CFGM.

Seguridad Informtica

Unidad 2
Seguridad pasiva.
Hardware y almacenamiento

Seguridad pasiva. Hardware y almacenamiento

CONTENIDOS
1. Ubicacin y proteccin fsica
2. Sistemas de alimentacin ininterrumpida
3. Almacenamiento de la informacin
4. Almacenamiento redundante y distribuido
5. Clusters de servidores
6. Almacenamiento externo

Seguridad pasiva. Hardware y almacenamiento

1. Ubicacin y proteccin fsica

El primer paso para establecer la seguridad de un servidor o un equipo es decidir adecuadamente dnde
vamos a instalarlo. Esta decisin resulta vital para el mantenimiento y proteccin de nuestros sistemas.
Los planes de seguridad fsica se basan en proteger el hardware de los posibles desastres naturales, de
incendios, inundaciones, sobrecargas elctricas, robos y otra serie de amenazas.

Se trata, por tanto, de aplicar barreras fsicas y

procedimientos de control, como medidas de
prevencin y contramedidas para proteger los
recursos y la informacin, tanto para mantener la
seguridad dentro y alrededor del Centro de
Clculo como los medios de acceso remoto a l
o desde l.
Cada sistema informtico es nico. Por ejemplo, en la
figura siguiente podemos observar la vista parcial de
un CPD de una organizacin grande, pero en
pequeas empresas u organizaciones, el CPD podra
estar compuesto solo por uno de estos mdulos o por
un servidor. Cuando hablemos del plan de seguridad
fsica no podemos pensar que existe un plan de
seguridad general aplicable a cualquier tipo de
instalacin.
3

Seguridad pasiva. Hardware y almacenamiento

1. Ubicacin y proteccin fsica

1.1.Factores para elegir la ubicacin

Cuando hay que instalar un nuevo centro de clculo es necesario fijarse en varios factores. En concreto, se
elegir la ubicacin en funcin de la disponibilidad fsica y la facilidad para modificar aquellos aspectos que
vayan a hacer que la instalacin sea ms segura. Existen una serie de factores que dependen de las
instalaciones propiamente dichas, como son:
El edificio. Debemos evaluar aspectos como el espacio del que se dispone, cmo es el acceso de
equipos y personal, y qu caractersticas tienen las instalaciones de suministro elctrico,
acondicionamiento trmico, etc.
Tratamiento acstico. En general, se ha de tener en cuenta que habr equipos, como los de aire
acondicionado, necesarios para refrigerar los servidores, que son bastante ruidosos. Deben instalarse en
entornos donde el ruido y la vibracin estn amortiguados.
Seguridad fsica del edificio. Se estudiar el sistema contra incendios, la proteccin contra inundaciones
y otros peligros naturales que puedan afectar a la instalacin.
Suministro elctrico propio del CPD. La alimentacin de los equipos de un centro de procesamiento
de datos tiene que tener unas condiciones especiales, ya que no puede estar sujeta a las fluctuaciones o
picos de la red elctrica que pueda sufrir el resto del edificio. No suele ser posible disponer de toda una red
de suministro elctrico propio, pero siempre es conveniente utilizar un sistema independiente del resto de la
instalacin y elementos de proteccin y seguridad especficos.

Existen otra serie de factores inherentes a la localizacin, es decir, condiciones ambientales que rodean al
local donde vayamos a instalar el CPD. Los principales son los factores naturales, los servicios disponibles,
especialmente de energa elctrica y comunicaciones, y otras instalaciones de la misma zona; y la seguridad
del entorno, ya que la zona donde vaya situarse el CPD debe ser tranquila, pero no un sitio desolado.

Seguridad pasiva. Hardware y almacenamiento

1. Ubicacin y proteccin fsica

1.1.Factores para elegir la ubicacin

Dnde se debe instalar el CPD?

Tendremos en cuenta que:
Deben evitarse reas con fuentes de interferencia de radiofrecuencia.
El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas inflamable
o nocivo.
El espacio deber estar protegido ante entornos peligrosos, especialmente
inundaciones. Se buscar descartar:
Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son ms
propensas al vandalismo o los sabotajes.
Stanos, que pueden dar problemas de inundaciones debido a caeras principales,
sumideros o depsitos de agua.
ltima Planta, evitando desastres areos, etc.
Encima de garajes de vehculos de motor, donde el fuego se puede originar y
extender ms fcilmente.
5

Seguridad pasiva. Hardware y almacenamiento

1. Ubicacin y proteccin fsica

1.2. Control de acceso

De modo complementario a la correcta eleccin de la ubicacin del CPD es necesario un frreo control de
acceso al mismo. Dependiendo del tipo de instalacin y de la inversin econmica que se realice se
dispondr de distintos sistemas de seguridad, como los siguientes:
Servicio de Vigilancia, donde el acceso es
controlado por personal de seguridad.

