Anda di halaman 1dari 55

Seguridad

Informtica
2 SMR - 2013/2014
Tema #2
Seguridad
Informtica
2 SMR - 2013/2014

Seguridad Pasiva. Hardware y almacenamiento


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

1. Seguridad Pasiva. Ubicacin y proteccin fsica

contenidos

1.1 Factores para elegir la ubicacin
1.2 Control del acceso.
1.3 Sistemas de climatizacin y proteccin en el CPD
1.4 Sistemas Contra Incendios.
1.5 Recuperacin en caso de desastre.

2. Sistemas de alimentacin ininterrumpida

2.1 Tipos de SAIs .

3. Almacenamiento de la informacin
3.1 Factores para elegir el sistema de almacenamiento
3.2 Tipos de almacenamiento
3.3 Discos en modo bsico y modo dinmico
3.1.1 Discos dinmicos
3.1.2 Volmenes
3.4 Almacenamiento redundante y distribuido
3.4.1 Niveles RAID anidados
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

1. Seguridad Pasiva. Ubicacin y proteccin fsica


La principal prioridad de la seguridad informtica debe ser minimizar las
posibilidades de que un hecho accidental o provocado dae el sistema y la
informacin del mismo, y que en caso de que inevitablemente ocurra, minimizar su
impacto.
La Seguridad Pasiva engloba todos aquellos elementos que minimizan el impacto o
accidente, destacando entre ellos la ubicacin fsica y la proteccin de los equipos as
como los sistemas de alimentacin ininterrumpida (SAI).
El primer paso para establecer la seguridad de un servidor o un equipo es decidir
adecuadamente dnde vamos a instalarlo. Esta decisin resulta vital para el
mantenimiento y proteccin de nuestros sistemas.
Los planes de seguridad fsica se basan en proteger el hardware de los posibles
desastres naturales, de incendios, inundaciones, sobrecargas elctricas, robos y otra
serie de amenazas.
Se trata, por tanto, de aplicar barreras fsicas y procedimientos de control, como
medidas de prevencin y contramedidas para proteger los recursos y la informacin,
tanto para mantener la seguridad dentro y alrededor del Centro de Clculo como los
medios de acceso remoto a l o desde l.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Cada sistema informtico es nico. Por


ejemplo, en la figura adjunta se puede
observar la vista parcial de un CPD de
una organizacin grande, pero en
pequeas empresas u organizaciones,
el CPD podra estar compuesto solo por
uno de estos mdulos o por un
servidor. Por ello, cuando se hable del
Plan de Seguridad Fsica no podemos
pensar que existe un plan de seguridad
general aplicable a cualquier tipo de
instalacin. Fig. Centro de Proceso de Datos (CPD)
1.1 Factores para elegir la ubicacin
Cuando hay que instalar un nuevo centro de clculo (CPD) es necesario
fijarse en varios factores como son la disponibilidad fsica y la facilidad para
modificar aquellos aspectos que permitan hacer que la instalacin sea ms
segura.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Existen una serie de factores que dependen de las instalaciones propiamente


dichas, como son:
El edificio. Se debe evaluar aspectos como el espacio del que se dispone,
cmo es el acceso de equipos y personal, y qu caractersticas tienen las
instalaciones de suministro elctrico, acondicionamiento trmico, etc.
Tratamiento acstico. En general, se ha de tener en cuenta que habr equipos,
como los de aire acondicionado, necesarios para refrigerar los servidores, que
son bastante ruidosos. Deben instalarse en entornos donde el ruido y la
vibracin estn amortiguados.
Seguridad fsica del edificio. Se estudiar el sistema contra incendios, la
proteccin contra inundaciones y otros peligros naturales que puedan afectar a
la instalacin.
Suministro elctrico propio del CPD. La alimentacin de los equipos de un
centro de procesamiento de datos tiene que tener unas condiciones especiales,
ya que no puede estar sujeta a las fluctuaciones o picos de la red elctrica que
pueda sufrir el resto del edificio. No suele ser posible disponer de toda una red
de suministro elctrico propio, pero siempre es conveniente utilizar un sistema
independiente del resto de la instalacin y elementos de proteccin y
seguridad especficos.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Otros factores. Existen otra serie de factores inherentes a la localizacin, es


decir, condiciones ambientales que rodean al local donde vayamos a instalar el
CPD.
Los principales son los factores naturales, los servicios disponibles,
especialmente de energa elctrica y comunicaciones, y otras instalaciones de
la misma zona; y la seguridad del entorno, ya que la zona donde vaya situarse el
CPD debe ser tranquila, pero no un sitio desolado.

Dnde se debe instalar el CPD?


Siempre que sea posible, a la hora de decidir la ubicacin del CPD, tendremos en
cuenta que:
Deben evitarse reas con fuentes de interferencia de radiofrecuencia.
El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas
inflamable o nocivo.
El espacio deber estar protegido ante entornos peligrosos, especialmente
inundaciones. Se buscar descartar:
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son
ms propensas al vandalismo o los sabotajes.
Stanos, que pueden dar problemas de inundaciones debido a caeras
principales, sumideros o depsitos de agua.
ltima Planta, evitando desastres areos, etc.
Encima de garajes de vehculos de motor, donde el fuego se puede originar y
extender ms fcilmente.
1.2 Control del acceso.
De modo complementario a la correcta eleccin de
la ubicacin del CPD es necesario un frreo control
de acceso al mismo. Dependiendo del tipo de
instalacin y de la inversin econmica que se
realice se dispondr de distintos sistemas de
seguridad, como los siguientes:
Servicio de Vigilancia, donde el acceso es
controlado por personal de seguridad.
Detectores de Metales y escneres de control FIG. Control del acceso
de pertenencias, que permiten revisar a las instalaciones Google
personas.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Utilizacin de Sistemas Biomtricos, basados en identificar caractersticas nicas


de las personas cuyo acceso est autorizado.
Proteccin Electrnica, basada en el uso de sensores conectados a centrales de
alarma que reaccionan ante la emisin de distintas seales.

