UNIVERSIDAD DR.

JOS MATAS DELGADO

FACULTAD DE ECONOMA, EMPRESA Y NEGOCIOS
LICENCIATURA EN TECNOLOGAS DE LA INFORMACIN

SEGURIDAD INFORMATICA 0
(SEI 0 2-1)

DOCUMENTACIN
RESUMEN CAP 3 Y 4. LIBRO SEGURIDAD INFORMATICA

FACILITADOR LIC. EDUARDO CHACHAGUA

PRESENTADO POR JUAN JOSE ALAS CASTILLO

JOS REYNALDO TREJO VALDEZ
HORACIO AQUILES QUITEO GUTIERREZ

Antiguo Cuscatln, 15 de marzo de 2017

 Unidad 3 - Seguridad Pasiva: Equipos

1 Ubicacin del Centro de Procesamiento de Datos (CPD).

Nos podemos dar cuenta que tan importante es tomar medidas para proteger los equipos como tambin
saber cmo actuar cuando estos fallen, aqu es donde toda empresa debe tener un "plan de recuperacin
de desastres" en el cual se detalla el procedimiento a seguir ante una cada severa de cualquiera de los
servicios de la compaa, este sufrir cambios (actualizaciones) por cada nuevo servicio o equipo que se
adquiera. El plan debe incluir los siguientes puntos:
Hardware: Que modelos de mquinas tenemos (servidores, equipo de comunicaciones) que modelos se
pueden utilizar como equipo de contingencia y el procedimiento de instalacin y configuracin de los
mismos.
Software: inventario de todo software instalado en cada equipo y realizar copias de seguridad.

1.1 Protection.
La proteccin de la informacin es el activo ms importante de una empresa, si los servidores se detienen,
la empresa se detiene y por cada segundo, por cada minuto la empresa pierde dinero. Qu pasa si la
empresa Claro tiene problemas y sus servidores dejan de funcionar por tan solo 30 minutos durante el
da? para evitar que esto le pase a cualquier empresa, el Centro de Procesamiento de Datos (CPD) debe
estar protegido al mximo y para ello debemos tomar en cuenta lo siguiente:
- Elegir un lugar (edificio) en lugares no propensos a desastres naturales y zonas de alto riesgo, como
zonas militares, gasolineras, explosivos
- Seleccionar primeras plantas de los edificios siempre hay riesgos de seguridad desde el exterior, pero
son ms seguras que las superiores o las subterrneas.
- Se recomienda que tengan dos accesos.
- Evitar sealizar de manera obvia el centro de datos para as dificultar su ubicacin a posibles
atacantes, la lista de empleados los cuales tienen acceso al centro de datos debe ser lo ms reducida
posible y muy bien controlada- Los pasillos que llevan al CPD deben ser anchos ya que el equipo que
entra y sale es robusto.
- Se debe utilizar en las paredes pintura plstica para evitar la generacin de polvo.
- Cielo y suelo falso, para facilitar los cableados de electricidad y comunicacin como tambin la
ventilacin.
- Empresas de alta seguridad recubren el cuarto de comunicaciones con un cofre de hormign, para as
protegerla de intrusiones.
- Instalacin de equipos de deteccin de humo y sistemas automticos de extincin de incendios.
- El mobiliario del cuarto de comunicaciones debe ser NO inflamable.

1.2 Aislamiento
En este apartado hablaremos de las cosas de las cuales debemos tener aislados nuestros equipos, por lo
tanto, hay que protegerlas ante:
- Temperatura: los procesadores de los equipos trabajan a altas velocidades por ende generan mucho
calor.
- Humedad: las distintas locaciones geogrficas influyen en la humedad del ambiente, por lo tanto, es
una buena prctica utilizar deshumidificadores.
- Interferencias electromagnticas: El centro de datos debe estar alejado de generadores de
electricidad, en ocasiones se debe introducir aislamiento acstico cuando exista el caso de muchas
mquinas trabajando al mismo tiempo.