Detectores de Metales y escneres de

control de pertenencias, que permiten
revisar a las personas.

Utilizacin de Sistemas Biomtricos,

basados en identificar caractersticas nicas
de las personas cuyo acceso est autorizado.

Proteccin Electrnica, basada en el uso de

sensores conectados a centrales de alarma que
reaccionan ante la emisin de distintas seales.
6

Seguridad pasiva. Hardware y almacenamiento

1. Ubicacin y proteccin fsica

1.3. Sistemas de climatizacin y proteccin en el CPD

Adems de instalar el CPD en la mejor localizacin posible, es imprescindible que se instalen en su interior,
junto con los equipos propios de procesamiento de datos, sistemas de climatizacin, de proteccin contra
incendios (PCI) y sistemas de alarma apropiados.
Podemos, por ejemplo, utilizar un ventilador que expulsa el aire caliente al exterior para refrigerar un
servidor. Se debe tener en cuenta que haya recirculacin del aire, es decir, que el aire debe atravesar el
servidor.
Para un CPD que tenga varios Racks, podemos optar por el uso de equipos murales o equipos de techo,
donde tambin se puede instalar un secuenciador en una zona de temperatura caracterstica. Este
secuenciador proporciona un sistema de seguridad adicional, ya que alterna el uso de cada uno de los splits
instalados y, en caso de que suba la temperatura, ambos equipos se pondrn en funcionamiento para
enfriar el CPD.

Seguridad pasiva. Hardware y almacenamiento

1. Ubicacin y proteccin fsica

1.3. Sistemas de climatizacin y proteccin en el CPD

Los sistemas contra incendios son otro de los factores clave en un CPD. No es nuestra misin instalarlos, pero
s debemos conocer su funcionamiento bsico ya que de ello puede depender incluso nuestra propia
seguridad. Es habitual utilizar dos tipos:
Sistema de Deteccin, como el sistema de deteccin precoz, que realiza anlisis continuos del aire,
de modo que puede observar un cambio de composicin en el mismo.
Sistema de desplazamiento de oxgeno. Este tipo de sistemas reduce la concentracin de oxgeno,
extinguiendo as el fuego, de modo que no se utiliza agua, que puede daar los equipos electrnicos.

1.4. Recuperacin en caso de desastre

Nuestro objetivo debe ser siempre evitar daos en el CPD, pero hay que ser realistas y tener preparado
un plan de contingencia que debe ponerse en marcha en caso de desastre.
Una opcin que ha de tenerse en cuenta es tener un centro de backup independiente, de modo que aunque
los equipos del CPD queden fuera de servicio por una avera muy grave, la organizacin podr seguir
realizando su actividad con cierta normalidad.

En caso de que se produzca un desastre, el primer paso es que se rena el comit de crisis para
evaluar los daos. Si se decide poner en marcha el plan de contingencia, es importante que los
trabajos comiencen por recuperar las bases de datos y ficheros esenciales, as como desviar las
comunicaciones ms crticas al centro alternativo.

Seguridad pasiva. Hardware y almacenamiento

2. Sistemas de alimentacin ininterrumpida

2.1. Definicin de SAI

Un SAI o sistema de alimentacin ininterrumpida es un dispositivo electrnico que permite proteger a los
equipos frente a los picos o cadas de tensin. De esta manera se dispone de una mayor estabilidad frente a
los cambios del suministro elctrico y de una fuente de alimentacin auxiliar cuando se produce un corte de
luz.
Este tipo de sistemas nacieron originalmente con el objetivo de proteger el trabajo que se estaba realizando en el
momento en que se produca un apagn. Posteriormente se le ha agregado capacidad para poder continuar
trabajando cierto tiempo, aunque no se disponga de suministro.
Caractersticas de los SAIs:

Seguridad pasiva. Hardware y almacenamiento

2. Sistemas de alimentacin ininterrumpida

2.2. Tipos de SAI

En general, podemos identificar dos tipos de SAI, en funcin de su forma de trabajar:

Sistemas de alimentacin en estado de espera Stand-by Power Systems (SPS). Este tipo de SAI
activa la alimentacin desde bateras automticamente cuando detecta un fallo en el suministro elctrico.
SAI en lnea (on-line), que alimenta el ordenador de modo continuo, aunque no exista un problema en
el suministro elctrico, y al mismo tiempo recarga su batera. Este dispositivo tiene la ventaja de que
ofrece una tensin de alimentacin constante.

