Seguridad y Alta Disponibilidad - alvaroprimoguijarro · El concepto de seguridad de la...
Transcript of Seguridad y Alta Disponibilidad - alvaroprimoguijarro · El concepto de seguridad de la...
Seguridad y Alta Disponibilidad
2 Primo Guijarro, Álvaro
SAD
La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.
1. Fiabilidad, Confidencialidad, Integridad, Disponibilidad.
Fiabilidad
El término Fiabilidad es la probabilidad del buen funcionamiento de algo. Por tanto, extendiendo el significado a sistemas, se dice que la fiabilidad de un sistema es la probabilidad de que ese sistema funcione o desarrolle una cierta función, bajo condiciones fijadas y durante un período determinado.
-Un sistema es una colección de componentes/subsistemas dispuestos de acuerdo a un diseño dado con el propósito de lograr el cumplimiento de unas determinadas funciones con una adecuación y fiabilidad aceptables. El tipo de componentes, su cantidad, su calidad y el modo en que están dispuestas tiene un efecto directo en la fiabilidad de sistema.
-La fiabilidad se define como la probabilidad de que un bien funcione adecuadamente durante un período determinado bajo condiciones operativas específicas (por ejemplo, condiciones de presión, temperatura, velocidad, tensión o forma de una onda eléctrica, nivel de vibraciones, etc.)
Confidencialidad.
Confidencialidad es la propiedad de la información, por
la que se garantiza que está accesible únicamente a
personal autorizado a acceder a dicha información. La
confidencialidad ha sido definido por la Organización
Internacional de Estandarización (ISO) en la norma ISO-
17799 como "garantizar que la información es accesible
sólo para aquellos autorizados a tener acceso" y es una
de las piedras angulares de la seguridad de la
información. La confidencialidad es uno de los objetivos de diseño de muchos criptosistemas,
hecha posible en la práctica gracias a las técnicas de criptografía moderna.
Seguridad y Alta Disponibilidad
3 Primo Guijarro, Álvaro
SAD
Integridad
La integridad es una propiedad deseable en las bases de datos que
garantiza que una entidad (fila o registro) siempre esté relacionada con
otras entidades válidas, es decir, que existan en la misma base. La
integridad referencial supone que todos los datos sean correctos, sin
repeticiones, datos perdidos o relaciones mal resueltas.
Disponibilidad
El objetivo de la disponibilidad es garantizar el acceso a
un servicio o a los recursos. Ademas garantizar el
correcto funcionamiento de los sistemas de
información.
2. Elementos vulnerables en el sistema informático: hardware, software y datos.
Puede haber 4 grandes tipos de ataques o vulnerabilidades:
- Intercepción: Una persona, programa o proceso accede a una parte del sistema a la que no está autorizado. Es difícil de detectar (sniffers, keyloggers...)
- Modificación: Además de tener acceso, modifica, destruye, reemplaza o cambia los datos o el funcionamiento del sistema.
- Interrupción: Consiste en impedir que la información llegue a su destino. Es bastante fácil de detectar pero igual de difícil que los anteriores de evitar.
- Generación. Se refiere a la posibilidad de incluir campos y registros en una base de datos, añadir líneas de código a un programa, añadir programas completos en un sistema (virus), introducir mensajes no autorizados por una línea de datos...
Ataques al hardware
Las vulnerabilidades de hardware representan la probabilidad de que las piezas físicas del sistema fallen (ya sea por mal uso, descuido, mal diseño etc.) dejando al sistema desprotegido o inoperable. También trata sobre las formas en que el hardware puede ser usado por personas para atacar la seguridad del sistema, por ejemplo el sabotaje de un sistema al sobrecargarlo deliberadamente con componentes de hardware que no han sido diseñados correctamente para funcionar en el sistema.
Seguridad y Alta Disponibilidad
4 Primo Guijarro, Álvaro
SAD
Ataques al software Cada programa (ya sea de paquetería o de sistema operativo) puede ser usado como medio para atacar a un sistema más grande, esto se da debido a errores de programación, o porque en el diseño no fueron considerados ciertos aspectos (por ejemplo controles de acceso, seguridad, implantación, etc.).Ambos factores hacen susceptible al sistema a las amenazas de software. Los tipos son:
Virus: Es un programa informático diseñado para infectar archivos. Suelen venir dentro del código de otros programas. Los objetivos de los virus suelen ser los programas ejecutables.
Gusanos: Los gusanos son programas que realizan copias de sí mismos, alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes.
Troyanos: El principal objetivo de este tipo de malware es introducir e instalar otras aplicaciones en el equipo infectado, para permitir su control remoto desde otros equipos.
Adware: Los programas de tipo adware muestran publicidad asociada a productos y/o servicios ofrecidos por los propios creadores o por terceros.
Spyware: El spyware o programas espías son aplicaciones que recopilan información sobre una persona u organización sin su consentimiento ni conocimiento.
Rootkits: Se trata de programas diseñados para ocultar objetos como procesos, archivos o entradas del Registro de Windows.
Exploits: Es una técnica o un programa que aprovecha un fallo de seguridadexistente en un determinado protocolo de comunicaciones, sistema operativo,etc.
Dialers: Generalmente, un dialer trata de establecer una conexión telefónica con un número de tarificación especial. Se trata de una categoría que tiende a desaparecer.
Cookies: Las cookies son pequeños archivos de texto que el navegador de Internet guarda en el ordenador del usuario cuando se visitan páginas web. Pueden derivar en una amenaza para la privacidad del usuario.
Phishing: El phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario.
Spam: El spam es el correo electrónico no solicitado que es enviado en cantidades masivas a un número muy amplio de usuarios generalmente con el fin de comercializar.
Redes de bots: “Bot” es el diminutivo de la palabra “Robot”. Son pequeños programas que se introducen en el ordenador por intrusos, con la intención de tomar el control remoto del equipo del usuario sin su conocimiento ni consentimiento.
Scams: El scam es un tipo de correo electrónico fraudulento que pretende estafar económicamente al usuario presentado como donación a recibir, lotería o premio al que se accede previo envío de dinero.
Ataques de datos
Los ataques a datos pueden ser atacados por: Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una
Seguridad y Alta Disponibilidad
5 Primo Guijarro, Álvaro
SAD
distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al ordenador que lo ejecuta. Esta técnica es usada por algunos programadores. Introducen en la aplicación un código que se activa en una fecha determinada para que, si no ha cobrado por su trabajo ese día, destruya la información del ordenador en el que ha sido instalado. Los ataques a datos pueden ser atacados por: Bomba lógica: el programa incluye instrucciones que, al cumplirse una condición, provocan una distorsión del funcionamiento normal del programa, que normalmente, deriva en daños al ordenador que lo ejecuta. Esta técnica es usada por algunos programadores. Introducen en la aplicación un código que se activa en una fecha determinada para que, si no ha cobrado por su trabajo ese día, destruya la información del ordenador en el que ha sido instalado. Backdoors o puertas falsas: Son programas que permiten la entrada en el sistema de manera que el usuario habitual del mismo no tenga conocimiento de este ataque. Ataques al personal: Aunque lo parezca, no consiste en perseguir con un cuchillo a los administradores. Se suele conocer más como ingeniería social. Consiste realmente en mantener un trato social con las personas que custodian datos. Indagar en sus costumbres o conocerlas más profundamente para perpetrar posteriormente un ataque más elaborado. La ingeniería social incluye desde suplantación de identidades confiables hasta la búsqueda en papeleras y basuras de información relevante.
3. Analisis de las principales vulnerabilidades de un sistema informático
En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema. Aunque, en un sentido más amplio, también pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro. Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales (conocidas como exploits). Las vulnerabilidades en las aplicaciones suelen corregirse con parches, hotfixs o con cambios de versión. En tanto algunas otras requieren un cambio físico en un sistema informático. Las vulnerabilidades se descubren muy seguido en grandes sistemas, y el hecho de que se publiquen rápidamente por todo internet (mucho antes de que exista una solución al problema), es motivo de debate. Mientras más conocida se haga una vulnerabilidad, más probabilidades de que existan piratas informáticos que quieren aprovecharse de ellas.
Algunas vulnerabilidades típicas suelen ser: * Desbordes de pila y otros buffers. * Symlink races. * Errores en la validación de entradas como: inyección SQL, bug en el formato de cadenas, etc. * Secuestro de sesiones. * Ejecución de código remoto. * XSS.
Seguridad y Alta Disponibilidad
6 Primo Guijarro, Álvaro
SAD
Amenazas. Tipos
Es un riesgo alto al que exponemos a nuestros equipos en la red, por el cual estos pueden ser
hackeados, controlados o dañados, con el fin de obtener información.
Seguridad con respecto a la naturaleza de la amenaza: Existen dos tipos de seguridad con respecto a la naturaleza de la amenaza:
- Seguridad lógica: aplicaciones para seguridad, herramientas informáticas, etc. - Seguridad física: mantenimiento eléctrico, anti-incendio, humedad, etc.
La seguridad lógica de un sistema informático incluye:
- Restringir al acceso a programas y archivos mediante claves y/o encriptación. - Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo. - Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático. - Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió.
Algunos ejemplos son:
Encriptación: Es el proceso mediante el cual una rutina es codificada de tal manera que no pueda ser interpretada fácilmente. Es una medida de seguridad utilizada para que al momento de transmitir la información ésta no pueda ser interceptada por intrusos.
Sistemas de protección de Cortafuegos o firewalls: Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red.
Antivirus: Es un software que se instala en tu ordenador y que permite prevenir que programas diseñados para producir daños, también llamados virus, dañen tu equipo. También tiene la misión de limpiar ordenadores ya infectados.
Antispam: Es un método de protección contra la publicidad no deseada de este modo se evita los molestos avisos publicitarios.
Antitroyanos: Un AntiTroyano es un programa desarrollado para combatir software malicioso -malware- como los llamados troyanos o backdoors. Los troyanos son
Seguridad y Alta Disponibilidad
7 Primo Guijarro, Álvaro
SAD
programas creados para a través de un archivo servidor abrir un puerto y luego ponerse a la escucha para que el atacante desde el programa cliente se conecte al servicio y pueda utilizar la computadora de la victima de forma remota.