1.3 Ventilacin
Los centros de datos no tienen ventanas ya que son ineficientes para la disipacin del calor y establecen
un riesgo de intrusin desde el exterior. La temperatura recomendable para un centro de datos es de
alrededor 22 grados. En los grandes centros de datos se suele tener un tipo especial de acomodacin para
que el aire caliente salga por unos extractores mientras se introduce aire frio por otras entradas de aire.
1.4 Suministro elctrico y comunicaciones
Podemos tener el mejor centro de datos, pero sin electricidad jams funcionara, as que recordemos que
tenemos que contratar este servicio, al igual que el servicio de comunicacin, para ambos casos debemos
contar con un proveedor de contingencia, este debe ser de una compaa diferente el cual nos brindara
el servicio al momento de que uno de los servicios principales falle.
Se recomienda que el suministro elctrico del centro de datos este separado del resto que alimenta al
edificio y as evitar que cualquier problema que se genere en alguna parte del edificio afecte el suministro
de nuestro centro de datos, y debido a que la empresa no puede permitirse una interrupcin del servicio,
se debe instalar una planta generadora de energa alimentada por combustible.
El mismo caso con el proveedor de servicio de comunicaciones de contingencia, se recomienda que utilice
una tecnologa diferente de transporte de datos en relacin al proveedor principal

1.5 Control de acceso

El acceso al rea de Centro de Procesamiento de Datos debe ser lo ms restringido posible y debe tenerse
un control muy riguroso en el cual solo los especialistas encargados de realizar procedimientos deben
tener acceso. Entre los controles de acceso podemos mencionar: contraseas, tarjetas, controles
biomtricos, sensores de presencia, cmaras de video y equipo de vigilantes de seguridad.

2 Centro de Respaldo
A pesar de tener tanta proteccin en los puntos anteriores es de rigor instalar un segundo centro de datos,
el cual ser nuestro centro de respaldo en caso pase una catstrofe a nuestro centro principal, este debe
estar en una ubicacin geogrfica distinta con relacin al principal, sabemos que la inversin para un
centro de datos de contingencia ser alta, as que debemos limitarnos a los servicios principales, o a los
mismos servicios con menos prestaciones, solamente para no quedar fuera del aire.
En estos casos debemos activar mecanismos especiales de rplica, ya que al momento en que nuestro
centro de datos principal falle, el de contingencia entre en funcionamiento y al hacerlo debe contar con
las configuraciones de servicios y datos que fueron modificados en el ltimo instante antes de la falla.
Cabe mencionar que despus que el centro de datos principal haya vuelvo a la normalidad, este debe
tener la capacidad de recibir una rplica de los datos y servicios que el centro de datos de contingencia
recibi en su ausencia, y que todo regrese a la normalidad. Todo este plan de recuperacin ante desastres
debe estar implcitamente escrito y descrito con lujo de detalle. Incluso conviene probarlo una vez al ao
para confirmar que los pasos estn bien descritos y el personal est capacitado para ejecutarlos bien.

3 SAI/UPS (Sistema de Alimentacin Ininterrumpida)

Como no podemos confiar en que nunca va a fallar la empresa con la que hemos contratado el suministro
elctrico, tenemos que pensar en alternativas. Hemos sugerido contratar un segundo suministrador
o disponer de un generador propio. En un centro de datos nunca debe faltar un SAI, en ingls UPS
(Uninterruptible Power Supply).
Es un conjunto de bateras que alimentan una instalacin elctrica (en nuestro caso, equipos
informticos).
Si el presupuesto lo permite, conviene aplicar redundancia e instalar un doble juego de equipos UPS, para
estar cubiertos en caso de que uno fallara. Esto es posible porque la mayora de los servidores vienen con
doble fuente de alimentacin y conectaramos una fuente a cada grupo de SAI.
Entre las ventajas de conectar los equipos a los UPS podemos mencionar:
Suelen llevar un estabilizador de corriente que quita los picos, que tambin pueden ser muy dainos,
tambin se incluye una entrada y salida de cable telefnico que sirve para proteger nuestra conexin,
porque las comunicaciones por lnea telefnica tambin utilizan corriente elctrica, y tambin estamos
expuestos a picos de tensin.

3.1 Tipos de UPS

Tradicionalmente se consideran dos tipos:
UPS en estado de espera (stand-by). Los equipos toman corriente del suministro principal, mientras el
UPS se limita a vigilar que ese suministro fluya. Cuando ocurre un corte, el UPS activa inmediatamente sus
bateras para que los equipos no se vean afectados. Cuando vuelve la corriente, desactiva la generacin
de corriente propia y empieza a cargar las bateras.