10

Seguridad pasiva. Hardware y almacenamiento

2. Sistemas de alimentacin ininterrumpida

2.3. Modo de funcionamiento

En la figura de la izquierda podemos ver una representacin de un SAI en lnea, en una situacin normal
donde hay suministro elctrico. El SAI est conectado, por un lado, a un enchufe de la red, a travs del cual
recibe la corriente con la que va cargando sus bateras, y por otro se conecta al equipo o equipos a los que
vaya a proteger.
En la figura de la derecha podemos ver cual es la situacin cuando se produce un corte de luz, y la
alimentacin del ordenador depende nicamente de las bateras internas del SAI. Dispondremos de
alimentacin el tiempo que estas bateras tarden en descargarse.

11

Seguridad pasiva. Hardware y almacenamiento

3. Almacenamiento de la informacin
Otro de los factores clave de la seguridad de cualquier sistema es cmo y donde se almacena la
informacin. En este punto hablaremos de los tres aspectos ms importantes que debemos tener en cuenta
cuando tratemos la seguridad fsica de la informacin: el rendimiento, la disponibilidad y la accesibilidad a la
misma.
Existen numerosas tcnicas que se esperan proporcionen estas caractersticas, como son los sistemas
RAID, los clusters de servidores y las arquitecturas SAN y NAS.
Siempre que hablemos de rendimiento nos
estaremos refiriendo a la capacidad de clculo de
informacin de un ordenador. El objetivo es obtener
un rendimiento mayor.
El concepto de disponibilidad har
referencia a la capacidad de los sistemas de
estar siempre en funcionamiento.
Otro factor importante es la accesibilidad a
la informacin; si nuestra informacin se
encuentra duplicada y en lugar seguro, pero
la accesibilidad a ella es mala, en caso de
desastre el tiempo que se emplear en
poner en marcha el plan de recuperacin
ser mayor que con un sistema accesible.
12

Seguridad pasiva. Hardware y almacenamiento

4. Almacenamiento redundante y distribuido

RAID consiste en un conjunto de tcnicas hardware o software que utilizando varios discos
proporcionan principalmente tolerancia a fallos, mayor capacidad y mayor fiabilidad en el
almacenamiento. Se trata de un sistema de almacenamiento que utilizando varios discos y
distribuyendo o replicando la informacin entre ellos consigue algunas de las siguientes
caractersticas:
Mayor capacidad: Es una forma econmica de conseguir capacidades grandes de
almacenamiento.
Mayor tolerancia a fallos: En caso de producirse un error, con RAID el sistema ser capaz
en algunos casos de recuperar la informacin perdida y podr seguir funcionando
correctamente.
Mayor seguridad: Debido a que el sistema es ms tolerante con los fallos y mantiene
cierta informacin duplicada, aumentaremos la disponibilidad y tendremos ms garantas de
la integridad de los datos.
Mayor velocidad: Al tener en algunos casos cierta informacin repetida y distribuida,
se podrn realizar varias operaciones simultneamente.
13

Seguridad pasiva. Hardware y almacenamiento

4. Almacenamiento redundante y distribuido

Este conjunto de tcnicas estn organizadas en niveles. Algunos de estos niveles son:
RAID nivel 0 (RAID0): En este nivel los datos se distribuyen equilibradamente entre dos o ms discos.
Como podemos ver en la figura de abajo los bloques de la unidad A se almacenan de forma alternativa
entre los discos 0 y 1 de forma que los bloques impares de la unidad se almacenan en el disco 0 y los
bloques pares en el disco 1.

Esta tcnica favorece la velocidad debido a que

cuando se lee o escribe un dato, si el dato est
almacenado en dos discos diferentes, se podr
realizar la operacin simultneamente.

Hay que tener en cuenta que RAID 0 no

incluye ninguna informacin redundante, por lo
que en caso de producirse un fallo en cualquiera
de los discos que componen la unidad provocara
la prdida de informacin en dicha unidad.