La seguridad física
La seguridad física hace referencia a las barreras físicas y mecanismos de control en el entorno
de un sistema informático, para proteger el hardware de amenazas físicas. La seguridad física
se complementa con la seguridad lógica.
Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el
hombre como por la naturaleza. Básicamente, las amenazas físicas que pueden poner en
riesgo un sistema informático son:
* Desastres naturales, incendios accidentales, humedad e inundaciones.
* Amenazas ocasionadas involuntariamente por personas.
* Acciones hostiles deliberadas como robo, fraude o sabotaje.
Son ejemplos de mecanismos o acciones de seguridad física:
- Cerrar con llave el centro de cómputos: son habitaciones en donde hay múltiples
computadoras para un fin específico. Por ejemplo, un centro de cómputos en una universidad
sirve para ofrecer a sus alumnos múltiples computadoras para su utilización.
- Tener extintores por eventuales incendios: Los incendios son causados
por el uso inadecuado de combustibles, fallas de instalaciones eléctricas
defectuosas y el inadecuado almacenamiento y traslado de sustancias
peligrosas. El fuego es una de las principales amenazas contra la
seguridad. Es considerado el enemigo número uno de las computadoras
ya que puede destruir fácilmente los archivos de información y
programas.
- Instalación de cámaras de seguridad: para posibles intrusismos se
debe tener un sistema de video vigilancia para obtener una visión global
de la protección de los datos en todo momento. Para ello se deberá
instalar videocámaras en los puntos de entrada al perímetro y en el
interior donde están los dispositivos hardware.
Seguridad y Alta Disponibilidad
8 Primo Guijarro, Álvaro
SAD
- Control de Guardias: El Servicio de Vigilancia es el encargado
del control de acceso de todas las personas al edificio. Este
servicio es el encargado de colocar los guardias en lugares
estratégicos para cumplir con sus objetivos y controlar el acceso
del personal
- Control permanente del sistema eléctrico, de ventilación, refrigeración: Se deberá instalar
un sistema de refrigeración en las salas de servidores, que permitan mantener una
temperatura idónea para el correcto funcionamiento de los equipos. Lo más recomendable es
poner los equipos sobre un falso suelo, por el que se impulsa aire que sube, refrigerando los
equipos.
Ubicación y protección física de los equipos servidores
Los incidentes de tipo físico se pueden dividir en dos tipos básicos.
Incidentes Naturales: Incendios, inundaciones, temperatura, alimentación eléctrica, ... Incidentes Humanos: Robos, fraudes, sabotajes, ... .
Para minimizar el impacto de un posible problema físico tendremos que imponer condiciones de seguridad para los equipos y sistemas de la organización. Por otra lado para que los equipos informáticos funcionen correctamente deben de encontrarse en bajo ciertas condicines. Como es lógico pensar no todos los equipos informáticos de una organización tiene el mismo valor. Para poder tener una buena seguridad debemos saber que equipos y datos son más importantes para la organización. Ej. Un sevidor y un puesto de trabajo no tendrán las mismas medidas de seguridad, ni fisicas ni lógicas. Los servidores dado que su funcionamiento ha de ser continuo deben de situarse en un lugar que cumpla las condiciones optimas para el funcionamiento de estos. Para asegurar los sistemas y equipos que han de mantenerse siempre operativos se crean lugares que se conocen como "Centro de Procesamiento de Datos" o por sus siglas CPD. Para poder asegurar un CPD lo primero que debemos hacer es asegurar el recinto con medidas de seguridad física.
Seguridad y Alta Disponibilidad
9 Primo Guijarro, Álvaro
SAD
Sistemas contra incendios.
Existen varios tipos de sistemas de extinción de incendios, como: extracción de oxigeno, inserción de gases nobles o extintores especiales que eviten el riesgo de electrocución. Es importante intentar evitar los sistemas contra incendios que usen materiales conductores, dado que, de lo contrario pueden perderse datos de los dispositivos.
Sistemas de control de acceso
o Sistemas de Llaves (tradicionales).
o Sistemas de contraseña.
Estos sistemas son los más usados por si simplicidad de uso y bajo coste. En estos tipos de sistemas se ha de establecer politicas de contraseñas. Por tanto la organización que implemente un sistema de contraseña tendrá que indicar a sus usuarios con que periodicidad son cambiadas y que caracteristicas tienen que tener para ser seguras. Sobre las politicas de contraseñas hablaremos más adelante.
o Sistemas Targeta manética.
Estos sistemas se componen de una targeta con una banda magnética que contiene un código para acceder.
o Sistemas RFID:
Son las siglas de identicicación por radio frecuencia en Ingles (Radio Frequency IDentification), estos sistemas se componen de un elemento que reacciona ante una señal, devolviendo un resultado. Existen dispositivos RFID con identificadores únicos certificados por la casa de la moneda.
Seguridad y Alta Disponibilidad
10 Primo Guijarro, Álvaro
SAD
o Sistemas de Token.
Un sistema de token se compone de un elemento movil llamado "Token" que genera claves aleatorias, para poder funcionar correctamente el token ha de estar sincronizado con el sistema de acceso. Para poder acceder el usuario ha de insertar la clave generada por el token en el sistema, este generará una clave usando el mismo algoritmo y la comparará. Actualmente se están usando sistemas de "Token" mediante el envío de un sms.
o Sistemas Biométricos.
Son sistemas que otorgan acceso mediante la identificación por elementos fisicos de cada indibiduo, vease iris del ojo, huellas dactilares, voz, sistema de venas palmares, u otros rasgos unicos. Este tipos de sistemas son más complejos para ser saltados dado es muy complejo copiar este tipo de datos.
Sistemas de control de temperatura.
Para que los sistemas informáticos funcionen correctamente los elementos físicos de los mismos han de encontrase a ciertas temperaturas. Debido a que los equipos infomáticos funcionan mediante semiconductores se tienen que mantener entre cierto valores de temparatura, de lo contrario los semiconductores pierden sus propiedades y dejan de funcionar adecuadamente. La temperatura adecuada de un CPD no debe de superar los 30º.
Seguridad y Alta Disponibilidad
11 Primo Guijarro, Álvaro
SAD
Sistemas de alimentación ininterrumpida.
Un sistema de alimentación ininterrumpida, SAI (en inglés Uninterruptible Power Supply, UPS), es un dispositivo que gracias a sus baterías, puede proporcionar energía eléctrica tras un apagón a todos los dispositivos que tenga conectados. Otra de las funciones de los UPS es la de mejorar la calidad de la energía eléctrica que llega a las cargas, filtrando subidas y bajadas de tensión y eliminando armónicos de la red en el caso de usar corriente alterna.
Los UPS dan energía eléctrica a equipos llamados cargas críticas, como pueden ser aparatos médicos, industriales o informáticos que, como se ha mencionado anteriormente, requieren tener siempre alimentación y que ésta sea de calidad, debido a la necesidad de estar en todo momento operativos y sin fallos (picos o caídas de tensión).
MOTIVOS QUE ORIGINAN VARIACIONES DEL SUMINISTRO ELÉCTRICO. Como acabamos de ver, la instalación de un SAI o UPS, siglas de “Sistema de Alimentación Ininterrumpida” supone no sólo un ahorro sino una garantía de trabajar protegidos ante las fluctuaciones del suministro eléctrico. A continuación se detallan los principales motivos que pueden originar una variación en el suministro, micro cortes, ruidos eléctricos… más comunes y los problemas que se ocasionan: como ficheros corrompidos, prematuros fallos de Hardware o intermitentes fallos y mal funciones de los mismos.
Tipos de SAI
1.- OFF- LINE o STANDBY:
Es un equipo que por su precio es el que más extendido está, sobre todo para la protección de pequeñas cargas (PC’s , Cajas registradoras, TPV etc.). Grado de protección Este tipo de SAI alimenta a las cargas críticas, que tiene que proteger, con una seguridad y protección relativa dependiendo del tipo de OFF-LINE (estabilizados y con o sin filtros ). Dentro de una escala de uno a Cien los OFF-LINE estarían entre 40 y 60 puntos en relación a la protección que deberían de tener los equipos informáticos, por supuesto siempre en consonancia con el tipo de equipos a proteger y la zona (Industrial, Oficinas, muy conflictiva en tormentas ó en cortes de suministro Etc.).
Seguridad y Alta Disponibilidad
12 Primo Guijarro, Álvaro
SAD
2.- ON-LINE
Los SAI's ON-LINE resultan ideales para evitar que lleguen a nuestro equipo informático los armónicos de red. Armónicos de Red es la integración de múltiples frecuencias en la línea eléctrica, generalmente producidas por las cargas eléctricas no lineales, como las fuentes conmutadas de la informática. Grado de protección El SAI ON-LINE soluciona casi todos los problemas ocasionados por fallos en la compañía eléctrica así como los derivados de las líneas eléctricas dentro de polígonos industriales y oficinas, ruido eléctrico etc. Los equipos ON-LINE suelen dar una protección del orden de entre 70 y 90 puntos en una escala de protección de uno a cien, convirtiéndose por tanto en muy fiables.
3.- SAI INTERACTIVO O DE LÍNEA INTERACTIVA
Modo de actuación y tiempo de conmutación Hay de 2 tipos con Salida Pseudosenoidal y Senoidales que son equipos de más calidad. Estos sistemas tienen el inversor generalmente en espera ó standby, pero la lógica básicamente está funcionando al mismo tiempo que la Red eléctrica, ya que el tiempo de conmutación es prácticamente nulo en los modelos Senoidales. Grado de protección Estos sistemas protegen de picos y sobretensiones a las cargas que conectemos a ellos ya que todos disponen de AVR y algunos suelen proteger de casi el 80 % de las anomalías eléctricas, por su precio-calidad son equipos interesantes para algunas protecciones informáticas.
Seguridad Logica
Seguridad y Alta Disponibilidad
13 Primo Guijarro, Álvaro
SAD
Copias de Seguridad
Una copia de seguridad o backup en tecnología de la información o informática es una copia de seguridad - o el proceso de copia de seguridad - con el fin de que estas copias adicionales puedan utilizarse para restaurar el original después de una eventual pérdida de datos. Fundamentalmente son útiles para dos cosas. Primero, recuperarse de una catástrofe informática. Segundo recuperar una pequeña cantidad de archivos que pueden haberse eliminado accidentalmente o corrompido. La pérdida de datos es muy común: El 66% de los usuarios de internet han sufrido una seria pérdida de datos.
