UPS o No-Break: uso de SAIspara evitar el fallo abruptoen la energa elctrica. Y dar control al SAI para el
apagado de sistemas antes de que su energa se agote. Redundancia en discos: Sistemas RAIDpara recuperar la
informacin en caso de prdida de un disco. Por ejemploRAID 0 para el Sistema Operativo y RAID 5 para datos.
Sistemas Mltiples: equipos redundantes que permitenla conmutacin entre ellos (Servidores en clster).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
54/92
Se definen los elementos y procedimientos necesariospara operar en el centro de respaldo y mantener en lla seguridad de la informacin.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
55/92
Van a determinar como se van a seleccionar los controles ymedidas de seguridad para alcanzar los requisitos deseguridad
Hay tres formas de realizar esta seleccin: Lnea Base: se seleccionan un conjunto de salvaguardas
para alcanzar un nivel bsico de proteccin, se basan enmetodologas o normas ya definidas Anlisis de riesgos detallado: identifican y seleccionan las
salvaguardas de acuerdo con las necesidades estudiadas paracada sistema, esto da un nivel adecuado de seguridad para cadasistema, pero es ms caro en esfuerzo y en tiempo
Mixta: se separan los sistemas crticos o con alto nivel de riesgodel resto, aplicando la primera seleccin a los segundos y elanlisis detallado a los primeros.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
56/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
57/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
58/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
59/92
Robos, desperfectos, desastres naturales, instalacioneselctricas defectuosas, etc.Plan de seguridad fsica: Una enumeracin de los recursos fsicos que se deben
proteger. Un estudio del rea donde se encuentran los recursos. Una descripcin del permetro y de los problemas
potenciales o desventajas de colocar los equipos en l. Una relacin de las amenazas de las que hay que
protegerse. Un informe de las defensas y cmo mejorarlas. Un presupuesto.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
60/92
Las amenazas que afectan a cualquier empresa son lassiguientes:
Vndalos. Ladrones.
Empleados o ex empleados.
Proveedores.
La propia naturaleza.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
61/92
Entre los riesgos a tomar en cuenta en la seguridadfsica destacan los siguientes:
Fuego, humo , polvo, Terremotos, Explosiones, Insectos ,Ruido elctrico, Tormentas , Vibraciones, Humedad,
Agua , Presencia de comidas y bebidas, Acceso fsico,Actos de vandalismo, Robos, Espionaje
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
62/92
Contra estos riesgos se pueden tener en cuenta lassiguientes medidas de proteccin:
Ubicacin fsica Instalaciones fsicas de la empresa Control de acceso fsico Aire acondicionado Instalacin elctrica Riesgo de inundacin Proteccin, deteccin y extincin de incendios
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
63/92
Una vez tomadas dichas medidas se debe comprobar que realmenteson efectivas y que ante una catstrofe se van a poner en marcha.A este proceso se le denomina auditoria de la seguridad fsica.
El auditor fsico en su trabajo realiza las siguientes tareas:
Acopio de datos.
Anlisis de riesgos y amenazas.
Trabajo de campo:Anlisis de instalaciones.
Anlisis del personal.Informe de la situacin actual.
Propuesta de acciones a tomar, valoradas econmicamente.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
64/92
El auditor, una vez acabada la inspeccin deber emitirsu informe que incluya:
Informe de Auditoria detectando riesgos y deficiencias
Plan de recomendaciones a aplicar en funcin de:
Riesgos
Normativa a cumplir
Costes estimados de las recomendaciones
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
65/92
La Seguridad Lgica consiste en la aplicacin de barreras y procedimientos queresguarden el acceso a los datos y slo permitan acceder a ellos a personasautorizadas para hacerlo. Los objetivos que se plantean son:
Restringir el acceso a los programas y archivos.Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y
no puedan modificar los programas ni los archivos que no les correspondan.Asegurar que se estn utilizando los datos, archivos y programas correctos por el
procedimiento correcto.Que la informacin transmitida sea recibida por el destinatario al que ha sido
enviada y no a otro.Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin entre diferentespuntos.Que se disponga de pasos alternativos de emergencia para la transmisin de
informacin.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
66/92
Amenazas lgicas son todo tipo de programas que de una forma u otrapueden daar a nuestro sistema, creados de forma intencionada paraello (software malicioso, tambin conocido como malware) osimplemente por error (bugs o agujeros). Dicho de otra forma, unaamenaza es la posibilidad de la ocurrencia de algn evento que afecte elbuen funcionamiento de un sistema, es decir, cualquier elemento quecomprometa el sistema. La identificacin de las amenazas requiereconocer los tipos de ataques, el tipo de acceso, mtodo de trabajo y losobjetivos del atacante.
