Servidores
Aplicados a la
Seguridad
Prof.
Ana Elizabeth Serna Dueñas
Ing. Tecnologías de la Información
y Comunicaciones
PUERTO VALLARTA
Administración y Seguridad en Redes
2018
Tipos de Servidores de Seguridad 2
S E RV I DO R DE S E G URI DA D
Tiene software especializado para detener intrusiones maliciosas, normalmente tienen antivirus, antispyware,
antimalware, además de contar con cortafuegos redundantes de diversos niveles y/o capas para evitar ataques, los
servidores de seguridad varían dependiendo de su utilización e importancia.
Sin embargo, de acuerdo al rol que asumen dentro de una red se dividen en:
• Servidor dedicado
• Servidor no dedicado
S E RV I D O R D E D I C A D O
Un servidor dedicado es un ordenador comprado o arrendado que se utiliza para prestar servicios dedicados,
generalmente relacionados con el alojamiento web y otros servicios en red. A diferencia de lo que ocurre con el
alojamiento compartido, en donde los recursos de la máquina son compartidos entre un número indeterminado de
clientes, en el caso de los servidores dedicados generalmente es un solo cliente el que dispone de todos los recursos
de la máquina para los fines por los cuales haya contratado el servicio.
• Características
Los servidores dedicados pueden ser utilizados tanto para prestar servicios de alojamiento compartido como para
prestar servicios de alojamiento dedicado, y pueden ser administrados por el cliente o por la empresa que los provee.
El cuidado físico de la máquina y de la conectividad a Internet está generalmente a cargo de la empresa que provee el
servidor. Un servidor dedicado generalmente se encuentra localizado en un centro de datos.
Un servidor dedicado puede ser entendido como la contraparte del alojamiento web compartido, pero eso no significa
que un servidor dedicado no pueda ser destinado a entregar este tipo de servicio. Este es el caso cuando, por ejemplo,
una empresa dedicada al negocio del alojamiento web compra o arrienda un servidor dedicado con el objetivo de
ofrecer servicios de alojamiento web a sus clientes. Por otro lado, un servidor dedicado puede ser utilizado como una
forma avanzada de alojamiento web cuando un cliente o empresa tiene requerimientos especiales de rendimiento,
configuración o seguridad. En estos casos es común que una empresa arriende un servidor dedicado para
autoabastecerse de los servicios que necesita disponiendo de todos los recursos de la máquina.
• Ventajas
✓ El cliente puede disponer de todos los recursos de la máquina.
✓ La configuración del servidor puede estar completamente adaptada a las necesidades particulares del cliente.
✓ Existe un mayor control sobre las aplicaciones que corre el servidor web.
✓ El mantenimiento y las actualizaciones de seguridad pueden ser realizadas con mayor facilidad y control.
• Desventajas
La principal desventaja de un servidor dedicado es el costo del servicio, el cual es muy superior al del alojamiento
compartido. Esto es debido principalmente al costo mensual de la máquina y la necesidad de contratar los servicios
para la administración y configuración del servidor.
S E RV I D O R N O D E D I C A D O
Servidor no dedicado de una red es cuando un equipo que, al estar haciendo las funciones de servidor, también puede
realizar otras actividades, así como por ejemplo en su momento podrá ser reiniciado sin que eso implique que el resto
de estaciones de trabajo que dependen de él, se vean afectadas en su desempeño. Si bien también es cierto que al
usar un servidor de este tipo, también afectamos el desempeño de la red lo cual debe ser evaluado desde el inicio del
proyecto para evitarnos problemas en el futuro.
Qué debemos saber acerca de un servidor no dedicado de una red
No es común ni habitual llamar a nuestro servicio de hosting Servidor no dedicado. En realidad, cuando buscamos un
tipo determinado de alojamiento para nuestra web, siempre nos debemos basar en los distintos tipos de servidores y
ver cuál es el que nos interesa más, con respecto a las necesidades que tenemos en cada momento.
Por ejemplo, podríamos hablar de Servidores dedicados o servidores compartidos, también llamados servidores VPS,
es decir, servidores virtuales privados que nos garantizan una parte de los recursos de una máquina exclusivamente
para nosotros. Este tipo de servidores suelen utilizarlos empresas que necesitan alojar más de una web de tamaño
considerable.
Finalmente diremos que la definición de servidor no dedicado de una red estaría más cerca de una definición de
pequeñas redes en donde la función de los equipos puede ser alterada sin mayor problema y con ello garantizar la
disponibilidad de la misma, aun cuando su desempeño sea un poco lento en relación a mantener un equipo dedicado
únicamente, a realizar las funciones de un servidor dedicado.
E JE M P L O S D E S O F T WA R E
Snort
Este software de detección de intrusiones de red, así como de prevención de accesos no autorizados al sistema, se
destaca en el análisis de tráfico y registro de paquetes en redes IP. Mediante análisis de protocolos, búsqueda de
contenidos y varios pre-procesados, Snort es capaz de detener y alertarnos de los miles de gusanos, troyanos, intentos
de vulnerar nuestro firewall, además de ponernos sobre aviso en caso de que estén escaneando alguno de nuestros
puertos u otros comportamientos sospechosos. También cuenta con una interfaz web para la gestión de alertas
llamada BASE (Basic Analysis and Security Engine).