UPS en lnea (on-line). Los equipos siempre estn tomando corriente de las bateras del UPS. Cuando
ocurre un corte, el SAI se limita a aplicar los tiempos de espera. Cuando vuelve la corriente, empieza a
cargar las bateras.
La ventaja del UPS en lnea es que no dependemos del tiempo de respuesta para activar las bateras; en
cambio, la ventaja del UPS en espera es que podemos sustituir las bateras sin detener el suministro a los
equipos conectados.

3.2 Monitorizacin
Cuando tenemos un sistema de UPS confiamos de que est bien y no fallar, pero debemos realizar
revisiones peridicas para constatar su estado real. Muchos UPS incorporan una entrada de puerto seria
y USB que se conecta al equipo, se instala el software adecuado para realizar la comunicacin entre
dispositivos.
3.3 Triggers
El software del UPS, incluye la configuracin de los comandos para responder ante un corte de corriente.
En general, la respuesta consistir en realizar la parada ordenada de los equipos protegidos. Las opciones
principales son:
- Cundo hacerlo: en un instante concreto (cuando se alcance Battery Backup Time) o cuando detecte
que la carga de la batera est baja.
- Qu hacer con el sistema: suspenderlo o apagarlo.
- Qu comando ejecutar antes de empezar el apagado (Run Command File Before Shutdown). En este
apartado aprovecharemos para apagar las otras mquinas conectadas a este UPS.
3.4 Mantenimiento
Las bateras se desgastan con el tiempo y ofrecen cada vez menos rendimiento. El software del UPS nos
ayuda con el diagnostico de los mismos, nos permite lanzar determinados test para comprobar la
degradacin actual de las bateras. Si no es suficiente para garantizar la parada ordenada de los equipos
protegidos, debemos cambiarlas. Para cambiar las bateras acudiremos al personal especializado, porque
las bateras utilizan componentes qumicos muy peligrosos.
El Software tambin incluye operaciones automticas de descarga controlada, que alargan la vida de las
bateras.

UNIDAD 4 - Seguridad Pasiva: Almacenamiento

1 Estrategias de Almacenamiento
Para toda empresa el activo ms importante son sus datos, comparndolo con el hardware, este es caro,
pero se puede volver a comprar y hasta adquirir uno mejor, un empleado muy bueno puede despedirse y
contratar a otro mejor, si el S.O. de una PC se averi se lo volvemos a poner, todo esto puede ser
reemplazado en un tiempo razonable. Sin embargo, los datos de esa empresa son nicos: no se pueden
comprar, no se pueden contratar, no hay originales. Si se pierden, no los podemos recuperar (por lo
menos, ni fcil ni rpidamente).
Puesto que los datos son muy valiosos hay que esforzarse en mejorar su integridad y disponibilidad,
podemos adquirir mejores discos en calidad y velocidad. Podemos concentrar discos en servidores
especializados en almacenamiento. Podramos replicar la informacin en distintos servidores alrededor
del mundo.

1.1 Rendimiento y Redundancia. RAID en Windows y Linux

Las computadoras pueden conectar varios discos internos porque las placas base suelen traer integrada
una controladora de discos para dos o tres conexiones. Podemos aprovechar varios discos de un
ordenador para:
- Crear unidades ms grandes. Dos discos de 500 GB juntos nos pueden dar una unidad de 1 TB. Con
tres discos tenemos 1,5 TB, etc.
- Crear unidades ms rpidas. Si tenemos dos discos de 500 GB y configuramos el sistema para que, en
cada fichero, los bloques pares se escriban en un disco y los impares en otro, despus podremos hacer
lecturas y escrituras en paralelo (en el mejor caso, ahorramos la mitad de tiempo). Con un nico disco
de 1 TB tenemos la misma capacidad, pero cada lectura o escritura debe esperar que termine la
operacin anterior. La diferencia es ms notable si ponemos tres discos, cuatro, etc.
- Crear unidades ms fiables. Si configuramos los dos discos anteriores para que, en cada fichero, los
bloques se escriban a la vez en ambos discos, podemos estar tranquilos porque, si falla un disco, los
datos estarn a salvo en el otro