Ya que los sistemas de respaldo contienen por lo menos una copia de todos los datos que vale la pena salvar, deben de tenerse en cuenta los requerimientos de almacenamiento. La organización del espacio de almacenamiento y la administración del proceso de efectuar la copia de seguridad son tareas complicadas. Para brindar una estructura de almacenamiento es conveniente utilizar un modelo de almacenaje de datos. Las copias de seguridad garantizan dos objetivos: integridad y disponibilidad
Propuestas de copia de seguridad de datos
Decidir qué se va a incluir en la copia de seguridad es un proceso más complejo de lo que parece a priori. Si copiamos muchos datos redundantes agotamos la capacidad de almacenamiento disponible rápidamente. Si no realizamos una copia de seguridad de los suficientes datos, podría perderse información crítica.
La clave está en guardar copias de seguridad sólo de aquello que se ha modificado.
En función de la cantidad de archivos que se salvaguardan a la hora de realizar la copia de
seguridad, podemos distinguir tres tipos de copia:
Copia de seguridad total o íntegra Copia de seguridad incremental Copia de seguridad diferencial
Copia normal o copia total
Una copia de seguridad normal, es una copia de seguridad total de todos los archivos y directorios seleccionados.
Copia incremental
En un proceso de copia de seguridad incremental, se hace una copia de seguridad sólo de los archivos que han cambiado desde la última copia de seguridad realizada. Ejemplo, si hacemos copia de seguridad total el día 1 de cada mes y copia de seguridad incremental el resto de los días, cada copia incremental solo guardará los archivos que se hayan modificado ese día. Si
Seguridad y Alta Disponibilidad
14 Primo Guijarro, Álvaro
SAD
tenemos que realizar la restauración de archivos ante un desastre, debemos disponer de la copia total y de todas las copias incrementales que hayamos realizado desde la copia total.
Copia diferencial
Una copia de seguridad diferencial es una copia de todos los archivos que han cambiado desde la última copia de seguridad total que hayamos hecho. Ejemplo, si hacemos copia de seguridad total el día 1 de cada mes y copia de seguridad diferencial el resto de los días, cada copia diferencial guardará los archivos que se hayan modificado desde el día 1. La ventaja es que se requiere menos espacio que la copia total y que en el proceso de restauración únicamente necesitaremos la última copia total y la última copia diferencial. Una copia diferencial anula a la copia diferencial anterior. Por el contrario, se consume más tiempo en realizar la copia y también más espacio que en el caso de copia incremental.
Seguridad y Alta Disponibilidad
15 Primo Guijarro, Álvaro
SAD
Recomendación sobre el tipo de copia a efectuar
Si el volumen de datos de nuestra copia de seguridad no es muy elevado (menos de 4 GB), lo
más práctico es realizar siempre copias totales ya que en caso de desastre, tan solo debemos
recuperar la última copia.
Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) pero el volumen de datos que se modifican no es elevado (sobre 4 GB), lo más práctico es realizar una primera copia total y posteriormente realizar siempre copias diferenciales. Así, en caso de desastre, tan solo debemos recuperar la copia total y la última diferencial. Periódicamente debemos realizar una copia total y así empezar de nuevo.
Si el volumen de datos de nuestra copia de seguridad es muy elevado (mayor de 50 GB) y el volumen de datos que se modifican también lo es, las copias diferenciales ocuparán mucho espacio, por lo tanto en este caso lo más práctico será realizar una primera copia total y posteriormente realizar siempre copias incrementales ya que son las que menos espacio ocupan. El problema es que en caso de desastre debemos recuperar la última copia total y todas las incrementales realizadas desde que se hizo la última copia total. En estos casos, conviene hacer copias totales más a menudo para no tener que mantener un número muy elevado de copias incrementales.
En grandes compañías donde la realización de copias de seguridad está perfectamente planificada, se suelen utilizar sistemas mixtos. Por ejemplo en un caso típico se realizarían las siguientes tareas:
Todos los días 1 de cada mes, a las 23:00 horas: copia de seguridad total Todos los viernes a las 23:00 horas: copia de seguridad diferencial desde la copia de
día 1 Todos los días (excepto los viernes y el día 1) a las 23:00 horas: copia de seguridad
incremental desde la copia del día anterior.
Seguridad y Alta Disponibilidad
16 Primo Guijarro, Álvaro
SAD
Con ésta planificación nos aseguramos disponer de copia de seguridad diaria. En caso de
desastre deberíamos recuperar la copia total, la última diferencial y todas las incrementales
desde la última diferencial.
Imagen de respaldo
Copias de seguridad de Windows permite crear una imagen del sistema, que es una imagen exacta de una unidad. Una imagen del sistema incluye Windows y la configuración del sistema, programas y archivos. La imagen del sistema sirve para restaurar el contenido del equipo si la unidad del disco duro o el equipo dejan de funcionar. Cuando se restaura el equipo a partir de una imagen del sistema, la restauración es completa; no se pueden elegir que se restauren elementos individuales y se reemplazan todos los programas, la configuración del sistema y los archivos actuales. Aunque este tipo de copia de seguridad incluye los archivos personales, se recomienda que realice copias de seguridad periódicas de los archivos mediante Copias de seguridad de Windows para poder restaurar archivos y carpetas individuales cuando sea necesario. Al configurar una copia de seguridad de archivos programada, puede elegir si desea incluir una imagen del sistema. Esta imagen del sistema solo incluye las unidades necesarias para que se ejecute Windows. Puede crear manualmente una imagen del sistema si desea incluir unidades de datos adicionales.
Medios de almacenamiento
Los materiales físicos en donde se almacenan los datos se conocen como medios de almacenamiento o soportes de almacenamiento. Ejemplos de estos medios son los discos magnéticos (disquetes, discos duros), los discos ópticos (CD, DVD), las cintas magnéticas, los discos magneto-ópticos (discos Zip, discos Jaz, SuperDisk), las tarjetas de memoria, etc.
Los componentes de hardware que escriben o leen datos en los medios de almacenamiento se conocen como dispositivos o unidades de almacenamiento. Por ejemplo, una disquetera o una unidad de disco óptico, son dispositivos que realizan la lectura y/o escritura en disquetes y discos ópticos, respectivamente.
El propósito de los dispositivos de almacenamiento es almacenar y recuperar la información de forma automática y eficiente.
Seguridad y Alta Disponibilidad
17 Primo Guijarro, Álvaro
SAD
Disco magnetico
Un disco magnético (flexible o duro) sirve como soporte de almacenamiento para archivos de información. Almacena los bytes de estos archivos en uno o varios sectores de pistas circulares.
Disquete
Un disquete o disco flexible (en inglés floppy disk o diskette) es un medio o soporte de almacenamiento de datos formado por una pieza circular de material magnético, fina y flexible (de ahí su denominación) encerrada en una cubierta de plástico cuadrada o rectangular.
Los disquetes se leen y se escriben mediante un dispositivo llamado disquetera (o FDD, del inglés Floppy Disk Drive). En algunos casos es un disco menor que el CD. La disquetera es el dispositivo o unidad lectora/grabadora de disquetes, y ayuda a introducirlo para guardar la información.
Disco Duro
En informática, un disco duro o disco rígido (en inglés Hard Disk Drive, HDD) es un dispositivo de almacenamiento de datos no volátil que emplea un sistema de grabación magnética para almacenar datos digitales. Se compone de uno o más platos o discos rígidos, unidos por un mismo eje que gira a gran velocidad dentro de una caja metálica sellada. Sobre cada plato, y en cada una de sus caras, se sitúa un cabezal de lectura/escritura que flota sobre una delgada lámina de aire generada por la rotación de los discos.
Las características que se deben tener en cuenta en un disco duro son:
Tiempo medio de acceso: Tiempo medio que tarda la aguja en situarse en la pista y el sector deseado; es la suma del Tiempo medio de búsqueda (situarse en la pista), Tiempo de lectura/escritura y la Latencia media (situarse en el sector).
Tiempo medio de búsqueda: Tiempo medio que tarda la aguja en situarse en la pista deseada; es la mitad del tiempo empleado por la aguja en ir desde la pista más periférica hasta la más central del disco.
Tiempo de lectura/escritura: Tiempo medio que tarda el disco en leer o escribir nueva información: Depende de la cantidad de información que se quiere leer o escribir, el tamaño de bloque, el número de cabezales, el tiempo por vuelta y la cantidad de sectores por pista.
Latencia media: Tiempo medio que tarda la aguja en situarse en el sector deseado; es la mitad del tiempo empleado en una rotación completa del disco.
Seguridad y Alta Disponibilidad
18 Primo Guijarro, Álvaro
SAD
Velocidad de rotación: Revoluciones por minuto de los platos. A mayor velocidad de rotación, menor latencia media.
Tasa de transferencia: Velocidad a la que puede transferir la información a la computadora una vez la aguja está situada en la pista y sector correctos. Puede ser velocidad sostenida o de pico.
Discos Ópticos
Un disco óptico es un formato de almacenamiento de datos digital, que consiste en un disco circular en el cual la información se codifica, se guarda y almacena, haciendo unos surcos microscópicos con un láser sobre una de las caras planas que lo componen.
CD
El disco compacto (conocido popularmente como CD por las siglas en inglés de Compact Disc) es un soporte digital óptico utilizado para almacenar cualquier tipo de información (audio, imágenes, vídeo, documentos y otros datos).
Compact disk o disco compacto. Disco óptico circular
para el almacenamiento de información de forma
binaria. Generalmente de 12 cm. de diámetro y que
pesa unos pocos gramos. La información se almacena
de forma digital, o sea, unos y ceros. Almacenan hasta
640 MB, aunque puede extenderse esa capacidad un poco más.
La información en un CD es leída por una láser desde una lectora de CDs, al usar luz, no hay
contacto físico con la superficie, por lo tanto, no hay deterioro de los datos.
Existen gran variedad de tipos de CDs: CD-ROM, CD-RW o CD-R, Video-CD, etc.