1.3 Sistemas de climatizacin y proteccin en el CPD


Adems de instalar el CPD en la mejor
localizacin posible, es imprescindible que se
instalen en su interior, junto con los equipos
propios de procesamiento de datos, sistemas
de climatizacin, de proteccin contra
incendios (PCI) y sistemas de alarma
apropiados.
Podemos, por ejemplo, utilizar un ventilador
que expulsa el aire caliente al exterior para
refrigerar un servidor. Se debe tener en
cuenta que haya recirculacin del aire, es
decir, que el aire debe atravesar el servidor.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Figs. Sistemas de Climatizacin de un CPD


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Para un CPD que tenga varios Racks,


podemos optar por el uso de equipos
murales o equipos de techo, donde
tambin se puede instalar un secuenciador
en una zona de temperatura caracterstica.
Este secuenciador proporciona un sistema
de seguridad adicional, ya que alterna el
uso de cada uno de los splits instalados y,
en caso de que suba la temperatura,
ambos equipos se pondrn en
funcionamiento para enfriar el CPD.

1.4 Sistemas Contra Incendios.


Los sistemas contra incendios son otro de los factores claves en un CPD. Adems
del uso de extintores existen otros sistemas ms potentes de extincin de
incendios, como la extraccin de oxgeno, insercin de gases nobles, que
preservan mejor los equipos informticos no alcanzados por el fuego al no tener
que entrar en contacto con el agua ni con el lquido de los extintores.
Si la empresa es lo suficientemente grande, puede disponer de un sistema contra
incendios centralizado que, mediante una bomba, surte de agua a todas las
plantas del edificio.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Fig. Sistemas contra incendios


Los sistemas contra incendios ms utilizados en la actualidad son los siguientes:
Sistema de Deteccin, como el sistema de deteccin precoz, que realiza anlisis
continuos del aire, de modo que puede observar un cambio de composicin en el
mismo.
Sistema de desplazamiento de oxgeno. Este tipo de sistemas reduce la
concentracin de oxgeno, extinguiendo as el fuego, de modo que no se utiliza
agua, que puede daar los equipos electrnicos.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Caso Prctico #1
Estudie el esquema general de instalacin de un sistema contra
incendios y de climatizacin tpico de un CPD. Tcnicas y elementos
de instalacin modernos utilizadas.

1.5 Recuperacin en caso de desastre.


Nuestro objetivo debe ser siempre evitar daos en el CPD, pero hay que ser realistas
y tener preparado un plan de contingencia que debe ponerse en marcha en caso de
desastre.
Una opcin que ha de tenerse en cuenta es tener un centro de backup
independiente, de modo que aunque los equipos del CPD queden fuera de servicio
por una avera muy grave, la organizacin podr seguir realizando su actividad con
cierta normalidad.
En caso de que se produzca un desastre, el primer paso es que se rena el comit de
crisis para evaluar los daos. Si se decide poner en marcha el plan de contingencia, es
importante que los trabajos comiencen por recuperar las bases de datos y ficheros
esenciales, as como desviar las comunicaciones ms crticas al centro alternativo.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Figs. Instalaciones
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

2. Sistemas de alimentacin ininterrumpida


Para el correcto funcionamiento de un sistema informtico es primordial que la
corriente elctrica sea la adecuada. En este sentido, cabra sealar que es imposible
asegurar que no se produzcan cortes en el suministro o que la corriente no pueda
sufrir perturbaciones.
Entre los principales problemas asociados al suministro de corriente que pueden
afectar al sistema podremos destacar los siguientes:
Corte en el suministro elctrico, que es la prdida total de la tensin.
Picos de tensin altos, llamados tambin sobretensin, que se dan cuando el valor de la
tensin es superior al 110% del valor nominal.
Picos de tensin bajos, llamados tambin cadas de tensin, que se dan cuando el valor
de la tensin es inferior al 80% del valor nominal.
Interferencias en la tensin, que se suele denominar tambin fluctuaciones de tensin o
ruidos.
Microcortes, que son cortes en la corriente durante un tiempo muy pequeo (de varios
microsegundos a milisegundos).
Estas situaciones pueden generar problemas en el sistema informtico que pueden
ir desde la prdida de informacin hasta provocar fallos en el hardware, dependiendo
de la naturaleza del problema que se haya producido en la red elctrica.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Para evitar lo anterior se utilizan sistemas de proteccin elctrica , entre los cuales
cabra destacar los sistemas de alimentacin ininterrumpida o SAIs (en ingls UPS:
Uninterruptible Power Supply) y la instalacin de lneas elctricas redundantes.
La funcin principal de los SAIs es proteger los equipos del sistema informtico ante
cualquier incidente elctrico. Estos equipos suministran corriente elctrica al sistema
informtico en caso de corte de suministro, e incluso pueden corregir posibles
alteraciones en la tensin elctrica o apagar los equipos de forma correcta si fuese
necesario.
A la hora de elegir un SAI deberemos tener en cuenta los siguientes factores:
Tiempo de autonoma de funcionamiento una vez producido el corte de
suministro elctrico.
Potencia. El SAI seleccionado deber tener la potencia necesaria para poder
atender el consumo de todos los equipos que a l estn conectados.
De corriente alterna (o pasivos). Son utilizados cuando suministran corriente
alterna a los elementos que estn conectados a ellos. Reciben corriente alterna y
la convierten en continua para almacenarla en la batera, por lo que necesitan un
inversor para volver a convertir la corriente continua el alterna.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Los sistemas de alimentacin ininterrumpida o SAIs nacieron originalmente con el


objetivo de proteger el trabajo que se estaba realizando en el momento en que se
produca un apagn. Posteriormente se le ha agregado capacidad para poder
continuar trabajando cierto tiempo, aunque no se disponga de suministro.
Caractersticas principales de los SAIs:

En general, por su forma de trabajar , podemos identificar dos tipos de SAI :


Sistemas de alimentacin en estado de espera Stand-by Power Systems (SPS).
que activan la alimentacin desde bateras automticamente cuando detecta un
fallo en el suministro elctrico.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

SAI en lnea (on-line), que alimenta el ordenador de modo continuo, aunque no


exista un problema en el suministro elctrico, y al mismo tiempo recarga su batera
ofreciendo una tensin de alimentacin constante.
2.1 Tipos de SAIs.
Podemos encontrar tres tecnologas de SAI en el mercado:
a SAIs Off-Line b SAIs Interactivos c SAIs OnLine
SAIs Off-Line
En un SAI Off-Line el rectificador funciona slo mientras dure el proceso de carga
de la batera, de manera que una vez est cargada, pasar a estar apagado. El
inversor est apagado esperando a que se produzca un corte del suministro
elctrico para entrar en funcionamiento y, a travs de un interruptor, pasar a
proveer, casi instantneamente, la energa que ha ido almacenando en sus
bateras al sistema.
Estos SAIs son los ms econmicos pero slo recomendables para las zonas que
disponen de una red estable ya que al no realizar ningn filtrado de la corriente,
slo protegen ante una interrupcin brusca de la corriente (apagn elctrico).
Aplicaciones: con equipos pequeos o para el mbito domstico en zonas con
una red elctrica con pocas perturbaciones y de buena calidad.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Fig. Diagrama de funcionamiento de un SAI Off-Line


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

SAIs Interactivos
El SAI Interactivo es parecido al SAI Off-Line pero
incorpora un microprocesador que controla las
fluctuaciones de la red en 15%, regulando la
tensin de salida. Este proceso de filtrado y mejora
continua de la corriente que llega a los dispositivos
conectados al SAI se realiza sin que entren a
funcionar las bateras, por lo que la proteccin con
un SAI interactivo es mayor an sin sufrir apagones. Fig. Sistemas SAI (Rack)
En el momento en que se detecta un corte de corriente empiezan a
funcionar casi instantneamente las bateras para evitar que los equipos se
apaguen. Debido a sus caractersticas tcnicas y rango de precios, el SAI
interactivo es el considerado como adecuado para equipos de gama baja y
media.
Aplicaciones: Ordenadores gama media y baja, consolas de juegos,
pequeos servidores de redes, equipos de oficina, etc.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Fig. Diagrama de funcionamiento de un SAI -Interactivo


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

SAIs On-Line
Por ltimo, estar el SAI On-Line, que realiza una doble conversin de la
energa elctrica que recibe, transformndola en continua y despus a
alterna de nuevo, eliminando de esta manera todos los problemas que
pueda tener.
Un SAI On-Line siempre proporciona energa elctrica directamente desde
sus bateras mientras estas se van cargando de la red, y esto es lo que
garantiza que la proteccin contra cualquier problema de la red elctrica
sea total.
Debido a su alta fiabilidad, la tecnologa On-Line ocupa el sector
profesional en el mercado de SAIs y est generalmente destinada a
proteger servidores, equipos industriales o cualquier instalacin informtica
que por su importancia o coste necesite la seguridad de no verse afectados
por problemas derivados de la red elctrica.
Aplicaciones: servidores, clusters de equipos, y, en general instalaciones
informticas crticas o imprescindible (redes de datos, servidores,
telecomunicaciones, industria).
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Fig. Diagrama de funcionamiento de un SAI OnLine


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Qu tipo de SAI debo elegir?


Una vez vistas las caractersticas generales de cada una de las
tecnologas existentes, sern las particularidades de nuestra red
elctrica y la importancia o coste de los equipos que queramos
proteger lo que nos debe indicar que tpo de SAI es el ms
adecuado para nosotros.
SAIs Off-Line: zonas estables, con pocas perturbaciones y red
elctrica de buena calidad. Orientado a pequeas instalaciones.
SAIs Interactivos: Ordenadores gama media y baja, consolas de
juegos, pequeos servidores de redes, equipos de oficina.
Recomendado para la mayora de dispositivos.
SAIs On-Line: Servidores, clusters de equipos, y en general
instalaciones informticas crticas o imprescindible (redes de datos,
servidores, telecomunicaciones, industria).
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Otros sistemas
Adems de los sistemas de alimentacin ininterrumpida (SAIs), podremos
prevenir los efectos de los cortes del suministro elctrico mediante el uso de
lneas elctricas redundantes, provenientes de diferentes orgenes, como
pueden ser diferentes subestaciones elctricas, si fuera posible, o bien
proveniente de alguna fuente de energa alternativa como seran los
generadores elctricos de gasolina o gasleo, de energa elica, solar, incluso
del hidrgeno, para grandes centros de procesamiento.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3. Almacenamiento de la informacin

Otro de los factores clave de la seguridad de cualquier sistema es


determinar cmo y dnde se almacena la informacin.
Un buen sistema de almacenamiento de la informacin, as como su
mantenimiento, es muy importante para preservar la integridad,
privacidad y disponibilidad de la informacin.
Existen numerosas tcnicas que se esperan proporcionen estas
caractersticas, como son los sistemas RAID, los clusters de servidores
y las arquitecturas SAN y NAS.
Tambin se hace necesario una buena poltica de copias de seguridad
que, en caso de suceder cualquier contingencia, como puede ser un
fallo de disco duro o de parte de l, borrado accidental de la
informacin, prdida de la informacin causada por software
malicioso o cualquier otra, se pueda recuperar la informacin del
sistema informtico y ponerlo en funcionamiento lo antes posible.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.1 Factores para elegir el sistema de almacenamiento.