14

Seguridad pasiva. Hardware y almacenamiento

4. Almacenamiento redundante y distribuido

RAID nivel 1 (RAID1): A menudo se conoce tambin como espejo. Consiste en

mantener una copia idntica de la informacin de un disco en otro u otros discos.
Como podemos ver en la figura
todos los bloques de la unidad A se
almacenan de forma idntica en ambos
discos.

Si se produjera un fallo en un disco la

unidad podra seguir funcionando sobre un
solo disco.

El principal inconveniente es que el espacio de

la unidad se reduce a la mitad del espacio
disponible.
15

Seguridad pasiva. Hardware y almacenamiento

4. Almacenamiento redundante y distribuido

RAID nivel 5 (RAID5): En RAID 5 los bloques de datos que se almacenan en la unidad, y la
informacin redundante de dichos bloques se distribuye cclicamente entre todos los discos que forman el
volumen RAID5. Por ejemplo si aplicamos RAID5 sobre un conjunto de 4 discos los bloques de datos se
colocan en tres de los cuatro discos, dejando un hueco libre en cada lnea que ir rotando de forma
cclica. En este hueco se colocar un bloque de paridad. Con este sistema, el bloque de paridad se coloca
cada vez en un disco.

El bloque de paridad se calcula a

partir de los bloques de datos de la
misma lnea, de forma que el primero
ser un 1, si hay un nmero impar de
unos en el primer bit de los bloques de
datos de la misma lnea, y 0 si hay un
nmero par de unos.

16

Seguridad pasiva. Hardware y almacenamiento

4. Almacenamiento redundante y distribuido

4.1. RAID en Windows

En Windows estamos acostumbrados a que una unidad fsica corresponda con una unidad lgica (o
varias en caso de tener varias particiones). Este es el concepto clsico de Windows, los discos
bsicos.
Al igual que en los discos bsicos crebamos unidades lgicas, en los discos dinmicos
creamos volmenes dinmicos.
Existen cinco tipos de volmenes dinmicos:
Simples: Es un volumen que utiliza espacio de un solo disco fsico. Es el tipo de disco dinmico que
se crea cuando transformamos una unidad lgica en un volumen dinmico.
Distribuidos: Es un volumen que se crea ocupando espacio de varios discos. Se construye como una
concatenacin de discos, sin existir una regla que especifique cmo tienen que almacenarse los datos en los
discos.
Seccionados: Corresponde con el nivel 0 de RAID.
Reflejados: Corresponde con el nivel 1 de RAID.
Raid-5: Corresponde con el nivel 5 de RAID.
17

Seguridad pasiva. Hardware y almacenamiento

4. Almacenamiento redundante y distribuido

4.2. RAID en Windows Vista

Dentro de la rama de sistemas operativos de Microsoft no orientados a servidores (Windows XP, Vista...)
solo es posible crear los tres primeros tipos de volmenes dinmicos: simples, distribuidos y seccionados.

18

Seguridad pasiva. Hardware y almacenamiento

4. Almacenamiento redundante y distribuido

4.3. RAID en Windows 2008 Server

En la rama de sistemas operativos de servidor de Microsoft, podemos crear todos los tipos de
volmenes dinmicos enumerados en el epgrafe 4.1.

19

Seguridad pasiva. Hardware y almacenamiento

5. Clusters de servidores
Un cluster de servidores es un grupo de ordenadores que se unen mediante una red de alta velocidad,
de tal forma que el conjunto se ve como un nico ordenador, mucho ms potente que los ordenadores
comunes.
Una de sus principales ventajas es que no es necesario que los equipos que lo integren sean iguales a
nivel hardware ni que dispongan del mismo sistema operativo.
Con este tipo de sistemas se busca conseguir cuatro servicios principales:

20

Alta disponibilidad.

Balanceo de carga.

Alto rendimiento.

Escalabilidad.