Riesgoes la proximidad o posibilidad de dao sobre un bien.Vulnerabilidades la caracterstica del sistema o del medio ambiente
que facilita que la amenaza tenga lugar. Son las debilidades del sistemaque pueden ser empleadas por la amenaza para comprometerlo.
El ataquees el evento, exitoso o no, que atenta contra el buenfuncionamiento de un sistema, sin importar si es intencionado oaccidental.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
67/92
Algunos de los tipos de ataques ms importantes son:Ingeniera social. Es la manipulacin de las personas
para convencerlas de que ejecuten acciones o actos quenormalmente no realizan para que revelen todo lo
necesario para superar las barreras de seguridad.Ingeniera social inversa. En este caso el intruso da a
conocer de alguna manera que es capaz de brindarayuda a los usuarios, y estos llaman ante algnimprevisto.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
68/92
DecoyScanningEavesDropping o Packet Sniffing.
Web Spoofing
BackdoorsDenegacin de servicio
Vulnerabilidades en los navegadores
Virus Informticos: Archivos Ejecutables, Virus delSector de arranque, Virus Residente, Virus de Macros,Virus de Mail, Gusanos, Caballos de Troya,
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
69/92
Entre las medidas de proteccin ms comunes tenemos:
Controles de acceso: Identificacin y autenticacin,Roles, Limitaciones a los servicios
EncriptacinDispositivos de control de puertos
Firewalls
Copias de respaldo
Programas antivirusSistemas de proteccin a la integridad y privacidad de
la informacin: PGP, SSL, Certificados digitales, etc
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
70/92
AUDITORIA DE SEGURIDAD LGICA: La auditoriaconsiste en contar con los mecanismos paradeterminar qu sucede en el sistema, qu hace ycuando lo hace. Mediante una auditoria de seguridad
informtica, pueden identificarse los puntos fuertes ydbiles de una organizacin con respecto al manejo dela seguridad de su informacin y se pueden definirclaramente los pasos a seguir para lograr un
perfeccionamiento de la misma. Es otra medida msde proteccin y aseguramiento
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
71/92
Sistemas aislados.Sistemas interconectados. Confidencialidad. Validacin de Identificacin. No Repudio. Integridad. Disponibilidad.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
72/92
Los problemas de seguridad asociados a las redes deordenadores se desdoblan en dos aspectos.
La intrusin por parte de individuos normalmentemalintencionados.
La propia comunicacin es un bien en s mismo y lanecesidad de su proteccin se aade a las que tenamos
previamente.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
73/92
Hay cuatro categoras de forma de amenaza:
InterrupcinIntercepcin.
Modificacin.
Suplantacin.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
74/92
Una distincin bsica de los ataques es:
Ataques Pasivos:Divulgacin del contenido de un mensaje.
Anlisis de Trfico.
Ataques Activos:Enmascaramiento.
Repeticin.Modificacin de mensajes.Denegacin de un servicio.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
75/92
Los principales mecanismos de proteccin lgica son:
Autentificacin del Usuario.Cortafuegos (Firewalls).
Software de proteccin.Criptografa.Firma digital.Relleno del trfico.