Dependiendo de las caractersticas del sistema informtico y del
tipo de informacin que queramos almacenar, deberemos elegir un
tipo de almacenamiento u otro. Por ejemplo, no ser igual la
cantidad, la importancia y la privacidad de la informacin manejada
en un ordenador domstico que en un gran sistema informtico
perteneciente a una gran empresa u organismo.
Los factores que deberemos tener en cuenta a la hora de elegir un
tipo u otro sistema de almacenamiento son los siguientes:
Rendimiento. Hace referencia a la rapidez con que obtengamos la
informacin en relacin al tamao de la misma,
Disponibilidad. Hace referencia al tipo de disponibilidad que deseamos
para el sistema, es decir, si queremos que el sistema est dando servicio
en todo momento o si, por el contrario, deseamos que lo haga slo en
determinados instantes.
Privacidad. Se refiere a si queremos tener la informacin especialmente
protegida o no.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Capacidad. Se refiere al tamao o a la cantidad de informacin que


vamos a necesitar almacenar.
Accesibilidad. Hace referencia a cmo vamos a acceder a la informacin,
es decir, en modo local o de forma remota.

EJ. Sistema Informtico que utiliza una gran cantidad de informacin.


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.2 Tipos de almacenamiento.


Existen diferentes tipos de almacenamiento:
Almacenamiento redundante. La redundancia de informacin hace referencia a la
rplica o duplicacin de la misma, es decir, consistir en la realizacin de una copia,
en uno o varios dispositivos diferentes al que se encuentra almacenada.
En el almacenamiento redundante los dispositivos de almacenamiento deben
estar sincronizados para tener siempre almacenada la misma informacin.

Almacenamiento distribuido.
Se habla de almacenamiento distribuido cuando un mismo archivo se reparte
entre varios dispositivos diferentes, por lo que se reduce la velocidad de
recuperacin de la informacin, ya que, al realizar el acceso a un fichero, las
diferentes partes del mismo pueden ser accedidas en paralelo.
El almacenamiento distribuido se suele utilizar en los clusters de ordenadores, que
son sistemas informticos en los cuales, tanto la informacin como el hardware se
distribuyen entre diferentes equipos informticos y que funcionan como si de uno
solo se tratase.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.2.1 Clusters de ordenadores.


Un cluster es un grupo de ordenadores, interconectados mediante una red de alta
velocidad, que trabajan conjuntamente y que se comportan como si fuesen un nico
sistema.
Los clusters se emplean para aumentar el rendimiento y la disponibilidad a niveles
que un nico sistema no puede alcanzar, o para ser una alternativa econmica y
equiparable a costosos sistemas de alta potencia y disponibilidad. Una de sus
principales ventajas es que no es necesario que los equipos que lo integren sean
iguales a nivel hardware ni que dispongan del mismo sistema operativo.
Con este tipo de sistemas se busca conseguir cuatro servicios principales:
Alta disponibilidad.
Alto rendimiento.
Balanceo de carga.
Escalabilidad.

EJ Cluster
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.2.1.1. Clasificacin de los clusters


Existen tres tipos de clusters relacionados con los servicios que ya hemos
mencionado anteriormente:
Clusters de alto rendimiento (HPC High Performance Clusters). Estos
clusters se utilizan para ejecutar programas paralelizables que requieren de
una gran capacidad de clculo o del uso de grandes cantidades de memoria.
Son de especial inters para la comunidad cientfica o industrias que tengan
que resolver complejos problemas o simulaciones.
Clusters de alta disponibilidad (HA High Availability). Con estos clusters
se busca dotar de disponibilidad y confiabilidad a los servicios que ofrecen.
Para ello se utiliza hardware duplicado as como software que monitoriza
constantemente el cluster para la deteccin de fallos y permitir recuperarse
frente a los mismos.
Clusters de alta eficiencia (HT High Throughput). En estos sistemas el
objetivo central de diseo es que se puedan ejecutar el mayor nmero de
tareas en el menor tiempo posible.
Clusters de Balanceo de Carga (LB, Load Balancing). Este tipo de cluster
permite distribuir las peticiones de servicio entrantes hacia un conjunto de
equipos que las procesa.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Este tipo de cluster se utiliza, principalmente, para servicios de red sin estado,
como un servidor web o un servidor de correo electrnico, con altas cargas de
trabajo y de trfico de red.
Entre las caractersticas ms destacadas de estos clusters tendramos la
robustez y su alto grado de escalabilidad, ya que permiten que el conjunto de
servidores compartan la carga de trabajo y de trfico de sus clientes.

