Seguridad Informática: Medidas de seguridad pasiva en Liceo la Paz

LICEO LA PAZ Seguridad Informática - Tema 2. Medidas de seguridad pasiva

CICLO: Sistemas Microinformáticos y Redes MÓDULO: Seguridad Informática Tema 2. Medidas de seguridad pasiva

1LICEO LA PAZ Seguridad Informática - Tema 2. Medidas de seguridad pasiva FF

Índice

1. Introducción. 3
2. Protección física de equipos y servidores 3
   1. Ubicación del centro de proceso de datos. 4
   2. Condiciones de construcción para el centro de proceso de datos. 5
   3. Consideraciones ambientales, eléctricas y de detección de incendios. 6
      1. Aspectos eléctricos. 7
      2. Detección de incendios. 7
   4. Diseño de red y recuperación ante desastres 8
3. Planificación del uso de sistemas de alimentación ininterrumpida. 14
   1. Los sistemas de alimentación ininterrumpida. 14
   2. Tipos de sistemas de alimentación ininterrumpida 16
   3. Modos de funcionamiento. 16
   4. Arquitectura entre SAI y comunicación entre ellos. 17
4. Seguridad ante intentos de espionaje. 18
5. Seguridad en sistemas de almacenamiento 19
   1. Mecanismos para el almacenamiento de la información .. ........ 20
   2. Políticas de explotación de los sistemas de almacenamiento seguros. 21
6. Seguridad en almacenamiento redundante y distribuido. 22
   1. Tipos de RAID. 23
   2. Nivel Disk Stripping o nivel RAID 0 24
   3. Nivel Disk Mirroring o nivel RAID 1 24
   4. Nivel stripping + distributed parity o nivel RAID 5 25
   5. RAID basado en software. 25
   6. RAID basado en hardware. 25
7. Consideraciones en el uso de clústeres de servidores. 26
8. Gestión de eventos en ciberseguridad 27
   1. Características de los logs. 27
   2. El visor de eventos en Windows (EventViewer). 29
9. Gestión de centros de datos en la nube 31
   1. System Center Configuration Manager de Microsoft. 31
   2. Soluciones Azure. 31
   3. Amazon Web Services. 31
   4. Google Cloud Platform 32
   5. Seguridad en la nube. 32

2LICEO LA PAZ Seguridad Informática - Tema 2. Medidas de seguridad pasiva

Introducción a la seguridad pasiva

La seguridad pasiva pretende minimizar los daños causados por cualquier agente que interactúe con un sistema informático. Estos pueden provenir desde usuarios sin mala intención hasta aquellos que pretenden aprovechar cualquier brecha para cometer un ataque. La mayoría suelen estar relacionados con el empleo incorrecto de los propios usuarios, aspectos aparentemente insignificantes como una incorrecta configuración de algún servicio, algún programa no chequeado o la asignación indebida de privilegios, y pueden acarrear una secuencia de riesgos inimaginables. Los accidentes también deben tenerse en cuenta, ya sean naturales o provocados por las personas. Ante todos estos riesgos, la primera metodología de protección hace referencia al uso del propio hardware y las políticas ante averías y funcionamientos incorrectos y mecanismos de respaldo, tanto de la arquitectura física como de la información almacenada en ella.

Protección física de equipos y servidores

La planificación de la instalación física de una red de ordenadores es de suma importancia, ya no solo para proteger a los equipos que la conforman, sino también para prever futuros rediseños y que estos sean posibles atendiendo a los espacios físicos y sus estructuras. Entre los aspectos más importantes cabe destacar el análisis de los materiales de construcción, los equipos de detección y protección contra incendios, los sistemas de aire acondicionado, los aspectos técnicos de la instalación eléctrica, y los sistemas de control de acceso y formación del personal. Se deben emplear materiales no combustibles o tratados con pinturas, impregnaciones u otros elementos que retarden el fuego e instalar sistemas de detección de humo. Los sistemas de almacenamiento masivos deben estar protegidos y disponer de mecanismos de respaldo en lugares independientes.

El propio lugar debe ser construido y equipado de manera que no presente peligro para el equipo de empleados que trabajan en el mismo, con salidas de emergencia claramente marcadas. El control de acceso a la instalación debe estar centralizado en el mínimo número de entradas posible operadas por control remoto y, si es posible, monitorizadas con el uso de cámaras en circuito cerrado. Todos estos aspectos son los que conforman la seguridad pasiva de un sistema de información.

Un centro de proceso de datos (CPD), o un data center es una sala de grandes dimensiones donde se concentra la mayoría de la tecnología informática de una organización. La mayoría de los dispositivos de red de seguridad, de conexiones entre redes, grandes servidores, sistemas de almacenamiento masivos, dispositivos de alimentación ininterrumpida, etc., se localizan en estas salas. El diseño de un CPD es un pilar importante para la propia organización para implantar efectivos sistemas informáticos. Debe contar con la previsión de su replanificación y rediseños futuros.

En la mayoría de las ocasiones, el centro de proceso de datos ya está construido y preparado, pero se hace necesario un continuo estudio de su viabilidad y futuras intenciones. Todas las consideraciones que se van a estudiar en este apartado son válidas tanto en situaciones en las que el diseño, planificación e implantación del CPD se comienza desde cero como en las que 3LICEO LA PAZ Seguridad Informática - Tema 2. Medidas de seguridad pasiva FP se hace necesario replantearse la evolución de estas etapas en cuanto lo hace la propia organización.