TIPOS:
- CD-ROM
- CD-R
- CD-RW
Seguridad y Alta Disponibilidad
19 Primo Guijarro, Álvaro
SAD
DVD
Unidad de DVD: el nombre de este dispositivo hace referencia
a la multitud de maneras en las que se almacenan los datos:
DVD-ROM (dispositivo de lectura únicamente), DVD-R y DVD+R
(solo pueden escribirse una vez), DVD-RW y DVD+RW
(permiten grabar y borrar las veces que se quiera). También
difieren en la capacidad de almacenamiento de cada uno de los
tipos.
Formato de almacenamiento digital de datos. Tienen el mismo
tamaño físico que un CD, 12 cm de diámetro, u 8 cm para los
mini; aunque almacenan mucha más información. Los DVD
guardan los datos utilizando un sistema de archivos
denominado UDF, el cual es una extensión del estándar ISO
9660, usado para CD de datos.
TIPOS:
- DVD-R
- DVD+R
- DVD-RW
- DVD+RW
Tarjeta de memoria
Una tarjeta de memoria o tarjeta de memoria flash es un dispositivo de almacenamiento que conserva la información que le ha sido almacenada de forma correcta aun con la pérdida de energía, es decir, es una memoria no volátil.
Una tarjeta de memoria es un chip de memoria que mantiene su contenido sin energía.
Memoria Flash
La memoria flash es una tecnología de
almacenamiento —derivada de la memoria EEPROM—
que permite la lecto-escritura de múltiples posiciones
de memoria en la misma operación. Gracias a ello, la
tecnología flash, siempre mediante impulsos
eléctricos, permite velocidades de funcionamiento
muy superiores frente a la tecnología EEPROM
Seguridad y Alta Disponibilidad
20 Primo Guijarro, Álvaro
SAD
primigenia, que sólo permitía actuar sobre una única celda de memoria en cada operación de
programación. Se trata de la tecnología empleada en los dispositivos pendrive.
Restauración de datos
La información almacenada en cualquiera de estos dispositivos debe de disponer de algún mecanismo para restaurar la información, es decir restaurar la información a su estado original en caso de que algún evento no nos permita poder acceder a la información original, siendo necesario acudir a la copia que habíamos realizado anteriormente. Para esta restauración de datos existen diferentes métodos, desde un simple copiar pasando por comandos como el "copy" de DOS, el "cp" de sistemas Linux y Unix, o herramientas de diversos fabricantes..
Recuperación de datos
En casos en los que no es posible acceder a la información original, y no disponemos de copia de seguridad o no podemos acceder a ella, existen empresas especializadas que pueden rescatarnos la información de nuestros dispositivos de almacenamiento de información dañados. Estas empresas reparan el medio con el fin de extraer del la información y después volcarla a otro medio en correcto estado de funcionamiento.
RAID
En informática, el acrónimo RAID (del inglés Redundant Array of Independent Disks),
«conjunto redundante de discos independientes», anteriormente conocido como Redundant
Array of Inexpensive Disks, «conjunto redundante de discos baratos») hace referencia a un
sistema de almacenamiento que usa múltiples discos duros o SSD entre los que se distribuyen
o replican los datos. Dependiendo de su configuración (a la que suele llamarse «nivel»), los
beneficios de un RAID respecto a un único disco son uno o varios de los siguientes: mayor
integridad, mayor tolerancia a fallos, mayor throughput (rendimiento) y mayor capacidad.
Los niveles RAID más comúnmente usados son:
RAID 0: Conjunto dividido RAID 1: Conjunto en espejo RAID 5: Conjunto dividido con paridad distribuida
RAID 0 (Data Striping)
Un RAID 0 (también llamado conjunto dividido o volumen dividido) distribuye los datos equitativamente entre dos o más discos sin información de paridad que proporcione redundancia. Es importante señalar que el RAID 0 no era uno
Seguridad y Alta Disponibilidad
21 Primo Guijarro, Álvaro
SAD
de los niveles RAID originales y que no es redundante. El RAID 0 se usa normalmente para incrementar el rendimiento, aunque también puede utilizarse como forma de crear un pequeño número de grandes discos virtuales a partir de un gran número de pequeños discos físicos. Un RAID 0 puede ser creado con discos de diferentes tamaños, pero el espacio de almacenamiento añadido al conjunto estará limitado por el tamaño del disco más pequeño (por ejemplo, si un disco de 300 GB se divide con uno de 100 GB, el tamaño del conjunto resultante será sólo de 200 GB, ya que cada disco aporta 100GB). Una buena implementación de un RAID 0 dividirá las operaciones de lectura y escritura en bloques de igual tamaño, por lo que distribuirá la información equitativamente entre los dos discos. También es posible crear un RAID 0 con más de dos discos, si bien, la fiabilidad del conjunto será igual a la fiabilidad media de cada disco entre el número de discos del conjunto; es decir, la fiabilidad total —medida como MTTF o MTBF— es (aproximadamente) inversamente proporcional al número de discos del conjunto (pues para que el conjunto falle es suficiente con que lo haga cualquiera de sus discos).
RAID 1
Un RAID 1 crea una copia exacta (o espejo) de un conjunto de datos en dos o más discos. Esto resulta útil cuando el rendimiento en lectura es más importante que la capacidad. Un conjunto RAID 1 sólo puede ser tan grande como el más pequeño de sus discos. Un RAID 1 clásico consiste en dos discos en espejo, lo que incrementa exponencialmente la fiabilidad respecto a un solo disco; es decir, la probabilidad de fallo del conjunto es igual al producto de las probabilidades de fallo de cada uno de los discos (pues para que el conjunto falle es necesario que lo hagan todos sus discos).
Adicionalmente, dado que todos los datos están en dos o más discos, con hardware habitualmente independiente, el rendimiento de lectura se incrementa aproximadamente como múltiplo lineal del número del copias; es decir, un RAID 1 puede estar leyendo simultáneamente dos datos diferentes en dos discos diferentes, por lo que su rendimiento se duplica. Para maximizar los beneficios sobre el rendimiento del RAID 1 se recomienda el uso de controladoras de disco independientes, una para cada disco (práctica que algunos denominan splitting o duplexing).
Como en el RAID 0, el tiempo medio de lectura se reduce, ya que los sectores a buscar pueden dividirse entre los discos, bajando el tiempo de búsqueda y subiendo la tasa de transferencia, con el único límite de la velocidad soportada por la controladora RAID. Sin embargo, muchas tarjetas RAID 1 IDE antiguas leen sólo de un disco de la pareja, por lo que su rendimiento es igual al de un único disco. Algunas implementaciones
Seguridad y Alta Disponibilidad
22 Primo Guijarro, Álvaro
SAD
RAID 1 antiguas también leen de ambos discos simultáneamente y comparan los datos para detectar errores. La detección y corrección de errores en los discos duros modernos hacen esta práctica poco útil.
Al escribir, el conjunto se comporta como un único disco, dado que los datos deben ser escritos en todos los discos del RAID 1. Por tanto, el rendimiento no mejora.
El RAID 1 tiene muchas ventajas de administración. Por ejemplo, en algunos entornos 24/7, es posible «dividir el espejo»: marcar un disco como inactivo, hacer una copia de seguridad de dicho disco y luego «reconstruir» el espejo. Esto requiere que la aplicación de gestión del conjunto soporte la recuperación de los datos del disco en el momento de la división. Este procedimiento es menos crítico que la presencia de una característica de snapshot en algunos sistemas de archivos, en la que se reserva algún espacio para los cambios, presentando una vista estática en un punto temporal dado del sistema de archivos. Alternativamente, un conjunto de discos puede ser almacenado de forma parecida a como se hace con las tradicionales cintas.
RAID 5
Un RAID 5 usa división de datos a nivel de bloques distribuyendo la información de paridad entre todos los discos miembros del conjunto. El RAID 5 ha logrado popularidad gracias a su bajo coste de redundancia. Generalmente, el RAID 5 se implementa con soporte hardware para el cálculo de la paridad. RAID 5 necesitará un minimo de 3 discos para ser implementado.
En el gráfico de ejemplo anterior, una petición de lectura del bloque «A1» sería servida por el disco 0. Una petición de lectura simultánea del bloque «B1» tendría que esperar, pero una petición de lectura de «B2» podría atenderse concurrentemente ya que seria servida por el disco 1.
Cada vez que un bloque de datos se escribe en un RAID 5, se genera un bloque de paridad dentro de la misma división (stripe). Un bloque se compone a menudo de muchos sectores consecutivos de disco. Una serie de bloques (un bloque de cada uno de los discos del conjunto) recibe el nombre colectivo de división (stripe). Si otro bloque, o alguna porción de un bloque, es escrita en esa misma división, el bloque de paridad (o una parte del mismo) es recalculada y vuelta a escribir. El disco utilizado por el bloque de paridad está escalonado de una división a la siguiente, de ahí el término «bloques de paridad distribuidos». Las escrituras en un RAID 5 son costosas en términos de operaciones de disco y tráfico entre los discos y la controladora.
Seguridad y Alta Disponibilidad
23 Primo Guijarro, Álvaro
SAD
Los bloques de paridad no se leen en las operaciones de lectura de datos, ya que esto sería una sobrecarga innecesaria y disminuiría el rendimiento. Sin embargo, los bloques de paridad se leen cuando la lectura de un sector de datos provoca un error de CRC. En este caso, el sector en la misma posición relativa dentro de cada uno de los bloques de datos restantes en la división y dentro del bloque de paridad en la división se utilizan para reconstruir el sector erróneo. El error CRC se oculta así al resto del sistema. De la misma forma, si falla un disco del conjunto, los bloques de paridad de los restantes discos son combinados matemáticamente con los bloques de datos de los restantes discos para reconstruir los datos del disco que ha fallado «al vuelo».
El RAID 5 requiere al menos tres unidades de disco para ser implementado. El fallo de un segundo disco provoca la pérdida completa de los datos.
Seguridad y Alta Disponibilidad
24 Primo Guijarro, Álvaro
SAD
Centro de respaldo
Un centro de respaldo es un centro de procesamiento de datos (CPD) específicamente diseñado para tomar el control de otro CPD principal en caso de contingencia.