EJ Funcionamiento de un Cluster
EJ Cluster de
balanceo de carga
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.2.1.2 Componentes de los clusters


Para que un cluster funcione necesita de una serie de componentes, que
pueden tener diversos orgenes. Entre estos componentes estn:
Nodos: es el nombre genrico que se dar a cualquier equipo informtico
que utilicemos para montar un cluster, como pueden ser ordenadores de
sobremesa o servidores. An cuando podemos utilizar cualquier tipo de
hardware para montar nuestro sistema, es siempre buena idea que haya
cierto parecido entre las capacidades de todos los nodos.
Sistema operativo: podemos utilizar cualquier sistema operativo que tenga
dos caractersticas bsicas: debe ser multiproceso y multiusuario.
Conexin de Red: es necesario que los distintos nodos de nuestra red estn
conectados entre s.
Middleware: es el nombre que recibe el software que se encuentra entre el
sistema operativo y las aplicaciones.
Sistema de almacenamiento: podemos hacer uso de un sistema de
almacenamiento interno en los equipos, utilizando los discos duros de
manera similar a como lo hacemos en un PC, o bien recurrir a sistemas de
almacenamiento ms complejos, que proporcionarn una mayor eficiencia y
disponibilidad de los datos.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Una posibilidad es utilizar los sistemas de almacenamiento de los nodos, sus discos
duros, por ejemplo. Pero existen otras alternativas que nos permitirn un control y
una gestin mucho mayores sobre los datos procesados, como las tecnologas NAS y
SAN. El uso de cualquiera de estas tecnologas es independiente de la existencia de
un cluster.
Almacenamiento remoto.
El almacenamiento remoto se considera remoto cuando el
dispositivo donde vamos a almacenar la informacin no
est en el equipo donde estamos trabajando, es decir, no es
un almacenamiento local.
Existen muchos tipos de almacenamiento remoto, por
ejemplo, la tecnologa de almacenamiento NAS (Network
Attached Storage), utilizada para compartir la capacidad de
almacenamiento a travs de una red de equipos
informticos que forman parte de la misma.
Existen dos opciones principales para implementar un
sistema NAS : emplear un dispositivo NAS dedicado, o bien
utilizar un ordenador que trabaje como servidor y que
ejecute un software especfico para realizar tareas de NAS. EJ Sistema NAS
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Un NAS no lleva ni pantalla ni teclado, se controla normalmente de forma remota a


travs de una interfaz web, por medio de un navegador.
En estos sistemas se pueden acceder a un almacenamiento remoto, entre otros,
mediante alguno de los siguientes protocolos SMB, FTP y NFS:
SMB(Server Message Block) y sus equivalentes SAMBA, en el sistema operativo
Linux y CIFS (Common Internet File System), protocolo desarrollado por Microsoft
para compartir archivos y recursos como impresoras, escneres, etc entre los
equipos de una red.
FTP (File Transfer Protocol o Protocolo de Transferencia de Ficheros). Protocolo para
transferir archivos entre ordenadores de una red, y sus variantes TFTP (Trivial FTP)
para transferir pequeos archivos, y SFTP (Secure FTP), para transferir archivos de
forma segura en una conexin SSH.
NFS(Network File System o Sistemas de Archivos en Red). Protocolo que permite que
los equipos en una red accedan a archivos remotos como si fueran locales.

Una de las ventajas del almacenamiento remoto es la de poder aadir ms espacio de


almacenamiento a un servidor sin tener que agregar ms discos localmente.

EJ Sistema Storage Area Network.


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Un NAS no lleva ni pantalla ni teclado, se controla normalmente de forma remota a


travs de una interfaz web, por medio de un navegador.
En estos sistemas se pueden acceder a un almacenamiento remoto, entre otros,
mediante alguno de los siguientes protocolos SMB, FTP y NFS:

Los dispositivos NAS (Network Attached Storage)


son dispositivos de almacenamiento especficos, a
los cuales se accede utilizando protocolos de red,
generalmente TCP/IP.
La idea consiste en que el usuario solicita al
servidor un fichero completo y, cuando lo recibe, lo
maneja localmente, lo cual hace que este tipo de
tecnologa sea ideal para el uso con ficheros de
pequeo tamao.
Los sistemas NAS suelen estar compuestos por
uno o ms dispositivos que se disponen en RAID, lo
que permite aumentar su capacidad, eficiencia y
FIG. Sistema NAS tolerancia ante fallos.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.2.3 SAN: Storage Area Network


Una red SAN (Storage Area Network o red con rea de
almacenamiento) se utiliza para compartir informacin
entre los equipos y servidores de una red informtica
basndose en el almacenamiento distribuido.
Est pensada para conectar servidores, discos de
almacenamiento, etc., utilizando tecnologas de fibra
ptica con altas velocidades de transferencia, lo que
permite que sea posible conectar de manera rpida y
segura los distintos elementos de esta red,
independientemente de su ubicacin fsica.
De modo general, un dispositivo de almacenamiento no
es propiedad exclusiva de un servidor, lo que permite que
varios servidores puedan acceder a los mismos recursos.
El funcionamiento se basa en las peticiones de datos que
realizan las aplicaciones al servidor, que se ocupa de
obtener los datos del disco concreto donde estn
EJ Sistema Storage Area Network.
almacenados
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Dependiendo de la cantidad de informacin


manejada, podremos optar por el uso de una u otra
tecnologa. No obstante, existe la posibilidad de
combinarlas en sistemas cuyas caractersticas as lo
requieran.

FIG. Sistema SAN

Almacenamiento Extrable.
El almacenamiento extrable est formado por aquellos dispositivos y medios que
se pueden extraer e insertar en el sistema informticos, es decir, todos aquellos que
no estn incorporados en l.
Estos dispositivos y medios de almacenamiento se conectan al equipo informtico
introducindose en su unidad de lectura/escritura correspondiente, o bien a travs
de alguno de sus puertos:
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

USB (Universal Serie Bus). Existen varias especificaciones para


este puerto como son la USB 1.0, USB 1.1, USB 2.0 y USB 3.0.
La principal diferencia entre ellas es el aumento en la
velocidad de transferencia de datos. EJ Conector USB y MicroUSB
Firewire (IEEE 1394). Puerto de alta velocidad para entrada y salida de datos
serie. Se utiliza para dispositivos de almacenamiento de alta capacidad y para
otros dispositivos que necesitan una alta tasa de transferencia de datos como las
cmaras de vdeo digitales.
SATA (Serial Advanced Technology Attachment) externo o eSATA. Dispositivos
externos de almacenamiento, generalmente, discos duros.
SCSI (Small Computer System Interface) externo, o su sucesor SAS (Serial
Attached SCSI). Se utilice, sobre todo, para conectar discos duros, aunque
tambin se pueden conectar otros dispositivos de almacenamiento. El puerto se
aade al equipo, generalmente, mediante una tarjeta PCI o bien mediante una
unidad externa con distintos tipos de conectores.