Pues una de las tecnologas que lo consigue se llama RAID. Hay varios niveles de RAID. Los ms
importantes son:
RAID 0. Agrupamos discos para tener un disco ms grande, incluso ms rpido. Desde ese momento, los
bloques que lleguen al disco RAID 0 se escribirn en alguno de los discos del grupo. Por supuesto, para el
usuario este proceso es transparente: l solo ve un disco de 1 TB donde antes haba dos discos de 500 GB.
En el RAID 0 podemos elegir entre spanning y striping (que es lo ms comn). En cualquier caso, si falla
uno de los discos, lo perdemos todo.

RAID 1. Se le suele llamar mirror o espejo. Agrupamos discos por parejas, de manera que cada bloque que
llegue al disco RAID 1 se escribir en los dos discos a la vez. Si falla uno de los discos, no perdemos la
informacin, porque estar en el otro. A cambio, sacrificamos la mitad de la capacidad (el usuario ha
conectado dos discos de 500 GB y solo tiene disponibles 500 GB, en lugar de 1 TB) y no ganamos
rendimiento.

RAID 5. Hemos visto que el RAID 0 es ms rpido que cada uno de los discos, pero tan seguro como
cualquiera de ellos. El RAID 1 es ms seguro que los discos por separado, pero con el mismo rendimiento.
El RAID 5 consigue ambas cosas aplicando dos mecanismos:
- Para cada dato que el sistema quiere almacenar en el RAID, este aplica un procedimiento matemtico
(en general, la paridad) para obtener informacin complementaria a ese dato, de tal manera que se
puede recuperar el dato en caso de perder cualquier disco (sea disco de datos o paridad).
- Una vez obtenida la paridad, se hace striping para repartir el dato y su paridad por los discos
conectados al RAID
Tenemos tres ficheros y queremos almacenarlos en un RAID donde, por simplificar, el tamao de stripe
es el mismo que el tamao de bloque del sistema operativo.

1.2 Almacenamiento en red: NAS y SAN. Clsteres

En el mundo real podemos darnos cuenta que en las empresas se suele trabajar en equipo compartiendo
archivos entre varios usuarios. tenemos que pensar como realizar esta tarea de forma segura y que solo
puedan tener acceso a ellos las personas autorizadas a hacerlo. Es lo que se conoce como NAS (Network
Attached Storage, almacenamiento conectado a la red). En ese esquema tenemos un equipo con
almacenamiento local (una carpeta del escritorio, o en mis documentos) que desea ofrecerlo a otros
equipos de la red.
Lo podemos realizar en un equipo cualquiera de un usuario final, pero tenemos las siguientes desventajas:
- Hacer de servidor de ficheros afectar al rendimiento de sus aplicaciones (Office, Chrome, etc.), y
viceversa.
- Estaramos pendientes de si la otra persona lo ha apagado al salir de la oficina (y puede que estemos
en edificios diferentes).
- Estamos expuestos a que un virus entre en ese equipo y borre todo.
Por tanto, lo mejor es ponerlo en un servidor dedicado y, a ser posible, especializado en almacenamiento.
De esta manera:
- Podemos instalar el software estrictamente necesario y tenerlo actualizado (menor riesgo de
infecciones).
- Estar bajo la supervisin del personal del centro de datos, lo que garantiza estar encendido todo el
tiempo, formar parte de la poltica de copias de seguridad de la empresa, detectar cuando el disco
est prximo a llenarse, etc.