Diseño de un centro de respaldo
Un centro de respaldo se diseña bajo los mismos principios que cualquier CPD, pero bajo algunas consideraciones más. En primer lugar, debe elegirse una localización totalmente distinta a la del CPD principal con el objeto de que no se vean ambos afectados simultáneamente por la misma contingencia. Es habitual situarlos entre 20 y 40 kilómetros del CPD principal. La distancia está limitada por las necesidades de telecomunicaciones entre ambos centros.
En segundo lugar, el equipamiento electrónico e informático del centro de respaldo debe ser absolutamente compatible con el existente en el CPD principal. Esto no implica que el equipamiento deba ser exactamente igual. Normalmente, no todos los procesos del CPD principal son críticos. Por este motivo no es necesario duplicar todo el equipamiento. Por otra parte, tampoco se requiere el mismo nivel de servicio en caso de emergencia. En consecuencia, es posible utilizar hardware menos potente. La pecera de un centro de respaldo recibe estas denominaciones en función de su equipamiento:
Sala blanca: cuando el equipamiento es exactamente igual al existente en el CPD principal.
Sala de back-up: cuando el equipamiento es similar pero no exactamente igual.
En tercer lugar, el equipamiento software debe ser idéntico al existente en el CPD principal. Esto implica exactamente las mismas versiones y parches del software de base y de las aplicaciones corporativas que estén en explotación en el CPD principal. De otra manera, no se podría garantizar totalmente la continuidad de operación.
Por último, pero no menos importante, es necesario contar con una réplica de los mismos datos con los que se trabaja en el CPD original. Este es el problema principal de los centros de respaldo, que se detalla a continuación.
Seguridad y Alta Disponibilidad
25 Primo Guijarro, Álvaro
SAD
El sincronismo de datos
Existen dos políticas o aproximaciones a este problema:
Copia síncrona de datos: Se asegura que todo dato escrito en el CPD principal también se escribe en el centro de respaldo antes de continuar con cualquier otra operación.
Copia asíncrona de datos: No se asegura que todos los datos escritos en el CPD principal se escriban inmediatamente en el centro derespaldo, por lo que puede existir un desfase temporal entre unos y otros.
La copia asíncrona puede tener lugar fuera de línea. En este caso, el centro de respaldo utiliza la última copia de seguridad existente del CPD principal. Esto lleva a la pérdida de los datos de operaciones de varias horas (como mínimo) hasta días (lo habitual). Esta opción es viable para negocios no demasiado críticos, donde es más importante la continuidad del negocio que la pérdida de datos. Por ejemplo, en cadenas de supermercados o pequeños negocios. No obstante, es inviable en negocios como la banca, donde es impensable la pérdida de una sola transacción económica.
En los demás casos, la política de copia suele descansar sobre la infraestructura de almacenamiento corporativo. Generalmente, se trata de redes SAN y cabinas de discos con suficiente inteligencia como para implementar dichas políticas.
Tanto para la copia síncrona como asíncrona, es necesaria una extensión de la red de almacenamiento entre ambos centros. Es decir, un enlace de telecomunicaciones entre el CPD y el centro de respaldo. En caso de copia asíncrona es imprescindible que dicho enlace goce de baja latencia. Motivo por el que se suele emplear un enlace de fibra óptica, que limita la distancia máxima a decenas de kilómetros. Existen dos tecnologías factibles para la copia de datos en centros de respaldo:
iSCSI. Fibre Channel.
La copia síncrona es esencial en negocios como la banca, donde no es posible la pérdida de ninguna transacción. La copia asíncrona es viable en la mayoría de los casos, ya que el desfase temporal de la copia se limita a unos pocos minutos.
El centro de respaldo en contexto
Un centro de respaldo por sí sólo no basta para hacer frente a una contingencia grave. Es necesario disponer de un Plan de Contingencias corporativo. Este plan contiene tres subplanes que indican las medidas técnicas, humanas y organizativas necesarias en tres momentos clave:
Plan de respaldo: Contempla las actuaciones necesarias antes de que se produzca un incidente. Esencialmente, mantenimiento y prueba de las medidas preventivas.
Plan de emergencia: Contempla las actuaciones necesarias durante un incidente.
Seguridad y Alta Disponibilidad
26 Primo Guijarro, Álvaro
SAD
Plan de recuperación: Contempla las actuaciones necesarias después de un incidente. Básicamente, indica cómo volver a la operación normal.
Red de área de almacenamiento
Una red de área de almacenamiento, en inglés SAN (storage area network), es una red
concebida para conectar servidores, matrices (arrays) de discos y librerías de soporte.
Principalmente, está basada en tecnología fibre channel y más recientemente en iSCSI. Su
función es la de conectar de manera rápida, segura y fiable los distintos elementos que la
conforman.
SAN
Una red SAN se distingue de otros modos de
almacenamiento en red por el modo de acceso a
bajo nivel. El tipo de tráfico en una SAN es muy
similar al de los discos duros como ATA, SATA y
SCSI. En otros métodos de almacenamiento,
(como SMB o NFS), el servidor solicita un
determinado fichero,
p.ej."/home/usuario/wikipedia". En una SAN el
servidor solicita "el bloque 6000 del disco 4". La
mayoría de las SAN actuales usan el protocolo
SCSI para acceder a los datos de la SAN, aunque
no usen interfaces físicas SCSI. Este tipo de redes
de datos se han utilizado y se utilizan
tradicionalmente en grandes main frames como en
IBM, SUN o HP. Aunque recientemente con la
incorporación de Microsoft se ha empezado a
utilizar en máquinas con sistemas operativos
Microsoft.
Seguridad y Alta Disponibilidad
27 Primo Guijarro, Álvaro
SAD
NAS
Un "NAS" (Almacenamiento conectado a red) es un dispositivo de almacenamiento de red. Un NAS es un servidor de almacenamiento que se puede conectar fácilmente a la red de una compañía para asistir al servidor de archivos y proporcionar espacio de almacenamiento tolerante a fallas.
Un NAS es un servidor separado que tiene su propio sistema operativo y un software de configuración parametrizado con valores predeterminados que se adaptan a la mayoría de los casos. Por lo general, posee su propio sistema de archivos que aloja al sistema operativo, así como también una serie de discos independientes que se utilizan para alojar los datos que se van a guardar.
Almacenamiento Clouding
El alojamiento web en la "nube" (cloud
hosting) está basado en las tecnologías más
innovadoras que permiten a un gran número de
máquinas actuar como un sistema conectadas a
un grupo de medios de almacenamiento, tiene
ventajas considerables sobre las soluciones de
web hosting tradicionales tal como el uso de
recursos. La seguridad de un sitio web alojado
en la "nube" (cloud) está garantizada por
numerosos servidores en lugar de sólo uno. La
tecnología de computación en la nube también
elimina cualquier limitación física para el
crecimiento en tiempo real y hace que la solución sea extremadamente flexible.
Seguridad y Alta Disponibilidad
28 Primo Guijarro, Álvaro
SAD
Políticas de almacenamiento
No es ninguna novedad el valor que tiene la información y los datos para nuestros
negocios . Los que resulta increíble de esto es la falta de precauciones que solemos tener
al confiar al núcleo de nuestros negocios al sistema de almacenamiento de lo que en la
mayoría de los casos resulta ser una computadora pobremente armada tanto del punto de
vista de hardware como de software.
Si el monitor, la memoria e incluso la CPU de nuestro computador dejan de funcionar,
simplemente lo reemplazamos, y no hay mayores dificultades. Pero si falla el disco
duro, el daño puede ser irreversible, puede significar la pérdida total de nuestra
información. Es principalmente por esta razón, por la que debemos respaldar la
información importante. Imaginémonos ahora lo que pasaría si esto le sucediera a una
empresa, las pérdidas económicas podría ser cuantiosas. Los negocios de todos los tipos
y tamaños confían en la información computarizada para facilitar su operación. La
pérdida de información provoca un daño de fondo:
- Pérdida de oportunidades de negocio
- Clientes decepcionados
- Reputación perdida
- Etc.
La tecnología no está exenta de fallas o errores, y los respaldos de información son
utilizados como un plan de contingencia en caso de que una falla o error se presente.
Asimismo, hay empresas, que por la naturaleza del sector en el que operan (por ejemplo
Banca) no pueden permitirse la más mínima interrupción informática.
Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de
electricidad, errores de hardware y software, caídas de red, hackers, errores humanos,
incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas
interrupciones, la empresa sí puede prepararse para evitar las consecuencias que éstas
puedan tener sobre su negocio. Del tiempo que tarde en reaccionar una empresa
dependerá la gravedad de sus consecuencias.
Seguridad y Alta Disponibilidad
29 Primo Guijarro, Álvaro
SAD
Riesgo a los cuales se encuentran inmersos los Sistemas de Información
Además, podríamos recordar una de las leyes de mayor validez en la informática, la
"Ley de Murphy":
- Si un archivo puede borrarse, se borrará.
- Si dos archivos pueden borrarse, se borrará el más importante.
- Si tenemos una copia de seguridad, no estará lo suficientemente actualizada.
La única solución es tener copias de seguridad, actualizarlas con frecuencia y esperar
que no deban usarse.
Respaldar la información significa copiar el contenido lógico de nuestro sistema
informático a un medio que cumpla con una serie de exigencias:
- Ser confiable: Minimizar las probabilidades de error. Muchos medios
magnéticos como las cintas de respaldo, los disquetes, o discos duros tienen
probabilidades de error o son particularmente sensibles a campos
magnéticos, elementos todos que atentan contra la información que hemos
respaldado allí.
- Estar fuera de línea, en un lugar seguro: Tan pronto se realiza el respaldo
de información, el soporte que almacena este respaldo debe ser desconectado
de la computadora y almacenado en un lugar seguro tanto desde el punto de
vista de sus requerimientos técnicos como humedad, temperatura, campos
magnéticos, como de su seguridad física y lógica.
Seguridad y Alta Disponibilidad
30 Primo Guijarro, Álvaro
SAD
- La forma de recuperación sea rápida y eficiente: Es necesario probar la
confiabilidad del sistema de respaldo no sólo para respaldar sino que
también para recuperar. Hay sistemas de respaldo que aparentemente no
tienen ninguna falla al generar el respaldo de la información pero que fallan
completamente al recuperar estos datos al sistema informático. Esto depende
de la efectividad y calidad del sistema que realiza el respaldo y la
recuperación.