fig HUBs de conectores


RJ-45, USB y Firewire
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Entre los dispositivos y soportes de almacenamiento extrables


podemos destacar los siguientes:
Pendrive o memoria flash USB que se conecta al equipo
informtico a travs de un puerto USB.
Tarjetas de memoria flash (Memory Card), de los cuales
existen diversos tipos: Compact Flash, SD (Secure Digital),
miniSD, microSD, Memory Stick, etc
Discos pticos, como los CDs, DVDs o Blue-Ray que se pueden
conectar al sistema como una unidad interna o bien a travs de
un puerto USB.
Otros dispositivos como son los discos magnticos extrables,
entre los que tendramos los disquetes, discos ZIP, discos duros
externos o las cintas magnticas.
Los dispositivos y soportes de la informacin externos se suelen
poder conectar o desconectar son tener que apagar el equipo, lo
que se llama conexin en caliente o hot plug.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.3 Discos en modo bsico y modo dinmico.


Los dispositivos de almacenamiento podrn estar configurados en modo bsico o
en modo dinmico:
Disco bsico. Contiene particiones, tambin llamadas volmenes bsicos.
Por tanto, todo disco bsico utiliza una tabla de particiones, de las que
encontramos dos posibles implementaciones:
MBR (Master Boot Record). Se almacena en el primer sector del dispositivo
de almacenamiento de datos (sector cero). Los discos bsicos que utilizan la
MBR tienen la limitacin de que slo se puede crear en ellos hasta cuatro
particiones primarias, con una unidad lgica cada una de ellas; o bien tres
primarias y una extendida. Dentro de la particin extendida tenemos la
posibilidad de crear ilimitadas unidades lgicas hasta la total capacidad del
disco duro, siendo el lmite mximo de cada particin de dos terabytes..
GPT (GUID(Globally Unique Identifier) Particin Table). Nueva
implementacin de Intel que admiten hasta 128 particiones primarias de 18
exabytes (1 exabyte (EB) = 103 petabytes (PB) = 106 terabytes (TB) =
109 gigabytes (GB)) , y no existen las particiones extendidas.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.3.1 Discos dinmicos


Los discos duros en modo dinmico establecen una forma de organizar el
almacenamiento de datos que puede usar varios discos, en lugar de un disco
nico, pero organizndolos de manera que el sistema funcione como si se tratase
de un nico disco o dispositivo de almacenamiento. Los discos se organizan en
volmenes, es decir, un mismo volumen puede estar formado por ms de un
disco, o bien, un volumen puede ser parte de un disco.
Los discos dinmicos se utilizan, sobre todo, cuando se quieren crear sistemas de
almacenamiento tolerantes a fallos, o bien cuando se quiere optimizar el
rendimiento.
Si con los discos bsicos hablbamos de particiones y unidades lgicas, en los
discos dinmicos tenemos que hablar de volmenes dinmicos. Este tipo de
volmenes pueden ser de cinco tipos: simples, distribuidos, seccionados,
reflejados y RAID-5.
Sealar que un disco configurado en modo
dinmico podr transformarse al modo bsico,
pero deberemos tener en cuenta que si existen
datos almacenados, existe riesgo de prdida de la
informacin almacenada. figActualizar a
disco dinmico
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.3.2 Volmenes
Los volmenes se encuentran tanto en los discos en modo bsico como en los
discos dinmicos, en los que se utilizan para disear y asegurar la tolerancia a fallos
u optimizar el rendimiento.
El concepto de volumen es diferente al de disco duro y particin. Un volumen se
puede definir como una parte de uno o varios discos duros que funciona como si
de un nico disco fsico se tratase.
Un volumen puede ocupar ms de un disco duro, o una parte de un disco duro o
varias partes de varios discos duros,

fig Creacin de un volumen simple


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.4 Almacenamiento redundante y distribuido


Una utilidad del uso de volmenes es el poder tener un conjunto de discos con
almacenamiento redundante y distribuido, lo que viene a denominarse volmenes
RAID (Redundant Array of Independent Disks o conjunto redundante de discos
independientes) que proporcionan, principalmente, tolerancia a fallos, mayor
capacidad y mayor fiabilidad en el almacenamiento.
Se trata, pues, de un sistema de almacenamiento que, utilizando varios discos y
distribuyendo o replicando la informacin entre ellos, consigue algunas de las
siguientes caractersticas:
Mayor capacidad. Es una forma econmica de conseguir capacidades grandes
de almacenamiento.
Mayor tolerancia a fallos. En caso de producirse un error, con RAID el sistema
ser capaz en algunos casos de recuperar la informacin perdida y podr seguir
funcionando correctamente.
Mayor seguridad. Debido a que el sistema es ms tolerante con los fallos y
mantiene cierta informacin duplicada, aumentaremos la disponibilidad y
tendremos ms garantas de la integridad de los datos.
Mayor velocidad. Al tener en algunos casos cierta informacin repetida y
distribuida, se podrn realizar varias operaciones simultneamente.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Este conjunto de tcnicas estn organizadas en niveles. Algunos de estos niveles