Infraestructuras de un centro de proceso de datos

Instalación física Suministro eléctrico Climatización y control de incendios Diseño de red Sistemas de seguridad Obra Distribución Aires acondicionados = Racks · Videovigilancia Ubicación · Protección · Paredes y suelos · Sistemas de alimentación ininterrumpida Sensores detectores · Servidores tipo blade Control de acceso Acústica Sistemas de apagado Topologías core/acceso ·Iluminación · Gas y agua Las diferentes infraestructuras que componen un buen diseño y planificación de la implantación de un centro de proceso de datos son:

• Obra: área y sus espacios asociados, cuartos de electricidad, salas de almacenamiento, desembalaje, suelos, techos, paredes, etc.
• Energía: suministro eléctrico, sistemas de alimentación ininterrumpida, grupo electrógeno, iluminación, tomas de tierra, paneles eléctricos, conductos y registros.
• Climatización: elementos principales para extraer el calor del CPD, como la unidad interior que absorbe el calor, la exterior que lo libera, el compresor y la válvula de sobrepresión.
• Sistema de protección contra incendios: sistemas de detección y de extinción.
• Racks: elementos donde se ubican los servidores y dispositivos de comunicación.
• Cableado: cableado estructurado del CPD, tanto el horizontal como el vertical.
• Seguridad: sistemas de identificación, sistemas de videovigilancia y de monitorización.

Ubicación del centro de proceso de datos

Como ya se ha dicho, los planes de seguridad física se basan en proteger el hardware, por lo que es importante tener en cuenta las limitaciones físicas y los futuros mecanismos de control. El lugar donde se localizará un servidor o un equipo es totalmente dependiente de las premisas anteriores. Es decir, atendiendo al lugar donde se encuentren estos equipos que hay que asegurar, los procedimientos de medidas para proteger los recursos y la información serán diferentes. Si la organización se encuentra en etapas de planificación debido a que no se dispone de la decisión final de su ubicación, se puede diseñar una protección física adecuada estudiando su posible lugar final.

Cuando se desea implantar una nueva sala de equipos informáticos, se debe estudiar la ubicación en función de la disponibilidad física y la facilidad para modificar estos aspectos con el fin de hacerla más segura. El primer elemento que se debe tener en cuenta es el espacio del que se dispone y sus accesos, ya que a lo largo de la explotación del sistema será necesario introducir y extraer equipamientos nuevos y antiguos. Por lo tanto, es muy importante hacer un análisis sobre estos accesos.

4FP Seguridad Informática - Tema 2. Medidas de seguridad pasiva LICEO LA PAZ

También es necesario estudiar los accesos para los operarios. El número de estos accesos condiciona los protocolos de seguridad, y se recomienda centralizarlos lo máximo posible, de tal forma que los caros equipamientos de control de personal queden centralizados tanto como se pueda. También es preciso estudiar las salidas de emergencias. En general, se recomienda una zona diáfana con buena localización que esté alejada de zonas de riesgos como sismicidad, inundaciones e incendios, y que esté en planta mejor que en altura, por cuestiones tales como luminosidad y evaluación. Otros factores inherentes son los servicios de energía eléctrica, antenas, líneas telefónicas, tranquilidad del entorno y niveles de vandalismo, sabotaje y terrorismo.

Los equipos que dependen de otros que pueden ser ruidosos, por ejemplo los sistemas de aire acondicionado, deben ser situados donde el ruido y la vibración puedan ser amortiguados en la medida de lo posible. De la misma manera, se debe elegir una localización con el menor nivel de interferencia electromagnética posible. Los motores son equipos que producen un nivel de interferencia electromagnética muy alto, por lo que se hace necesario evitar su cercanía a los equipos servidores. También deben evitarse las áreas con fuentes de interferencia de radiofrecuencia, tales como transmisores de radio y estaciones de televisión.

En cuanto a las grandes salas de computación o centro de proceso de datos, se intentarán evitar los espacios cercanos a las paredes exteriores del edificio, así como en planta baja o sótanos no provistos de sistemas contra inundaciones debidas a cañerías y otros elementos, como sumideros o depósitos de agua. También se deben rehusar las plantas más altas del edificio, así como aquellas cercanas a los garajes de vehículos de motor. Por tanto, la ubicación más conveniente es en las plantas intermedias del edificio. Sin embargo, se debe ser consciente de lo pesados que suelen ser los equipos que componen estos inmensos sistemas de información y si estas plantas idóneas pueden soportar dicho peso. Otra elección, atendiendo a esta cuestión, es el sótano del edificio, que soporta así mejor esas grandes cargas. Por ello, se hace necesario acondicionar dicho espacio desarrollando un buen plan de seguridad física del sistema.

Condiciones de construcción para el centro de proceso de datos

Se debe estudiar el lugar del edificio más idóneo y seguro para ubicar el centro de proceso de datos, pero se deben tener en cuenta diferentes cuestiones determinantes para su éxito, como:

• Facilidades para la planificación del uso de energía eléctrica, enchufes, cableado usado (grosor), tomas a tierra, etc.
• Estudio de las acometidas telefónicas y comunicaciones, situación de las rosetas, de los puntos de acceso, de los dispositivos de conmutación y enrutamiento, cableado horizontal y vertical, armarios de los que se disponen, etc., ya que, atendiendo al número y ubicación de estos, la red de cableado puede cambiar y hacerse más o menos óptima.
• Análisis sobre la necesidad de la climatización, haciendo hincapié en los lugares donde se distribuirán tanto los conductos eléctricos como otros asociados a los dispositivos de aire acondicionado, potencias necesarias, aislamiento de los motores, extracción del aire caliente, etc.