17 Sep

Gestión y Políticas de Almacenamiento

La gestión y políticas de almacenamiento implican el control sobre la información para garantizar su seguridad física y lógica. Una correcta gestión requiere la toma de decisiones sobre qué información se va a almacenar, con qué frecuencia se usará y cómo se modificará.

Seguridad Física

  • Control de acceso al medio con sistemas biométricos.
  • Utilización de dispositivos NAS (Network Attached Storage).
  • Utilización de una red de área de almacenamiento (SAN).

Seguridad Lógica

  • Cifrado de datos.
  • Bloqueo de dispositivos.

Concepto de Seguridad en Sistemas

La seguridad en sistemas engloba aquellas características y medidas que permiten mantener la información de forma segura y protegerla de accesos no autorizados.

Políticas de Almacenamiento

Las políticas de almacenamiento establecen normas para:

  • El almacenamiento en los equipos de trabajo.
  • El uso de dispositivos externos de memoria.
  • El almacenamiento en la red de la empresa.
  • La realización de copias de seguridad.

Dispositivos de Almacenamiento

Los dispositivos de almacenamiento sirven para guardar y manejar información. Se pueden clasificar de varias maneras:

Clasificación por Medio

  • Magnéticos: Discos duros.
  • Ópticos: CD, DVD.
  • Electrónicos: Memorias flash (SSD, USB).
  • Otros: Memorias híbridas.

Clasificación por Conexión

  • Dispositivos Locales: Conectados directamente al equipo y gestionados por el mismo.
  • Dispositivos Externos: Gestionados por un sistema ajeno al equipo.
  • Externos Remotos: Almacenan la información en dispositivos ubicados fuera de la organización.
  • Externos de Almacenamiento en Red:
    • NAS (Network Attached Storage): Tecnología de almacenamiento accesible desde la red que amplía la capacidad del sistema sin necesidad de añadir, modificar o cambiar los servidores de la organización. Se accede a través de TCP/IP.
    • SAN (Storage Area Network): Alternativa a los sistemas NAS, es una red de área de almacenamiento que crea una red especializada y normalmente complementaria a la red de la organización, generalmente por fibra óptica.

Sistemas RAID (Redundant Array of Independent Disks)

Los sistemas RAID implican la utilización de varios discos sobre los cuales se distribuyen los datos y alguna información adicional. Su finalidad es mejorar la tolerancia a fallos y la integridad de los datos, aumentar la capacidad de almacenamiento e incrementar el rendimiento.

RAID 0

Utiliza dos discos donde la información se distribuye en stripes o bandas entre ambos, con el objetivo de acceder más rápidamente a los datos. Incrementa el rendimiento y no se produce una pérdida de capacidad de almacenamiento. Su principal inconveniente es que no realiza duplicación de la información, por lo que no existe redundancia ni tolerancia a fallos.

RAID 1

Requiere dos discos, donde la información se duplica de uno a otro, ya que cada disco es una copia exacta del otro. Esto implica que se desperdicia la mitad de la capacidad de almacenamiento. Tradicionalmente, es el sistema más lento en escritura, aunque las implementaciones más modernas de RAID 1 aprovechan los datos copiados en ambos discos para incrementar el rendimiento en la lectura.

RAID 5

Se pueden usar tres discos, aunque se recomienda usar cinco para un rendimiento óptimo. La información se reparte entre los discos y se incluye información de paridad. En caso de perder un disco, la información es deducible a partir del resto de discos, lo que ofrece una mínima pérdida de capacidad y buena tolerancia a fallos, además de un buen rendimiento general.

Sus inconvenientes incluyen el coste y la complejidad de configuración, una ligera pérdida de capacidad de almacenamiento debido a la paridad, una penalización en el tiempo de escritura y no son aptas para proteger contra la pérdida de datos por virus (ya que la paridad replicaría el estado infectado).

Copias de Seguridad (Backups)

Una copia de seguridad es una réplica de la información que se realiza como medida preventiva para proteger los datos.

Clases de Copias de Seguridad

  • Normales o Completas: Copian todos los archivos que se indiquen.
  • Diferenciales: Copian únicamente los archivos modificados después de la última copia completa.
  • Incrementales: Copian únicamente los archivos que se hayan modificado después de la última copia completa o diferencial.

Consideraciones para las Copias de Seguridad

Al planificar una estrategia de copias de seguridad, se deben tener en cuenta los siguientes factores:

  • Los datos a incluir en la copia de seguridad.
  • La frecuencia de modificación de los datos.
  • La frecuencia de la copia de seguridad.
  • El tipo de datos.
  • El uso de los datos durante la realización de la copia.
  • El tiempo requerido para la copia y la recuperación.

Gestión de Imágenes del Sistema

Es importante no confundir la creación de imágenes del sistema con las copias de seguridad. La gestión de imágenes del sistema consiste en la clonación o realización de una copia exacta de un disco, copiando tanto su estructura como sus contenidos.

Tipos de Imágenes del Sistema

  • Disco a Disco: Copia todo el contenido de un disco a otro.
  • Partición a Partición: Realiza la copia de particiones de forma individual.
  • A Archivo de Imagen: Copia el disco o una partición en un único archivo de imagen.