son:
RAID 0 o Conjunto Dividido. En este tipo de volmenes no hay redundancia ni
correccin de errores, es decir, se utilizan varios discos duros como un solo
volumen, y el sistema operativo los considera como si de un solo disco se
tratase. La informacin se ira distribuyendo alternativamente entre los discos,
que pueden ser de diferentes tamaos, aunque el espacio de cada disco
aadido al volumen estara limitado por el disco de menor capacidad,
multiplicando la capacidad del menor de los discos por el nmero de discos
instalados.
Esta tcnica favorece la velocidad debido a
RAID-0 que cuando se accede un dato, si ste est
almacenado en dos discos diferentes, se
podr realizar la operacin
simultneamente.
Sealar que RAID 0 no incluye ninguna
informacin redundante, por lo que en caso
de producirse un fallo en cualquiera de los
Disco 1 Disco 2 discos que componen la unidad provocara
Fig. Sistema RAID-0 la prdida de informacin en dicha unidad.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Caso Prctico #2
En la mquina virtual de Windows 2008 Server, agregue dos discos duros de
100Mb cada uno. Convierta los discos en dinmicos y posteriormente, haga un
volumen seleccionado (RAID 0). Cree un fichero dentro del volumen.

RAID 1 o Reflejado. Un volumen reflejado, espejo o RAID 1 es un volumen


tolerante a fallos que utiliza un espacio de almacenamiento del mismo tamao
que el original , de tal forma que la informacin est duplicada.
Lo que s es necesario es que la informacin est duplicada y sincronizada
sobre los dos discos fsicos diferentes. A esto se le denomina duplexacin.
RAID-1 La ventaja consiste en que si uno delos discos fallase, se
puede utilizar la informacin duplicada del otro disco, con
lo cual siempre tenemos garantizada la disponibilidad de
la informacin.
El RAID 1 se monta sobre el disco que tiene instalado el
sistema operativo tambin llamado disco primario u
Disco Disco original. Al disco donde se duplica la informacin se le
Original espejo llama disco espejo.
Fig. Sistema RAID-1
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Cuando falla el disco primario podemos arrancar con el disco espejo. Tiene
como inconveniente que el espacio til de disco se reduce en un 50%.
Lo que s es necesario es que la informacin est duplicada y sincronizada
sobre los dos discos fsicos diferentes. A esto se le denomina duplexacin.
Hay que tener en cuenta que aunque los dos volmenes deben tener el
mismo tamao, no necesitan estar sobre dos discos iguales, ni con el mismo
tamao, es decir, pueden ser dos discos diferentes entre s, pero el disco que
usaremos como espejo debe ser igual o mayor que el disco original.
Si queremos crear un reflejo de un volumen, deberemos contar con otro disco
duro en modo dinmico. A este proceso tambin se le llama crear un volumen
reflejado.
Si quisiramos eliminar el volumen reflejado, podramos optar por romper o
quitar el espejo. Al romper el espejo, los volmenes se hacen independientes,
pero la informacin sigue estando repetida. Lo que se quita es la sincronizacin
entre ambos volmenes. Si optamos por quitar el espejo, una de las dos copias
de los volmenes sincronizados dejara de existir, es decir, se convertira en
espacio no asignado.
En ambos casos, la copia original seguira funcionando igualmente, pero ya no
estara reflejada, y el volumen no estara sincronizado con el otro y dejaramos
de tener un sistema redundante.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Caso Prctico #3
En la mquina virtual de Windows 2008 Server, agregue dos discos duros de
100Mb cada uno. Cree un volumen reflejado (RAID 1).

RAID 2 o Sistema de Correccin de Errores basado en cdigo Hamming. RAID


2 es un sistema tolerante a fallos que divide los datos a nivel de bits en lugar de
a nivel de bloques, y utiliza el cdigo de deteccin de errores de tipo Hamming
para corregir los errores.
Los discos son sincronizados por la controladora para funcionar al unsono.
Permite tasas de transferencias extremadamente altas. ste es el nico nivel
RAID original que actualmente no se usa.
RAID-2

Fig. Sistema
Disco 1 Disco 2 Disco 3 Disco 4 Disco 5 Disco 6 Disco 7 RAID-2
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

RAID 3 (PARALLEL DATA ACCES). Sistema que permite disponer de


redundancia sin tener que recurrir al mirroring. En el RAID 3 se utilizan X discos
de datos y un disco adicional dedicado a la paridad. Los datos son divididos en
bytes y cada byte se escribe en uno de los X discos de datos. Aplicando un
determinado algoritmo se genera el byte de paridad, que se escribe en el disco
de paridad.
Toda la informacin se escribe en los discos de forma paralela. De este modo,
la velocidad de transferencia del RAID equivale a la velocidad de transferencia
de un disco multiplicada por X. Sin embargo, slo se puede gestionar una
operacin de E/S a la vez.
La recuperacin de datos se consigue
calculando el O exclusivo (XOR) de la
informacin registrada en los otros discos.
Dado que una operacin E/S accede a
todos los discos al mismo tiempo, el RAID-
3 no puede solapar operaciones de E/S.
Aplicaciones tpicas de sistemas RAID-3
seran la produccin y distribucin de
video en streaming, aplicaciones de
imagen, video y prensa o Servidores de
fig Sistema RAID-3 Base de Datos Monousuario.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

RAID 4 (IDA: acceso independiente con discos dedicados a la paridad). Sistema


que utiliza la divisin de los datos a nivel de bloques y que incorpora un disco
de paridad dedicado, necesitando un mnimo de 3 discos fsicos para su
implementacin.
RAID 4 es parecido a RAID 3 excepto porque divide a nivel de bloques en lugar
de a nivel de bytes. Esto permite que cada miembro del conjunto funcione
independientemente cuando se solicita un nico bloque. Si la controladora de
disco lo permite, un conjunto RAID 4 puede servir varias peticiones de lectura
simultneamente. En principio tambin sera posible servir varias peticiones de
escritura simultneamente, pero al estar toda la informacin de paridad en un
solo disco, ste se convertira en el cuello de botella del conjunto.