Etiquetas de seguridad.Funciones de dispersin segura (Hash).Terceras Partes de Confianza (TTP).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
76/92
Criptosistemas Simtricos Clave Privada.Criptosistemas asimtricos Clave pblica, que
emplean una doble clave (kp, kP ).
SIMETRICOS:
DES, IDEA, AES (Rijndael)
ASIMTRICOS:RSA, ElGamal, De Rabin, DSA
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
77/92
Funciones Hash Funciones MDC (Modification Detection Codes)
Funciones MAC (Message Authentication Codes)
Algoritmos de Firma:
MD5
SHA-1
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
78/92
Cortafuegos: sistema que controla todo el trfico haciao desde Internet utilizando software de seguridad o
programas desarrollados para este fin, que estnubicados en un servidor u ordenador independiente.
Las implantaciones bsicas de cortafuegos son:
Cortafuegosfiltrador de paquetes.Cortafuegos a nivel de circuito.
Cortafuegos a nivel de aplicacin.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
79/92
Algunos ejemplos del uso de los cortafuegos son: Aplicacin al correo electrnico en uso
corporativo.
Servidor como punto de entrada nica a la redinterna.
Servidor como punto de entrada nica a lasaplicaciones.
Servidor como punto de entrada nico al correoelectrnico.
Servidor slo para facilitar informacin.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
80/92
VPN (Virtual Privated Network) consite en un usuario o unasede remota que se conecta a travs de Internet a su organizacinestabeciendo un tnel VPN para as estar funcionando como siestuviera dentro de la misma red a todos los efectos deconectividad. Las VPN se caracterizan por:
Aprovechamiento del bajo coste del acceso a InternetAaden tcnicas de encriptacin fuerte para conseguir seguridadSimulan las conexiones punto a punto clsicas.
El protocolo estndar para el soporte de tneles, encriptacin yautenticacin en las VPN es IPSec.
Otros protocolos de VPN son:L2TP (Layer 2 Tunneling Protocol)PPTP (Point-to-Point Tunneling Protocol).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
81/92
Proxy: es un intermediario en las peticiones de recursosque realiza un cliente (A) a otro servidor (C).
El uso ms comn es el de servidor proxy, que es unordenador que intercepta las conexiones de red que un
cliente hace a un servidor de destino.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
82/92
Proxy inverso (Reverse Proxy): es un servidor proxy situado en elalojamiento de uno o ms servidores web. Todo el trfico procedente deInternet y con destino en alguno de esos servidores web es recibido porel servidor proxy.
Seguridad: el servidor proxy es una capa adicional de defensa y por lo
tanto protege a los servidores web.Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro,habitualmente el cifrado SSL no lo hace el mismo servidor web, sinoque es realizado en un equipo ajeno equipado incluso con hardware deaceleracin SSL/TLS.
Distribucin de Carga:el proxy puede distribuir la carga entre varios
servidores web. En ese caso puede ser necesario reescribir la URL decada pgina web (traduccin de la URL externa a la URL internacorrespondiente, segn en qu servidor se encuentre la informacinsolicitada).
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
83/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
84/92
Un banco realiza operaciones de Leasing con sus clientes. En estasoperaciones el cliente vapagando el artculo a plazos y llegada una fecha decide si lo compra por
un valor residual o deja el contrato. Se quiere realizar una aplicacinque gestione esto.
El banco diferencia sus oficinas en sucursales y la Oficina Central. Cada
una de las oficinas estn equipadas con una red LAN 1000BaseT y secomunican entre s por medio de una Red Privada Virtual (VPN),existiendo conexiones punto-punto y RDSI.
Una vez a la semana la Oficina Central actualiza el Software al resto deoficinas por medio de la VPN.