En un entorno privado puede ser suficiente con un pequeo equipo que improvise un file server; pero en
un entorno empresarial necesitamos mucho ms rendimiento y seguridad, por lo que el equipo servidor
necesitar potencia de procesamiento. Si otros servidores tambin lo necesitan, seguramente optaremos
por una solucin SAN (Storage Area Network). En un SAN los discos estn en lo que se llama un
armarios, donde se realiza la configuracin RAID.
1.3 Almacenamiento en la Nube
Con las nuevas tendencias tecnolgicas los mtodos convencionales estn siendo reemplazados por
nuevos, como por ejemplo el almacenamiento en la nube, esto debido al nacimiento de nuevas
necesidades en el rea de IT, como, por ejemplo, tener informacin compartida con clientes y
proveedores, tener archivos disponibles desde nuestros hogares, celulares y dems equipos conectados
a la red.
Entre las alternativas se puede usar una memoria USB, pero esto expone de gran manera la informacin
hacia desconocidos, otra solucin podra ser abrir un acceso directo desde Internet hasta los discos de la
empresa. Funciona, aunque es delicado, porque al final es una puerta trasera por donde pueden
intentar entrar hackers, y llegar hasta esos discos o cualquier otro servidor nuestro.
Como alternativa, en los ltimos aos han aparecido multitud de servicios de almacenamiento en la nube:
La primera generacin (Megaupload, FileServe, etc.) consiste en que un usuario sube un fichero a una
web para que lo descarguen otros usuarios conectados a esa web.
La segunda generacin (Dropbox, iCloud, Box.net, Skydrive, Google Drive) es ms simple: directamente
sincronizan carpetas de los dispositivos (pc personal, mvil, tableta) entre s y con los servidores del
proveedor. Cualquier cambio que hagas en cualquier dispositivo automticamente ocurre en los dems.

2 Backup de Datos
Ninguna de las soluciones de almacenamiento en servidos es infalible contra desastres, por ello debemos
seguir protegiendo los datos, por eso debemos realizar copias de seguridad las cuales deben ser y/o estar
almacenadas en lugares alejados a nuestros centros de datos. Vamos a distinguir entre los siguientes
mtodos:
Backup de datos. Copia de seguridad de los datos del usuario o empresa que estn almacenados en un
ordenador. Se hace diariamente, incluso con ms frecuencia, dependiendo de la actividad de la empresa.
Imagen del sistema. Copia de seguridad de los programas (sistema operativo y aplicaciones) que estn
instalados en un ordenador. Normalmente se hace una imagen del sistema justo despus de instalarlo y
configurarlo, o despus de la instalacin de una aplicacin importante.

2.1 Tipos de Dispositivos Locales y Remotos. Robot de Cintas.

Una vez hemos confirmado qu informacin del disco duro queremos conservar y con qu frecuencia, hay
que decidir dnde hacemos la copia: soporte fsico y ubicacin. Podemos pensar en:
- Usar otra particin en el mismo disco duro. No es buena idea ya que si el disco se daa o si el equipo
se destruye perdemos todo.
- Pasarlo a un disco duro extrable tampoco es buena prctica ya que son ms delicados, de uso
frecuente, no vamos estar leyendo y escribiendo continuamente.
- Lo mejor es elegir entre cintas y discos, las cintas son mejores ya que tienen ms capacidad y son ms
fiables y reutilizables, las cintas ms usadas con las LTO (Linear Tape-Open). Y debemos recordar
utilizar un cifrado ya que estos medios de fcil transporte pueden caer en manos equivocadas.

Interesa centralizar estas tareas repetitivas y que las hagan mquinas, no personas. En las empresas se
suele instalar una librera de cintas (robot de cintas), donde se hace el Backup de todos los servidores de
la empresa y tambin aquellos puestos de trabajo que lo necesiten. Cada cinta est etiquetada y el robot
mantiene una base de datos donde registra qu cinta utiliz en cada momento. Las etiquetas suelen ser
cdigos de barras. Normalmente, la red que utiliza es una LAN o VLAN distinta a la LAN de trabajo. Al
utilizar una LAN diferente, la actividad de la empresa no se ve afectada por el trfico de backup, y
viceversa.
2.2 Tipos de Copias
Como hemos visto a lo largo de este resumen cada empresa debe identificar que datos proteger y que
mtodo utilizar. Debemos saber que existen 3 tipos de copias:
Completa. Incluye toda la informacin identificada. Si era una unidad de disco, todos los archivos y
carpetas que contiene; si era una base de datos, la exportacin de todas sus tablas.

Diferencial. Incluye toda la informacin que ha cambiado desde la ltima vez que se hizo una copia de
seguridad completa. Por ejemplo, si el lunes se hizo una completa y el martes solo ha cambiado el fichero
a.txt, en la cinta del martes solo se escribe ese fichero. Si el mircoles solo ha cambiado el fichero b.doc,
en la cinta del mircoles se escribirn a.txt y b.doc.