En el grfico adjunto, una peticin del


bloque A1 sera servida por el disco 0.
Una peticin simultnea del bloque
B1 tendra que esperar, pero una
peticin de B2 podra atenderse
concurrentemente.

fig Sistema RAID-4


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

RAID 5. Sistema tolerante a fallos que utiliza un espacio de almacenamiento


formado por diferentes discos duros, mnimo de 3 discos, en los que a los datos
se les aade informacin de paridad que nos servir como cdigo de deteccin
y de correccin de posibles errores. Los datos y la paridad se van escribiendo
de forma alterna entre el conjunto de partes o porciones del volumen.
RAID 5 divide los datos a nivel de bloques distribuyendo la informacin
de paridad entre todos los discos miembros del conjunto, de manera que cada
vez que se escribe un bloque de datos en un RAID 5, se genera un bloque de
paridad dentro de la misma divisin, y posee la facultad de poder reconstruir la
informacin perdida a partir de los datos y la paridad en caso de que un disco
tenga errores o incluso deje de funcionar por un fallo grave. Los bloques de
paridad no se leen en las operaciones de lectura de datos, ya que esto
disminuira el rendimiento.

Caso Prctico #4
En la mquina virtual de Windows 2008
Server, agregue cuatro discos duros de 100Mb
cada uno. Posteriormente mntelos como un
RAID 5 y cree un fichero dentro del volumen
RAID 5.

fig Sistema RAID-5


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

RAID 6. Se ha desarrollado con posterioridad y ampla el RAID 5. Necesita un


mnimo de cuatro discos. Divide la paridad y la distribuye entre los discos, pero,
adems, aade un bloque ms de paridad por dato. En su implementacin
puede llegar a tener dos discos redundantes y permitir recuperarse de un fallo
de dos discos del sistema.
RAID 6 proporciona proteccin contra fallos dobles de discos y contra fallos
cuando se est reconstruyendo un disco, pero resulta ineficiente cuando se usa
un pequeo nmero de discos pero a medida que el conjunto crece y se
dispone de ms discos la prdida en capacidad de almacenamiento se hace
menos importante, creciendo al mismo tiempo la probabilidad de que dos
discos fallen simultneamente.

fig Sistema RAID-6


Tema #2 Seguridad Pasiva. Hardware y almacenamiento

3.4.1 Niveles RAID anidados


Muchas controladoras permiten anidar niveles RAID,
es decir, que un RAID pueda usarse como elemento
bsico de otro en lugar de discos fsicos a modo de
conjuntos de capas dispuestas unas sobre otras, con
los discos fsicos en la inferior.
Los RAIDs anidados se indican normalmente uniendo
en un solo nmero los correspondientes a los niveles
RAID usados, aadiendo un + entre ellos. Por
ejemplo, el RAID 10 (o RAID 1+0) consiste,
conceptualmente, en mltiples conjuntos de nivel 1
almacenados en discos fsicos con un nivel 0 encima,
agrupando los anteriores niveles 1. En el caso del RAID
0+1 se usa ms esta forma que RAID 01 para evitar la
confusin con el RAID 1. Sin embargo, cuando el
conjunto de ms alto nivel es un RAID 0 (como en el
RAID 10 y en el RAID 50), la mayora de los vendedores
eligen omitir el +, a pesar de que RAID 5+0 sea ms
informativo. Fig. Sistema s RAID anidados
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Ej RAID 0+1 (STRIPPING + MIRRORING). El sistema RAID 0+1 (tambin


llamado RAID 01) es un RAID en el que se replica y se comparte datos entre
varios discos. La diferencia entre un RAID 0+1 y un RAID 1+0 es la localizacin
de cada nivel RAID dentro del conjunto final: un RAID 0+1 es un espejo de
divisiones.
Como puede verse en la figura adjunta, primero
se crean dos conjuntos RAID 0 (dividiendo los
datos en discos) y luego, sobre los anteriores, se
crea un conjunto RAID 1 (realizando un espejo
de los anteriores). La ventaja de un RAID 0+1 es
que cuando un disco duro falla, los datos
perdidos pueden ser copiados del otro conjunto
de nivel 0 para reconstruir el conjunto global.
Sin embargo, aadir un disco duro adicional en
una divisin, es obligatorio aadir otro al de la
otra divisin para equilibrar el tamao del
conjunto.
Fig. Sistema RAID-0+1 Este nivel est indicado para aplicaciones que
necesiten altas prestaciones y un alto nivel de
seguridad como son aplicaciones de Imagen o
Servidores de archivos generales, entre otros.
Tema #2 Seguridad Pasiva. Hardware y almacenamiento

Al anidar niveles RAID, se suele combinar un nivel RAID que proporcione


redundancia con un RAID 0 que aumenta el rendimiento. Con estas
configuraciones es preferible tener el RAID 0 como nivel ms alto y los
conjuntos redundantes debajo, porque as ser necesario reconstruir menos
discos cuando uno falle. (As, el RAID 10 es preferible al RAID 0+1 aunque las
ventajas administrativas de dividir el espejo del RAID 1 se perderan).
Los niveles RAID anidados ms comnmente usados son:
RAID 0+1. Un espejo de divisiones
RAID 1+0. Una divisin de espejos
RAID 30. Una divisin de niveles RAID con paridad dedicada
RAID 100. Una divisin de una divisin de espejos
RAID 10+1. Un Espejo de espejos

Fig. Sistema
RAID-100