Recuperación de Datos Eliminados

La recuperación de datos eliminados puede recurrir a la restauración del sistema a un estado anterior mediante lo que se conoce como punto de restauración.

Vulnerabilidades de la Red por Nivel OSI

Cada nivel del modelo OSI presenta vulnerabilidades específicas que pueden ser explotadas por atacantes.

Nivel Físico

  • Ataques: Cortes o desconexiones de cables de red, interferencias electromagnéticas ocasionadas por dispositivos que impiden el funcionamiento normal.

Nivel de Enlace de Datos

  • Escuchas de red: Tanto intrusivas en medios cableados como no intrusivas en medios inalámbricos.
  • Falsificación de direcciones MAC: Para evitar restricciones de acceso basadas en el filtrado MAC.
  • Envenenamiento ARP (ARP Spoofing).

Nivel de Red

  • Suplantación de mensajes (IP Spoofing): El atacante envía paquetes con una dirección de origen diferente, modificándola por una dirección IP falsa o de otro equipo.
  • Denegación de Servicio (DoS): Realizan ataques de inundación de la red para generar un elevado tráfico hacia una víctima con el objetivo de saturar su línea de comunicación. Existe una gran variedad de ataques de denegación de servicio.

Nivel de Transporte

  • Denegación de Servicio (DoS): Utiliza técnicas de IP flooding sobre datagramas UDP, TCP, ICMP. Una variante es la inundación SYN, donde el atacante no completa el establecimiento de conexión TCP a propósito, provocando que el servidor desperdicie recursos.
  • Ataques de Reconocimiento: Consisten en realizar barridos de puertos contra un equipo para averiguar qué aplicaciones y puertos tiene en escucha y así poder planificar un ataque.

Niveles de Sesión, Presentación y Aplicación

  • Agotamiento de direcciones IP: Consiste en enviar una gran cantidad de peticiones DHCP.
  • Inyección SQL: Aprovecha vulnerabilidades en el diseño de una aplicación web para ejecutar código SQL no deseado.
  • XSS (Cross-Site Scripting): Inyectar código malicioso en las páginas web visitadas por los usuarios.
  • Escalada de directorios (Directory Traversal): Acceder a directorios a los que no se debería tener permiso.

Ataques de Denegación de Servicio (DoS) en Redes

Inundación IP

Es el envío de tráfico masivo para conseguir una degradación de los servicios en la red.

Falsificación de IP de Origen

Incluye ataques como Broadcast y Smurf:

  • Ataque Broadcast: El atacante falsea la dirección IP de origen, indicando la dirección de difusión de la red. Cada equipo responde a la dirección IP de origen que, al ser la dirección de difusión, provoca un envío masivo al resto de equipos de la red.
  • Ataque Smurf: El atacante falsea su dirección IP de origen enviando paquetes de difusión, haciéndose pasar por la dirección IP de la víctima. La víctima recibirá las respuestas de todas las estaciones de la red. Estos ataques pueden tener un único origen, pero es frecuente que se realicen desde varias máquinas para conseguir un mayor impacto.

Monitorización de Redes

Es necesario monitorizar y evaluar el rendimiento de la red a lo largo de su vida útil mediante herramientas que permitan conocer su comportamiento y detectar si se está haciendo un uso indebido que ocasione un consumo excesivo del ancho de banda.

Sistemas de Monitorización

  • Port Mirroring (Duplicación de Puertos): Consiste en configurar un dispositivo (como un switch) por el que pasa todo el tráfico de la red para que reenvíe una copia del tráfico a una herramienta de monitorización.
  • Network TAP (Test Access Point): Utiliza un dispositivo hardware que permite acceder al tráfico de datos en un punto de la red donde no es posible usar port mirroring.

Herramientas Comunes

Algunas herramientas muy utilizadas para la monitorización de redes son: Wireshark, Ettercap y Ntop.

Técnicas de Protección de Redes

Existen diversas técnicas y sistemas para proteger las redes informáticas, incluyendo cortafuegos, sistemas de detección de intrusos y proxies.

Cortafuegos (Firewalls)

Un cortafuegos permite o deniega todo el tráfico en función de parámetros definidos. Se pueden implementar dos políticas principales:

  • Política Permisiva: Se acepta todo el tráfico excepto aquellos paquetes especificados en las reglas.
  • Política Restrictiva: Se rechaza todo el tráfico por defecto y solo se permite el que haya sido aceptado explícitamente.

Configuración con Iptables

La configuración de iptables (comúnmente en /etc/init.d/ o /etc/sysconfig/iptables en sistemas Linux) se realiza mediante reglas que definen criterios que deben cumplir los paquetes para ser aceptados o rechazados. Las cadenas principales son:

  • INPUT: Analiza los paquetes dirigidos al equipo local.
  • OUTPUT: Analiza los paquetes que se han generado en el equipo local.
  • FORWARD: Se utiliza cuando el equipo con iptables actúa como router y redirige el tráfico.