Incremental. Incluye toda la informacin que ha cambiado desde la ltima copia de seguridad, sea
completa o incremental. En el ejemplo anterior, la cinta del martes llevar el fichero a.txt, pero la cinta
del mircoles solo b.doc

Elegir entre diferencial o incremental para el backup diario depende de cada empresa. Si hay poca
actividad diaria, se puede permitir el diferencial, porque aporta la ventaja de que cada cinta diaria tiene
toda la informacin necesaria para recuperar ese da. Pero si hay mucha actividad, estamos de nuevo ante
el problema de mantener la consistencia de la copia.

3 Imagen del Sistema

La imagen del sistema no es tan importante como los datos contenidos dentro del sistema operativo, pero
es un procedimiento que nos ser de mucha ayuda para no realizar una instalacin desde cero de un
equipo de usuario final o un servidor lo cual nos tomara ms tiempo, esta imagen es como una clonacin
la cual guarda todos los ejecutables y datos de aplicaciones instaladas. La imagen no es un mtodo
adecuado de hacer copias de seguridad en una empresa.

3.1 Creacin y Recuperacin LiveCD

Existen varias herramientas en los distintos sistemas operativos para crear y recuperar imgenes (Norton
Ghost, Acronis True Image), pero presentan el inconveniente de ser formatos propietarios, de manera
que para recuperarlas necesitas el mismo programa (incluso la misma versin), lo cual puede ser un
problema en determinadas circunstancias.
El LiveCD Linux nos ahorra esas manipulaciones. Entre las ventajas podemos mencionar:
- Es una solucin vlida para clonar sistemas Windows o Linux en cualquiera de sus versiones.
- Es una solucin vlida para cualquier hardware convencional, porque Linux funciona en casi todas las
plataformas.
- Es una solucin interoperable: el formato del fichero es estndar, de manera que un fichero creado
con un LiveCD se puede recuperar con otro LiveCD diferente.

Entre los inconvenientes podemos mencionar:

- Como cualquier imagen, hay que recuperarla entera, no hay opcin de elegir carpetas o ficheros.
- Durante la recuperacin estamos escribiendo en todo el disco; un error en un sector puede
interrumpir la operacin.
- El tamao del disco donde recuperamos debe ser el mismo o superior al del disco original.

3.2 Congelacin
En algunos entornos nosotros como administradores no queremos que ningn usuario realice cambios de
ningn tipo en los equipos ya que por ejemplo en los cibercafs llegan muchas personas con michos
dispositivos y no queremos que nos infecten con ningn virus, as que para evitar esto existe el software
de congelacin. Las herramientas de congelacin suelen permitir mantener varios snapshots, para facilitar
volver a otras situaciones pasadas; aunque el espacio ocupado en el disco puede llegar a ser un problema.

3.3 Registro de Windows y Puntos de Restauracin

Los sistemas Windows incluyen una funcionalidad similar al software de congelacin se llaman puntos de
restauracin y recogen el estado de los ejecutables y la configuracin del sistema operativo (no se incluyen
los documentos de los usuarios). Es importante crear un punto de restauracin antes de efectuar cambios
importantes en el sistema. De hecho, las actualizaciones automticas de Windows siempre crean primero
un punto de restauracin. Antes de la instalacin de un parche complejo o si necesitamos modificar
manualmente algn valor del registro, conviene hacer una copia del mismo. Para ello ejecutaremos la
aplicacin REGEDIT programa en el cual podemos salvar el registro completo o solo la rama que se
modific.
3.4 Herramienta de Chuequeo de discos
Como medida preventiva tenemos herramientas con las cuales podemos detectar de forma temprana
fallos en nuestros equipos. Windows 7 trae la herramienta de comprobacin de errores. Se consigue lo
mismo ejecutando el comando chkdsk /f desde el cmd.

En Linux tenemos el comando fsck para comprobar la integridad del sistema de ficheros. Para comprobar
el disco podemos utilizar la utilidad de discos.
Hay una operacin especial llamada Datos SMART. Se refiere a un estndar utilizado en los discos duros
para analizar en detalle su estado. Si en esta herramienta la estimacin general es que el disco no est
sano, debemos sustituirlo cuanto antes.