Control de acceso lógico
Identificación
La identificación es el proceso por el cual se comprueba que un usuario
está autorizado a acceder a una serie de recursos. Este proceso de
identificación se realiza normalmente mediante un nombre de usuario
y contraseña; aunque actualmente también se utilizan los sistemas
biométricos para realizar los procesos de identificación.
Autenticación
Autenticación es el acto de establecimiento o
confirmación de algo (o alguien) como auténtico, es decir
que reclama hecho por, o sobre la cosa son verdadero. La
autenticación de un objeto puede significar (pensar) la
confirmación de su procedencia, mientras que la
autenticación de una persona a menudo consiste en
verificar su identidad. La autenticación depende de uno o
varios factores.
Seguridad y Alta Disponibilidad
31 Primo Guijarro, Álvaro
SAD
Autorización
La autorización es una parte del sistema
operativo que protege los recursos del
sistema permitiendo que sólo sean usados
por aquellos consumidores a los que se les ha
concedido autorización para ello. Los recursos
incluyen archivos y otros objetos de dato,
programas, dispositivos y funcionalidades
provistas por aplicaciones. Ejemplos de
consumidores son usuarios del sistema,
programas y otros dispositivos.
Políticas de Contraseñas
Contraseñas
Al conectarse a un sistema informático, generalmente se debe ingresar: un nombre de
registro o nombre de usuario y una contraseña para acceder. Este par nombre de
registro/contraseña forma la clave para tener acceso al sistema.
Mientras que al nombre de registro
generalmente lo brinda el sistema o el
administrador de forma automática, el
usuario casi siempre tiene la libertad de
elegir la contraseña. La mayoría de los
usuarios, como piensan que no tienen
ninguna información secreta que proteger,
usan una contraseña fácil de recordar (por
ejemplo, su nombre de registro, el nombre
de su pareja o su fecha de nacimiento).
Es posible que el hacker tenga acceso a la
red local desde la red de un equipo, lo que
significa que puede trazar un mapa de los
otros servidores al trabajar desde el equipo
al que tiene acceso.
Las contraseñas de los usuarios son la primera línea de defensa contra los ataques, por
eso es necesario definir una política de contraseñas para que los usuarios elijan
contraseñas lo suficientemente seguras.
Seguridad y Alta Disponibilidad
32 Primo Guijarro, Álvaro
SAD
Métodos de ataque
Muchos sistemas están configurados para bloquear transitoriamente la cuenta de un
usuario después de haber intentado conectarse sin éxito una cierta cantidad de veces. En
consecuencia, es difícil para un hacker infiltrarse en un sistema de esta manera.
Sin embargo, puede usar este mecanismo de autodefensa para bloquear todas las cuentas
de usuario para accionar una denegación de servicio.
En la mayoría de los sistemas, las contraseñas se guardan cifradas en un archivo o una
base de datos.
Sin embargo, si un hacker tiene acceso al sistema y a este archivo, puede tratar de
craquear una contraseña de usuario en particular o las contraseñas de todas las cuentas
de usuario.
Ataque de fuerza bruta
El término "ataque de fuerza bruta" se
usa para referirse al craqueo de una
contraseña al probar todas las posibles
combinaciones. Existe una variedad de
herramientas para todos los sistemas
operativos que permite realizar este tipo de
procedimiento. Los administradores de
sistema usan estas herramientas para probar
la solidez de sus contraseñas de usuario,
pero a veces los hackers las usurpan para
infiltrarse en sus sistemas informáticos.
Ataque de diccionario
Las herramientas para el ataque de fuerza pueden demorar horas o hasta días de
cálculos, incluso con equipos que cuentan con potentes procesadores. Una solución
alternativa es llevar a cabo un "ataque de diccionario". En la práctica, los usuarios
generalmente eligen contraseñas que tengan un significado. Con este tipo de ataque,
tales contraseñas se pueden craquear en sólo unos minutos.
Ataque híbrido
El último ataque de este tipo, el "ataque híbrido",
específicamente apunta a contraseñas compuestas por una
palabra tradicional seguida de un número o una letra (como
"marshal6"). Es una combinación entre el ataque de fuerza
bruta y el de diccionario.
Seguridad y Alta Disponibilidad
33 Primo Guijarro, Álvaro
SAD
Existen métodos que también permiten que un hacker obtenga contraseñas de usuario:
Los registradores de pulsaciones son programas de software que, al instalarlos en la estación de trabajo del usuario, registran lo que se pulsa en el teclado. Los sistemas operativos recientes presentan búfers protegidos que permiten retener la contraseña durante un tiempo y a los que sólo el sistema puede acceder.
La ingeniería social consiste en aprovecharse de la ingenuidad de la gente para obtener información. Así, un hacker puede acceder a la contraseña de una persona al hacerse pasar por un administrador de red o, a la inversa, puede contactar al soporte técnico y pedir reinicializar la contraseña usando como pretexto una situación de emergencia.
El espionaje es el método más antiguo utilizado. En este caso, un pirata sólo tiene que observar los papeles que estén alrededor de la pantalla o debajo del teclado del usuario para obtener la contraseña. Si el pirata es alguien en quien la víctima confía, sólo tiene que mirar sobre el hombro de esa persona cuando ingrese la contraseña para verla o adivinarla.
Elección de una contraseña
Mientras más larga sea la contraseña, más difícil será craquearla. Asimismo, una
contraseña compuesta sólo por números será mucho más fácil de craquear que una que
contenga letras:
Una contraseña de 4 números corresponde a 10.000 posibilidades (104). Aunque esta
cifra parezca elevada, un ordenador equipado con una configuración modesta puede
craquearla en cuestión de minutos.
Es conveniente usar una contraseña de 4 letras, para la que existen 456.972
posibilidades (264). Con esta misma lógica, una contraseña que combine números y
letras o que use mayúsculas y caracteres especiales, será aun más difícil de craquear.
Evite las siguientes contraseñas:
su nombre de registro su apellido su nombre o el de una persona querida (pareja, hijo, etcétera) una palabra del diccionario una palabra escrita al revés (las herramientas para craquear contraseñas tienen en
cuenta esta posibilidad) una palabra seguida de un número, el año actual o el año de nacimiento (por ejemplo
"contraseña1999").
Políticas de contraseña
El acceso a la cuenta de un solo empleado de una empresa puede poner en riesgo la
seguridad general de toda la organización. Por lo tanto, todas las empresas que deseen
garantizar un nivel de seguridad óptimo deben establecer una verdadera política de
protección de contraseña. Esto implica, particularmente, que los empleados elijan las
contraseñas a partir de ciertos requisitos, por ejemplo:
Que la contraseña tenga una longitud mínima
Seguridad y Alta Disponibilidad
34 Primo Guijarro, Álvaro
SAD
Que tenga caracteres especiales Que combinen mayúsculas con minúsculas
Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en
las contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto
dificulta el trabajo de los hackers que tratan de craquear las contraseñas con el correr del
tiempo. También es una excelente forma de limitar la duración de la contraseña
craqueada.
Por último, es aconsejable que los administradores usen software que craquea
contraseñas en sus contraseñas de usuario para probar su solidez. Sin embargo, se debe
hacer dentro del marco de la política de protección y con discreción para tener el apoyo
de la gerencia y los usuarios.
Varias contraseñas
No es bueno tener sólo una contraseña, como tampoco es bueno usar en su tarjeta
bancaria el mismo código que usa para su teléfono móvil y para la entrada a su edificio.
En consecuencia, es aconsejable tener varias contraseñas para cada categoría de uso,
dependiendo de la confidencialidad de los secretos que proteja. Por lo tanto, el código
de su tarjeta bancaria sólo debe usarse para ese propósito. Sin embargo, puede usar el
mismo código PIN que usa en su teléfono para el candado de una maleta.
De la misma manera, si se subscribe a un servicio en línea que solicita una dirección de
correo electrónico (por ejemplo, el boletín de noticias de Cómo Funciona), se
recomienda que no elija la misma contraseña que usa para esta dirección de mensajería
ya que un administrador inescrupuloso podría acceder fácilmente a su vida privada.
Ejemplo de contraseña fiable:
ClaVe12345-1
Seguridad y Alta Disponibilidad
35 Primo Guijarro, Álvaro
SAD
Auditorias de seguridad informática
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de
información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado
a cabo por profesionales generalmente por Ingenieros o
Ingenieros Técnicos en Informática para identificar,
enumerar y posteriormente describir las diversas
vulnerabilidades que pudieran presentarse en una revisión
exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y
reportan a los responsables quienes deberán establecer
medidas preventivas de refuerzo y/o corrección siguiendo
siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su realización
cuál es la situación exacta de sus activos de información en cuanto a protección, control
y medidas de seguridad.
Fases de una auditoría
Los servicios de auditoría constan de las siguientes fases:
Enumeración de redes, topologías y protocolos
Identificación de los sistemas operativos instalados
Análisis de servicios y aplicaciones Detección, comprobación y
evaluación de vulnerabilidades Medidas específicas de corrección Recomendaciones sobre
implantación de medidas preventivas.
Seguridad y Alta Disponibilidad
36 Primo Guijarro, Álvaro
SAD
Tipos de auditoría
Los servicios de auditoría pueden ser de distinta índole:
Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de
seguridad aplicados a los sistemas de información. Acciones como el constante cambio
en las configuraciones, la instalación de parches, actualización de los softwares y la
adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente
verificados mediante auditoría.
Herramientas de Auditorias informáticas
Nessus
Auditor de Seguridad Remoto. El cliente "The Nessus Security
Scanner" es una herramienta de auditoría de seguridad. Hace
posible evaluar módulos de seguridad intentando encontrar puntos
vulnerables que deberían ser reparados. Está compuesto por dos
partes: un servidor, y un cliente. El servidor/daemon, "nessusd" se
encarga de los ataques, mientras que el cliente, "nessus", se ocupa
del usuario por medio de una linda interfaz para X11/GTK+. Este
paquete contiene el cliente para GTK+1.2, que además existe en
otras formas y para otras platarformas.