Seguridad pasiva. Hardware y almacenamiento

5. Clusters de servidores
5.1. Clasificacin de los clusters

Existen tres tipos de clusters relacionados con los servicios que ya hemos mencionado
anteriormente:
Clusters de alto rendimiento (HPC High Performance Clusters). Este tipo de sistemas
ejecutan tareas que requieren de una gran capacidad de clculo o del uso de grandes
cantidades de memoria (e incluso de ambas conjuntamente).
Clusters de alta disponibilidad (HA High Availability). Con estos clusters se busca dotar
de disponibilidad y confiabilidad a los servicios que ofrecen. Para ello se utiliza hardware
duplicado, de modo que al no tener un nico punto de fallos se garantiza la disponibilidad del
sistema.
Clusters de alta eficiencia (HT High Throughput). En estos sistemas el objetivo
central de diseo es que se puedan ejecutar el mayor nmero de tareas en el menor
tiempo posible.
Clasificacin de los clusters por su mbito de uso, donde hablaremos de dos tipos:

Clusters de infraestructuras comerciales, que conjugan la alta disponibilidad con la

alta eficiencia.
Clusters cientficos, que en general son sistemas de alto rendimiento.
21

Seguridad pasiva. Hardware y almacenamiento

5. Clusters de servidores
5.2. Componentes de los clusters

Para que un cluster funcione necesita de una serie de componentes, que pueden tener
diversos orgenes. Entre estos componentes estn:
Nodos: es el nombre genrico que se dar a cualquier mquina que utilicemos para
montar un cluster, como pueden ser ordenadores de sobremesa o servidores. An cuando
podemos utilizar cualquier tipo de hardware para montar nuestro sistema, es siempre
buena idea que haya cierto parecido entre las capacidades de todos los nodos.
Sistema operativo: podemos utilizar cualquier sistema operativo que tenga dos
caractersticas bsicas: debe ser multiproceso y multiusuario.
Conexin de Red: es necesario que los distintos nodos de nuestra red estn conectados entre
s.
Middleware: es el nombre que recibe el software que se encuentra entre el sistema
operativo y las aplicaciones.

22

Sistema de almacenamiento: podemos hacer uso de un sistema de almacenamiento

interno en los equipos, utilizando los discos duros de manera similar a como lo hacemos en un
PC, o bien recurrir a sistemas de almacenamiento ms complejos, que proporcionarn una
mayor eficiencia y disponibilidad de los datos.

Seguridad pasiva. Hardware y almacenamiento

6. Almacenamiento externo
Una posibilidad es utilizar los sistemas de almacenamiento de los nodos, sus discos duros, por ejemplo.
Pero existen otras alternativas que nos permitirn un control y una gestin mucho mayores sobre los datos
procesados, como las tecnologas NAS y SAN. El uso de cualquiera de estas tecnologas es independiente
de la existencia de un cluster.

6.1. Network Attached Storage

Los dispositivos NAS (Network Attached Storage) son dispositivos de
almacenamiento especficos, a los cuales se accede utilizando protocolos de
red, generalmente TCP/IP.

La idea consiste en que el usuario solicita al servidor un fichero

completo y, cuando lo recibe, lo maneja localmente, lo cual hace que
este tipo de tecnologa sea ideal para el uso con ficheros de pequeo
tamao.

Los sistemas NAS suelen estar compuestos por uno o ms dispositivos

que se disponen en RAID, lo que permite aumentar su capacidad,
eficiencia y tolerancia ante fallos.
23

Seguridad pasiva. Hardware y almacenamiento

6. Almacenamiento externo
6.2. Storage Area Network

Una red SAN (Storage Area Network) o red con rea de almacenamiento, est pensada para conectar
servidores, discos de almacenamiento, etc., utilizando tecnologas de fibra (que alcanzan hasta 8Gb/s).
El uso de conexiones de alta velocidad permite que sea posible
conectar de manera rpida y segura los distintos elementos de
esta red, independientemente de su ubicacin fsica.
De modo general, un dispositivo de almacenamiento no es
propiedad exclusiva de un servidor, lo que permite que
varios servidores puedan acceder a los mismos recursos.
El funcionamiento se basa en las peticiones de datos que
realizan las aplicaciones al servidor, que se ocupa de
obtener los datos del disco concreto donde estn
almacenados

Dependiendo de la cantidad de informacin manejada,

podremos optar por el uso de una u otra tecnologa. No
obstante, existe la posibilidad de combinarlas en sistemas
cuyas caractersticas as lo requieran.
24

Seguridad pasiva. Hardware y almacenamiento

Crditos
Autores del libro del alumno

Csar Seoane Ruano, Ana Beln Saiz Herrero,

Emilio Fernndez lvarez, Laura Fernndez Aranda
Edicin

Estudio177.com, Laura Garca Olaya

25