Las oficinas estn distribuidas de la siguiente forma:
10 oficinas de atencin a pblico y 5 de atencin a empresas, situadas amenos de 5 km. De la sede central. 10 oficinas de atencin a pblico y 5 de atencin a empresas, situadas a
250 km de la sede central.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
85/92
Se pide:Dibujar un posible esquema de salida a Internet para laOficina Central, teniendo en cuenta las siguientespremisas:
- Todos los empleados de dicha oficina tendr salida a
Internet, que debe ser convenientemente regulada,monitorizada y filtrada.- Todos los empleados dispondrn de un servicio de correo
electrnico.- El banco ofrece en su portal pblico una serie de datos
residentes en sus bases de datos centrales.La solucin aportada debe ser lo suficientemente segura parala organizacin.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
86/92
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
87/92
Solucin doble firewallSe ha considerado la solucin de doble firewall de
diferente tecnologa. Esto permite segmentar las redesde la organizacin y le confiere ms seguridad: si se
encuentra una vulnerabilidad en uno de los firewalls,tenemos tiempo para instalar el parche adecuado puesestamos protegidos por el otro.
Las redes disponen de Sondas IDS (Intrusion Detection
System) que permiten detectar las intrusiones y frenarlos posibles ataques.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
88/92
Redes con diferente grado de exposicin anteataques externos
Las redes se han dividido por colores, atendiendo a laexposicin de las mismas a ataques externos:
- Rojo: DMZs o Redes Desmilitarizadas: Altaexposicin
-Verde: Red intrafirewall: Media exposicin
-Azul: Redes internas: Baja exposicin
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
89/92
Redes de la solucin- DMZ WEB: Esta red es una de las DMZs de la solucin. Contiene dosservidores web que son accesibles desde el exterior. El primer firewalldebe dejar pasar todas las peticiones que lleguen desde direccionesexternas al banco y que tengan como destino cualquiera de los dosservidores web.
- DMZ
CORREO: Esta red es la otra DMZ. Contiene un servidor deDNS pblico para resolver las direcciones externas a la organizacin, unservidor de RELAY de correo y un servidor de OWA para poder accederal correo corporativo desde el exterior en modo web.
- Red INTRAFIREWALL: Esta red es la que se encuentra entre los dosfirewalls. Contiene dos servidores en cluster de antivirus y dosservidores en cluster de proxy. El proxy es el encargado de regular,monitorizar y filtrar la salida a Internet de los empleados del banco.Tambin acta como servidor de cach, de forma que las pginas msdemandadas se sirven directamente desde el proxy, con lo que se ahorraancho de banda de salida a Internet
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
90/92
- BACK-END: Esta red contiene servidores de BB.DD. yde ficheros que se comunican con los servidores webubicados en una de las DMZ para servir informacin alas peticiones de usuarios externos.
- SERVICIOS INTERNOS: Esta red contiene dosservidores en cluster de correo, un servidor de DNS yun servidor de directorio activo.
- LAN: Esta red contiene los PCs de los usuarios de laorganizacin.
- RED DE GESTIN: En esta red se encuentran lasconsolas de monitorizacin y gestin de los firewalls.
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
91/92
AUDITORIA: Proceso sistemtico (planificacin conmetodologas especificas) de obtencin y evaluacinde evidencia acerca de las aseveraciones efectuadas porterceros para testimoniar el grado de correspondenciaentre esas afirmaciones y un cjto de criteriosconvencionales, comunicando los resultados obtenidosa los destinatarios y usuarios interesados.
AUDITOR: Persona que realiza una auditoria.Profesional independiente
Auditoria: Evaluacin sobre si las cosas estn bien y darecomendaciones sobre lo que hay q mejorar
-
7/25/2019 Bases de Datos Sistemas de Almacenamiento
92/92
1) Toma de contactoReconocimiento del problema:Comprobar q existe el problema, Recoger infor de la Org,
Planif la Audi (Objetivos, alcance, personal invol)2) Desarrollo de la Auditoria
Recoleccin de la Evidencia: Recoger infor (entrevistas,cuestionarion, observacin...)Evaluacin de la Evidencia: Realizar pruebas (d
cumplimiento y sustantivas)3) Diagnostico
Formulacin de un juicio profesional (Informe deAuditoriaPts fuertes y debiles, mejoras, conclusiones,plan de mejora)