Seguridad y Alta Disponibilidad
37 Primo Guijarro, Álvaro
SAD
Netcat
Una navaja multiuso para TCP/IP. Una utilidad simple para
Unix que lee y escribe datos a través de conexiones de red
usando los protocolos TCP o UDP. Está diseñada para ser
una utilidad del tipo "back-end" confiable que pueda ser
usada directamente o fácilmente manejada por otros
programas y scripts.
AUTOAUDIT
Es una herramienta dirigida al departamento de auditoría,
que permite realizar una planificación de Auditorías en
función de Evaluación de Riesgos, siguiendo
metodologías de evaluación vertical y/o por proceso.
Soportando todo el proceso y flujo de trabajo, desde la
fase de planificación, pasando por el trabajo de campo,
hasta la preparación del informe final.
¿Para que sirve la criptografía?
Los seres humanos siempre han sentido la necesidad de ocultar información, mucho
antes de que existieran los primeros equipos informáticos y calculadoras.
Desde su creación, Internet ha evolucionado hasta convertirse en una herramienta
esencial de la comunicación. Sin embargo, esta comunicación implica un número
creciente de problemas estratégicos relacionados con las actividades de las empresas en
la Web. Las transacciones que se realizan a través de la red pueden ser interceptadas y,
sobretodo, porque actualmente resulta difícil establecer una legislación sobre Internet.
La seguridad de esta información debe garantizarse: éste es el papel de la criptografía.
¿Qué es la criptografía?
La palabra criptografía es un término genérico que describe todas las técnicas que
permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica.
El verbo asociado es cifrar.
La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar
las letras que conforman el mensaje en una serie de números (en forma de bits ya que
los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos
números para:
modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple.
Seguridad y Alta Disponibilidad
38 Primo Guijarro, Álvaro
SAD
asegurarse de que el receptor pueda descifrarlos.
El hecho de codificar un mensaje para que sea secreto se llama cifrado. El método inverso, que
consiste en recuperar el mensaje original, se llama descifrado.
El cifrado normalmente se realiza mediante una clave de cifrado y el descifrado
requiere una clave de descifrado. Las claves generalmente se dividen en dos tipos:
Las claves simétricas: son las claves que se usan tanto para el cifrado como para el descifrado. En este caso hablamos de cifrado simétrico o cifrado con clave secreta.
Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico (también llamado cifrado con clave pública). En este caso, se usa una clave para el cifrado y otra para el descifrado.
En inglés, el término decryption (descifrado) también se refiere al acto de intentar
descifrar en forma ilegítima el mensaje (ya conozca o no el atacante la clave de
descifrado).
Cuando el atacante no conoce la clave de descifrado, hablamos de criptanálisis o
criptoanálisis (también se usa el término decodificación).
Las claves generalmente se dividen en dos tipos:
1.-Las claves simétricas: son las claves que se usan tanto para el cifrado como para el
descifrado. En este caso hablamos de cifrado simétrico o cifrado con clave secreta.
2.-Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico
(también llamado cifrado con clave pública). En este caso, se usa una clave para el
cifrado y otra para el descifrado. En inglés, el término decryption (descifrado) también
se refiere al acto de intentar descifrar en forma ilegítima el mensaje (ya conozca o no el
atacante la clave de descifrado). Cuando el atacante no conoce la clave de descifrado,
hablamos de criptanálisis o criptoanálisis (también se usa el término decodificación).
Seguridad y Alta Disponibilidad
39 Primo Guijarro, Álvaro
SAD
Ejemplo cifrado simetrico.
Las funciones de la criptografía
La criptografía se usa tradicionalmente para ocultar mensajes de ciertos usuarios. En la
actualidad, esta función es incluso más útil ya que las comunicaciones de Internet
circulan por infraestructuras cuya fiabilidad y confidencialidad no pueden garantizarse.
La criptografía se usa no sólo para proteger la confidencialidad de los datos, sino
también para garantizar su integridad y autenticidad.
Criptoanálisis
El criptoanálisis consiste en la reconstrucción de un mensaje cifrado en texto simple
utilizando métodos matemáticos. Por lo tanto, todos los criptosistemas deben ser
resistentes a los métodos de criptoanálisis. Cuando un método de criptoanálisis permite
descifrar un mensaje cifrado mediante el uso de un criptosistema, decimos que el
algoritmo de cifrado ha sido decodificado.
Generalmente, se distinguen cuatro métodos de criptoanálisis:
Un ataque de sólo texto cifrado consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados;
Un ataque de texto simple conocido consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados conociendo el texto correspondiente;
Un ataque de texto simple elegido consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados. El atacante tiene la opción de generarlos a partir de textos simples;
Seguridad y Alta Disponibilidad
40 Primo Guijarro, Álvaro
SAD
Un ataque de texto cifrado elegido consiste en encontrar la clave de descifrado utilizando uno o más textos cifrados. El atacante tiene la opción de generarlos a partir de los textos simples.
Políticas de Seguridad
Una política de seguridad en el ámbito de la criptografía de
clave pública o PKI es un plan de acción para afrontar riesgos
de seguridad, o un conjunto de reglas para el mantenimiento
de cierto nivel de seguridad. Pueden cubrir cualquier cosa
desde buenas prácticas para la seguridad de un solo ordenador,
reglas de una empresa o edificio, hasta las directrices de
seguridad de un país entero. La política de seguridad es un
documento de alto nivel que denota el compromiso de la
gerencia con la seguridad de la información. Contiene la
definición de la seguridad de la información bajo el punto de
vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta,
objetivos de seguridad, procedimientos (véase referencias más adelante). Debe estar
fácilmente accesible de forma que los empleados estén al tanto de su existencia y
entiendan su contenido. Puede ser también un documento único o inserto en un manual
de seguridad. Se debe designar un propietario que será el responsable de su
mantenimiento y su actualización a cualquier cambio que se requiera.
Cualquier política ha de contemplar seis elementos claves en la seguridad de un sistema
informático:
Disponibilidad: Es necesario garantizar que los recursos del sistema se encontrarán
disponibles cuando se necesitan, especialmente la información crítica.
Utilidad: Los recursos del sistema y la información manejada en el mismo ha de ser útil
para alguna función.
Integridad: La información del sistema ha de estar disponible tal y como se almacenó
por un agente autorizado.
Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los
usuarios la del sistema.
Confidencialidad: La información sólo ha de estar disponible para agentes autorizados,
especialmente su propietario.
Posesión: Los propietarios de un sistema han de ser capaces de controlarlo en todo
momento; perder este control en favor de un usuario malicioso compromete la
seguridad del sistema hacia el resto de usuarios.
Seguridad y Alta Disponibilidad
41 Primo Guijarro, Álvaro
SAD
Seguridad Activa y Pasiva
Podemos encontrar dos tipos de técnicas de seguridad para el proteger nuestro ordenador:
Seguridad activa
Tiene como objetivo proteger y evitar posibles daños en los
sistemas informáticos. Podemos encontrar diferentes recursos
para evitarlos como:
-Una de esas técnicas que podemos utilizar es el uso adecuado
de contraseñas, que podemos añadirles números, mayúsculas,
etc.
-También el uso de software de seguridad informática: como
por ejemplo ModSecurity, que es una herramienta para la
detección y prevención de intrusiones para aplicaciones web,
lo que podríamos denominar como “firewall web”.
-Y la encriptación de los datos.
Seguridad pasiva
Su fin es minimizar los efectos causados por un accidente, un usuario o malware. Las practicas
de seguridad pasiva más frecuentes y mas utilizadas hoy en día son:
-El uso de hardware adecuado contra accidentes y averías.
-También podemos utilizar copias de seguridad de los datos y
del sistema operativo.
Una practica también para tener seguro nuestro ordenador es
hacer particiones del disco duro, es decir dividirlo en distintas
partes. Existen dos tipos de particiones, particiones primarias y
particiones extendidas. Las particiones primarias sirven para
albergar sistemas operativos y datos de programa, todo disco
duro tiene al menos una partición primaria y las particiones
extendidas, las cuales se utilizan para alargar el número máximo
de particiones (aunque no se recomienden mas de 12), puesto
que una partición extendida puede contener tantas particiones
primarias como se quiera.
Seguridad y Alta Disponibilidad
42 Primo Guijarro, Álvaro
SAD
¿Qué es un análisis forense?
El análisis forense de sistemas pretende averiguar lo ocurrido durante una intrusión.
Busca dar respuesta a los interrogantes que normalmente envuelven a todo incidente:
quién realizó el ataque, qué activos de información se vieron afectados y en qué grado,
cuándo tuvo lugar, dónde se originó y contra qué blancos se dirigió, cómo fue llevado a
cabo y por qué.
Como si de un delito tradicional se tratase, el análisis
forense comprende dos fases: la primera, la captura
de las evidencias y su protección; la segunda, el
análisis de las mismas. Sin embargo, debido a que en
los crímenes digitales cada vez resulta más difícil dar
respuesta a los seis interrogantes, especialmente quién
realizó el ataque, la investigación forense suele
centrarse en averiguar qué fue dañado, cómo fue
dañado y cómo arreglarlo.
Durante la fase de recolección de evidencias se
captura todo aquello que resulte susceptible de posible análisis posterior y que pueda
arrojar luz sobre detalles de muestras de un delito. El análisis de la evidencia es la fase
más extensa y delicada, ya que requiere poseer conocimientos avanzados para poder
interpretar las pruebas incautadas, cuyo volumen puede llegar a ser inmenso.
Dependiendo de la calidad de los datos de registro de actividad se podrá realizar de
forma más o menos sencilla el análisis de la evidencia. Igualmente, dependiendo de la
información existente se procederá a obtener unos resultados más o menos
satisfactorios.
Análisis Forense de Dispositivos iOS – Fase de Evaluación
Lo que se debe realizar en esta fase es la evaluación de los recursos a los que tenemos
acceso y cuales son los objetivos para realizar la investigaron interna, pasando por las
siguientes etapas:
Notificar y obtener la autorización: En esta etapa del proceso forense, debemos obtener una autorización por escrito para iniciar el análisis forense, al igual que la firma de los acuerdos de confidencialidad, sin esta autorización por escrito nuestro análisis no tendría una validez legal y de hecho estaríamos cometiendo un delito.