Las acciones comunes para las reglas son:

  • ACCEPT: Acepta el paquete.
  • DROP: Rechaza el paquete sin enviar notificación al emisor.
  • REJECT: Rechaza el paquete y avisa al emisor.

Zonas Desmilitarizadas (DMZ)

Una DMZ es una red que suele albergar servidores que ofrecen algún servicio en internet. Actúa como intermediaria entre la red interna y la red externa. La red interna y la externa pueden establecer conexiones con la DMZ, pero desde la DMZ solo se permite establecer conexiones con la red externa, aumentando la seguridad de la red interna.

Detectores de Intrusos (IDS)

Un detector de intrusos es un dispositivo o software que alerta sobre ataques de red o de los equipos. Se clasifican en:

  • HIDS (Host-based IDS): Monitoriza y protege un equipo individual.
  • NIDS (Network-based IDS): Monitoriza y protege una red completa.
  • DIDS (Distributed IDS): Consiste en NIDS distribuidos y gestionados por una consola central.

Sistemas de Prevención de Intrusos (IPS)

Un sistema de prevención de intrusos es un elemento activo que trata de neutralizar el ataque adaptándose a él. Generalmente, están formados por un IDS y un cortafuegos, actuando de forma proactiva.

Proxies

Un proxy es un servicio normalmente instalado en un servidor o dispositivo dedicado que realiza la función de intermediario entre los clientes y los servicios que solicitan. Su uso más habitual es permitir el acceso a internet a los equipos de una organización cuando solo se puede disponer de un único equipo conectado. La navegación puede ser más rápida si se utiliza caché.

Gestión Unificada de Amenazas (UTM)

Los sistemas UTM (Unified Threat Management) combinan distintas técnicas de protección de redes en una única solución, como cortafuegos, antivirus, IPS, VPN, etc.

Protección en Redes Inalámbricas

Ataques Más Comunes en Redes Inalámbricas

  • Ataques de Denegación de Servicio Distribuido (DDoS).
  • Escuchas en el tráfico de la red.
  • Inyección de tráfico malicioso.
  • Conexiones no autorizadas.

Mecanismos de Seguridad Inalámbrica

  • WEP (Wired Equivalent Privacy): Presenta graves fallos de seguridad en su mecanismo de cifrado, por lo que su uso no es recomendable.
  • WPA (Wi-Fi Protected Access): Representó un estado intermedio de mejora sobre WEP.
  • WPA2 (Wi-Fi Protected Access II): Es el mecanismo de seguridad más adecuado para redes inalámbricas y ofrece mecanismos robustos como:
    • PSK (Pre-Shared Key): La contraseña se comparte entre el punto de acceso y los clientes de la red.
    • Enterprise (802.1X): Utiliza un servidor de autenticación (RADIUS) y puede incluir filtrado de direcciones MAC y ocultamiento del SSID para mayor seguridad.

Auditorías de Seguridad en Redes

Una auditoría de seguridad en redes es un proceso realizado por una persona o equipo denominado auditor, que puede ser personal de la propia empresa o de una empresa externa. Su objetivo es revisar el funcionamiento de un área específica de la organización.

Las auditorías pueden abarcar todos los departamentos de la empresa y tienen como finalidad:

  • Verificar si el sistema cumple con los estándares de seguridad.
  • Detectar vulnerabilidades.
  • Realizar un inventario y valoración de los activos.
  • Definir el sistema de medición de riesgos.
  • Realizar pentesting (pruebas de intrusión) para comprobar la fortaleza del sistema.

Tipos de Auditorías de Seguridad

  • Auditoría de red interna, perimetral y de DMZ.
  • Test de intrusión (Pentesting).
  • Auditoría de aplicaciones.
  • Análisis forense (si el sistema ya ha sido atacado).

Herramientas de Auditoría

  • Enumeración de Redes: Identificar las redes IP asociadas a la organización.
  • Rastreo de Redes: Obtener información más detallada a partir de la conseguida en la enumeración.
  • Barrido de Puertos: Trata de identificar qué puertos están abiertos en un ordenador para poder aprovechar ciertos servicios que dependen de ellos y potencialmente entrar en el sistema.
  • Fingerprinting: Sirve para identificar el sistema operativo y las versiones de las aplicaciones que se están usando en los servidores.

Normativa sobre la Seguridad y Protección de Datos

Ley Orgánica de Protección de Datos (LOPD)

Según la LOPD (Ley Orgánica de Protección de Datos), los datos de carácter personal son cualquier información concerniente a personas físicas. El tratamiento de datos engloba todas las operaciones y procedimientos mediante los que se recogen, almacenan y modifican los datos, así como las cesiones que se llevan a cabo de los mismos.

Conservación de los Datos

El responsable de los ficheros en los que consten datos personales deberá adoptar las medidas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida o acceso no autorizado.

ISO (Organización Internacional de Estandarización)

La ISO es la Organización Internacional de Estandarización y se dedica a la creación de normas o estándares para asegurar la calidad y seguridad de productos y servicios a nivel global. En el ámbito de la seguridad de la información, la norma ISO/IEC 27001 es particularmente relevante.

Etiquetas: , , ,

Deja un comentario