De sobra ya conocida por aquellos que se muevan en el mundo de las distribuciones Linux o en el de la seguridad
informática. Esta distribución en Live-CD (cd de arranque con opción a instalable) nos ofrece un amplio catálogo de
herramientas de seguridad y forenses, proporcionándonos un entorno de desarrollo, pruebas e implementación de lo
más completo. Otra característica de Kali-Linux es la modularidad , que es básicamente que podemos crearnos una
distribución que se adecue a nuestras necesidades, eligiendo los paquetes que vayamos a usar y prescindiendo de
otras tantas funcionalidades que no Además de la personalización de la paquetería de la distribución, el hecho de
contar con un escritorio como Gnome, hará fácil que podamos personalizar también los menús, iconos, apariencia,
etc. … pudiendo contar con una distribución que podemos usar a diario y como herramienta de mantenimiento de la
seguridad de nuestra red.
Nessus
Uno de los escáneres de vulnerabilidades más popular y efectivo es Nessus. Más de46000 plugin componen su
extenso repertorio, con el que podremos poner a prueba sobradamente cualquier entorno que se nos ponga por
delante. Autentificaciones, accesos remotos, accesos locales, control de privilegios y escalado de los mismos, análisis
de arquitecturas cliente-servidor, además de contar con una interfaz web avanzada y con un entorno propio para
desarrollar nuestros propios plugin.
Principalmente ideado para sistemas UNIX (aunque aplicable a cualquier plataforma que encontremos hoy día), al igual
que Metasploit comenzó siendo de código abierto hasta que en 2005 se privatizó y retiró las versiones gratuitas en
2008. Lo podemos adquirir a día de hoy por unos 1200$ al año, aunque la comunidad Linux como siempre está ahí
para demostrarnos una vez más que el Open Source es omnipresente y un grupo de usuarios aún desarrollan una
versión de Nessus bajo el nombre de Open VAS.
Metasploit
En su lanzamiento en 2004, Meta sploit revolucionó el mundo de la seguridad. Nos encontramos ante lo que era un
software de código abierto fundamentalmente diseñado para el desarrollo avanzado de aplicaciones y sistemas, y para
el uso y pruebas de código de explotación en entornos controlados. El popular modelo de análisis a través de payloads,
codificadores, generadores no-op y otros muchos exploits integrables en diversos programas, han hecho que
Metasploit se encuentre siempre a la vanguardia de las opciones más sonadas de entre el software para análisis de
Wireshark
Conocido anteriormente como Ethereal (hasta que en 2006 perdió los derechos sobre dicho nombre por una disputa
con otra marca de similar denominación), se trata de una magnífica herramienta de código abierto que nos
proporcionará un análisis exhaustivo de nuestra red. Wireshark cuenta con multitud de características interesantes,
como el hecho de poder realizar el análisis sobre una red existente, sobre un mapeado o un archivo existente en disco.
Además, incluye un amplísimo diccionario para aplicar filtros a la navegación, así como la posibilidad de reconstruir una
sesión TCP al completo mediante el flujo de datos analizado, pudiendo así rastrear la navegación que se genera desde
nuestra red.
Es compatible con cientos de protocolos y podemos encontrar esta aplicación disponible en varias plataformas como
Windows, Linux o Mac OS. Esperamos que toda esta información os sea de ayuda y os anime a probar alguna de
estas aplicaciones. Recordad suscribiros para estar al día de los artículos, webinars y noticias más relevantes, y no
dejéis de echar un vistazo al catálogo de cursos de Openwebinars.net.
E JE M P L O S D E H A R D WA R E
Sistemas UPS
Los sistemas UPS son imprescindibles en la seguridad física de un sistema informático. La mayoría de los sistemas
operativos responden mal a las caídas repentinas y puede producirse perdida de datos importantes si no se usan
sistemas de archivos con Journaling como Ext3, Reiserfs, XFS, JFS o similares.
Es complicado decir que es más conveniente, si mantener un gran UPS que alimente un grupo de máquinas, por
ejemplo, un rack o un armario con muchos dispositivos o si tener varios UPS que proporcionen alimentación a menos
máquinas. El UPS puede convertirse en un punto del fallo del sistema, pues si falla todo el sistema se vendrá abajo.
Los grandes UPS suelen ser más seguros, proporcionan mayor autonomía y protección, pero en el hipotético caso de
que fallen nos dejan con todo el sistema caído. Los UPS más pequeños no tienen tantas características, pero cumplen
bien su cometido. El presupuesto también será un punto a tener en cuenta para la elección de una u otra opción, pues
un gran UPS es bastante más caro que varios UPS pequeños.
Es importante ubicar los UPS dentro de los racks o armarios, donde no puedan ser desactivados por un supuesto
intruso o por un fallo de un usuario o administrador.
Redundancia a nivel de hardware
Igual que aconsejamos la redundancia a nivel de máquinas para todo el sistema en general debemos aconsejar
también la redundancia a nivel interno de hardware. Hoy existen ordenadores que incorporan dos fuentes de
alimentación, varios discos duros montados en RAID, e incluso dos placas base. Los dispositivos de red también
incorporan redundancia en una forma similar. Todo este tipo de funcionalidad es muy beneficiosa para la seguridad
física del sistema en general, pues permite que parte del hardware falle sin que el sistema caiga. Debemos tener en
cuenta que este tipo de sistemas son caros, y que a veces los sistemas de alta disponibilidad construidos con varias
máquinas pueden ser igual de eficientes y más económicos que los sistemas redundantes a nivel de hardware.
El caso del RAID es diferente. Hoy por hoy cualquier servidor corporativo debería incorporar algún tipo de RAID, ya sea
RAID 0, RAID 1 o RAID 5, sobre hardware o sobre software. Con el precio continuamente decreciente de los discos
duros podemos permitirnos un sistema de RAID basado en software sobre un sistema IDE por un precio realmente
bajo, y esto nos proporcionará redundancia en el hardware sin aumentar excesivamente el presupuesto.