Revisar las políticas y la legislación: Debemos documentarnos sobre todas las políticas y legislación vigente para el análisis forense y manejo de evidencias en el país donde se presente el incidente, ademas de todas las acciones y antecedentes que preceden la investigación.
Identificar a los miembros del equipo: Debemos identificar el grupo de trabajo que realizará la investigación, definir las responsabilidades de cada miembro, así como sus limites y funciones.
Realizar una evaluación: Debemos realizar una investigación preliminar que nos permita exponer la situación actual, hechos sucedidos, las personas u organizaciones afectadas, posibles sospechosos, gravedad y criticidad de la situación, daños causados
Seguridad y Alta Disponibilidad
43 Primo Guijarro, Álvaro
SAD
(clientes, impacto financiero, I+D, etc..), identificar topología (red, equipos, SO, etc..), realizar entrevista con funcionarios, usuarios, administradores y responsables de los sistemas, con esto lograremos tener un panorama mas claro que nos facilite una mejor comprensión de la situación.
Prepararse para la adquisición de pruebas: Identifique los equipos afectados (capacidad de disco, sistemas operativos, etc..), dispositivos de almacenamiento (memorias USB, discos duros, CDs, DVDs,cintas, etc…) vinculados al caso, así como realizar la sanitizacion de los medios donde realizaremos las respectivas copias bit a bit de los medios identificados en la etapa de identificación.
Análisis Forense de Dispositivos iOS – Fase de Adquisición
En esta fase se debe iniciar la investigación, determinar las herramientas que vamos a
utilizar, recopilar los datos, revisar la legislación para el manejo de evidencias y
almacenar la evidencia, para ello pasamos por las siguientes etapas:
Construcción de la investigación: Debemos iniciar una bitácora, ya sea digital o manuscrita donde documentemos detalladamente toda la información referente a la investigación, quien realiza una determinada labor y por qué, que intentaba conseguir con esa labor, como la realizó, que herramientas y procedimientos utilizó, todo esto detallado con fechas y horas.
Recopilar los datos: Antes de iniciar con la recolección de datos, es recomendable asegurarse que ya se han realizado los respectivos procedimientos para salvaguardar la evidencia física (huellas, rastros de ADN, toma de fotografías, etc… ) para poder realizar ciertos procedimientos con el dispositivo iOS (que no afecta la evidencia si se documenta adecuadamente) y pueden evitarnos algunos dolores de cabeza mas adelante, como por ejemplo desactivar el bloqueo automático, extraer información básica del dispositivo y activar el modo avión, después de esto pasamos a realizar una copia (bit a bit) del dispositivo y firmarla con un hash SHA1 0 MD5, generando de esta forma “el segundo original”, a partir del cual se generaran las copias que se utilizaran en la fase de análisis (con cada una de ellas se debe comprobar que el hash corresponda al del segundo original).
Almacenar y archivar: En esta etapa debemos documentar adecuadamente la evidencia con su correspondiente documento de embalaje y cadena de custodia, la cual debe contener una linea de tiempo donde relacione quien ha accedido a la evidencia, que realizo con ella, por que motivo y a que hora; Después de eso pasamos a archivar dicha evidencia asegurandonos que el lugar donde lo hagamos cumpla con las buenas practicas para conservar la información y la legislación existente sobre el manejo de evidencias digitales. El lugar donde se almacene la evidencia debe contar con una buena seguridad física que evite la manipulación de la evidencia, una jaula de Faraday para almacenar en ella los dispositivos que accedan a redes telefónicas o inalámbricas y una bitácora donde se almacenen los nombres de las personas que después de almacenada, accedan a la evidencia, la cual debe tener la fecha/hora, el tiempo que demoró revisando la evidencia y la fecha/hora en que esta la devuelve si acaso la sacó; La información de esta bitácora debe ser completa, correcta, autentica y convincente, para que en caso de un proceso legal pueda ser admitida en un juzgado.
Seguridad y Alta Disponibilidad
44 Primo Guijarro, Álvaro
SAD
Análisis Forense de Dispositivos iOS – Fase de Análisis
En esta fase se debe iniciar el análisis de los dispositivos, para llevar a cabo esta labor,
definiremos los objetivos y criterios de búsqueda a utilizar para dar con la información
que necesitamos, utilizaremos una copia del segundo original generado previamente y
una vez comprobada (determinar si los hash corresponden al segundo
original) analizaremos sus archivos para extraer y relacionar la información que nos
permita cumplir con los objetivos planteados, las etapas de este paso son:
Análisis de datos de la red: Normalmente cuando realizamos una investigación donde están relacionados equipos de computo, lo primero que hacemos en la fase de análisis es identificar los dispositivos de defensa (IDS, IPS, Firewall, Proxy, etc…) y de comunicación que se encuentran en la red, ya que normalmente al recuperar sus logs y relancionarlos con el equipo que estamos analizando, podemos obtener una buena cantidad de información sobre el comportamiento de ese equipo en la red donde se encuentra. Pero cuando tratamos con dispositivos móviles el escenario es muy diferente, ya que por lo general ellos cuentan con su propia red de datos o se conectan a distintas redes según donde se encuentren y en la mayoría de casos, las redes a las que se conectan, no cuentan con alguna implementación de defensa a la cual sacarle logs.
Análisis los datos host: Utilizando una copia de su segundo original, procesamos la información obtenida de cada sistema adquirido, de la lectura de las Aplicaciones, logs y las configuraciones propias del iOS, (esto se puede hacer manualmente o con herramientas automatizadas). En cada caso esta etapa debe estar limitada a los parámetros y criterios de búsquedas definidos inicialmente para nuestro caso, ya que la información encontrada en estos dispositivo, suele ser extensa y puede complicar el análisis de datos si no definimos previamente lo que estamos buscando.
Análisis los medios de almacenamiento: Al analizar los medios de almacenamiento (en modo de solo lectura para evitar alterar la evidencia), debemos determinar si los archivos no tienen algún tipo de cifrado, es recomendable crear una estructura de Directorios y Archivos recuperados para ubicar fácilmente los datos, estudiar los Metadatos en especial las fechas de creación, actualización, acceso, modificación,
Seguridad y Alta Disponibilidad
45 Primo Guijarro, Álvaro
SAD
que nos pueden ayudar a determinar una linea de tiempo a evidencia debe ser cargada de solo lectura.
Análisis Forense de Dispositivos iOS – Fase de Informes
En esta fase se debe iniciar la organización de la información, para poder escribir los
informes que sustentarán las pruebas en un proceso legal, para esto básicamente
debemos tener en cuenta los siguientes pasos:
Recopilar y Organizar: En esta etapa retomamos toda la documentación generada en las fases anteriores, las notas, las bitácoras, los anexos y cualquier otra información generada, después identifiquemos lo mas importante y relevante para nuestra investigación, realizamos una lista de pruebas para presentar en el informe y unas conclusiones para ingresar en el.
Escribir el informe: Pasamos a escribir los informes, debemos tener en cuenta que tanto el informe debe tener los siguientes parámetros:
o Propósito: Todo informe tiene que tener definido de forma clara cual es su propósito, a que publico va dirigido y cual es su objetivo.
o Autor/Autores: En el informe debe estar detallado quien es el autor o autores de la investigación, cual fue su labor durante la investigación ademas de su responsabilidad en la misma y por ultimo debe tener la información de contacto para que puedan ubicarlos en caso de que sea necesario.
o Resumen de Incidentes: Se debe explicar el incidente y su impacto, de forma concisa, escrita de tal manera que una persona sin conocimientos técnicos, como un juez o jurado pueda entender lo sucedido y cómo ocurrió.
o Pruebas: Debes proporción una descripción de las pruebas adquiridas durante la investigación, las evidencias, cómo fueron adquiridas y quien las adquirió.
o Detalles: Debemos proporcionar una descripción detallada de lo que se analizó, los métodos que se utilizaron, explicar los resultados del análisis, listar los procedimientos que se llevaron a cabo durante la investigación y las técnicas de análisis que se utilizaron, también se deben incluir pruebas de sus resultados, los informes de servicios y las entradas de registro/logs del sistema.
o Justificar: Cada conclusión que se extrae del análisis debe estar justificada, debemos adjuntar documentos justificativos que incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como documentos que describen los procedimientos de investigación de equipos usados, panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionen información suficiente para que el lector del informe pueda comprender el incidente tanto como sea posible.
o Conclusión: Las conclusiones deben ser lo más claras posibles y sin ambigüedades, en ellas debemos resumir los resultados de la investigación, debemos ser específicos y citar pruebas concretas para demostrar las conclusiones, pero sin dar muchos detalles sobre ellos para no ser redundantes (ya que esta información esta en la sección “Detalles”).
o Glosario: Se debe considerar la creación de un glosario de términos utilizados en el informe, este glosario es especialmente valioso si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez, jurado debe revisar los documentos.
Seguridad y Alta Disponibilidad
46 Primo Guijarro, Álvaro
SAD
El informe ejecutivo: Debe ser claro, conciso y no debe contener lenguaje técnico, por el contrario debe ser escrito para la gente del común ya que por lo general va dirigido a gerentes, jueces que poco están relacionados con la informática en general y los términos ingenieriles que solemos utilizar.
El informe técnico: Este informe contrario al informe ejecutivo, va dirigido por lo general al departamento de sistemas u otros investigadores forense, por tanto debemos detallar todos los procedimientos realizados, debemos utilizar información técnica que permita a cualquier persona que siga esos pa
Otras herramientas usadas en la computación forense
OpenBSD: El sistema operativo preventivamente seguro.
TCP Wrappers: Un mecanismo de control de acceso y registro clásico basado
en IP.
pwdump3: Permite recuperar las hashes de passwords de Windows localmente
o a través de la red aunque syskey no esté habilitado.
LibNet: Una API (toolkit) de alto nivel permitiendo al programador de
aplicaciones construir e inyectar paquetes de red.
IpTraf: Software para el monitoreo de redes de IP.
Fping: Un programa para el escaneo con ping en paralelo.