Tipos de

Servidores
Aplicados a la
Seguridad
Prof.
Ana Elizabeth Serna Dueñas
Ing. Tecnologías de la Información
y Comunicaciones
PUERTO VALLARTA
Administración y Seguridad en Redes

Autor: J’ Agustín Guerrero Romero

2018
Tipos de Servidores de Seguridad 2

Servidores Aplicados a la Seguridad

S E RV I DO R DE S E G URI DA D

Tiene software especializado para detener intrusiones maliciosas, normalmente tienen antivirus, antispyware,
antimalware, además de contar con cortafuegos redundantes de diversos niveles y/o capas para evitar ataques, los
servidores de seguridad varían dependiendo de su utilización e importancia.
Sin embargo, de acuerdo al rol que asumen dentro de una red se dividen en:

• Servidor dedicado
• Servidor no dedicado

S E RV I D O R D E D I C A D O

Un servidor dedicado es un ordenador comprado o arrendado que se utiliza para prestar servicios dedicados,
generalmente relacionados con el alojamiento web y otros servicios en red. A diferencia de lo que ocurre con el
alojamiento compartido, en donde los recursos de la máquina son compartidos entre un número indeterminado de
clientes, en el caso de los servidores dedicados generalmente es un solo cliente el que dispone de todos los recursos
de la máquina para los fines por los cuales haya contratado el servicio.

• Características
Los servidores dedicados pueden ser utilizados tanto para prestar servicios de alojamiento compartido como para
prestar servicios de alojamiento dedicado, y pueden ser administrados por el cliente o por la empresa que los provee.
El cuidado físico de la máquina y de la conectividad a Internet está generalmente a cargo de la empresa que provee el
servidor. Un servidor dedicado generalmente se encuentra localizado en un centro de datos.
Un servidor dedicado puede ser entendido como la contraparte del alojamiento web compartido, pero eso no significa
que un servidor dedicado no pueda ser destinado a entregar este tipo de servicio. Este es el caso cuando, por ejemplo,
una empresa dedicada al negocio del alojamiento web compra o arrienda un servidor dedicado con el objetivo de
ofrecer servicios de alojamiento web a sus clientes. Por otro lado, un servidor dedicado puede ser utilizado como una
forma avanzada de alojamiento web cuando un cliente o empresa tiene requerimientos especiales de rendimiento,
configuración o seguridad. En estos casos es común que una empresa arriende un servidor dedicado para
autoabastecerse de los servicios que necesita disponiendo de todos los recursos de la máquina.
• Ventajas
✓ El cliente puede disponer de todos los recursos de la máquina.
✓ La configuración del servidor puede estar completamente adaptada a las necesidades particulares del cliente.
✓ Existe un mayor control sobre las aplicaciones que corre el servidor web.
✓ El mantenimiento y las actualizaciones de seguridad pueden ser realizadas con mayor facilidad y control.

2018 Autor: J’ Agustín Guerrero Romero

Tipos de Servidores de Seguridad 3

• Desventajas
La principal desventaja de un servidor dedicado es el costo del servicio, el cual es muy superior al del alojamiento
compartido. Esto es debido principalmente al costo mensual de la máquina y la necesidad de contratar los servicios
para la administración y configuración del servidor.

S E RV I D O R N O D E D I C A D O

Servidor no dedicado de una red es cuando un equipo que, al estar haciendo las funciones de servidor, también puede
realizar otras actividades, así como por ejemplo en su momento podrá ser reiniciado sin que eso implique que el resto
de estaciones de trabajo que dependen de él, se vean afectadas en su desempeño. Si bien también es cierto que al
usar un servidor de este tipo, también afectamos el desempeño de la red lo cual debe ser evaluado desde el inicio del
proyecto para evitarnos problemas en el futuro.
Qué debemos saber acerca de un servidor no dedicado de una red
No es común ni habitual llamar a nuestro servicio de hosting Servidor no dedicado. En realidad, cuando buscamos un
tipo determinado de alojamiento para nuestra web, siempre nos debemos basar en los distintos tipos de servidores y
ver cuál es el que nos interesa más, con respecto a las necesidades que tenemos en cada momento.

Por ejemplo, podríamos hablar de Servidores dedicados o servidores compartidos, también llamados servidores VPS,
es decir, servidores virtuales privados que nos garantizan una parte de los recursos de una máquina exclusivamente
para nosotros. Este tipo de servidores suelen utilizarlos empresas que necesitan alojar más de una web de tamaño
considerable.
Finalmente diremos que la definición de servidor no dedicado de una red estaría más cerca de una definición de
pequeñas redes en donde la función de los equipos puede ser alterada sin mayor problema y con ello garantizar la
disponibilidad de la misma, aun cuando su desempeño sea un poco lento en relación a mantener un equipo dedicado
únicamente, a realizar las funciones de un servidor dedicado.

E JE M P L O S D E S O F T WA R E

Snort

Este software de detección de intrusiones de red, así como de prevención de accesos no autorizados al sistema, se
destaca en el análisis de tráfico y registro de paquetes en redes IP. Mediante análisis de protocolos, búsqueda de
contenidos y varios pre-procesados, Snort es capaz de detener y alertarnos de los miles de gusanos, troyanos, intentos
de vulnerar nuestro firewall, además de ponernos sobre aviso en caso de que estén escaneando alguno de nuestros
puertos u otros comportamientos sospechosos. También cuenta con una interfaz web para la gestión de alertas
llamada BASE (Basic Analysis and Security Engine).

2018 Autor: J’ Agustín Guerrero Romero

Tipos de Servidores de Seguridad 4
Esta aplicación es Open Source y totalmente gratuita, aunque la compañía desarrolladora también cuenta con
versiones comerciales verificadas y certificadas por VRT, y en absoluto caras si comparamos con otros precios que
aparecen en esta publicación; 499$.
Kali Linux (anteriormente conocida como BackTrack).

De sobra ya conocida por aquellos que se muevan en el mundo de las distribuciones Linux o en el de la seguridad
informática. Esta distribución en Live-CD (cd de arranque con opción a instalable) nos ofrece un amplio catálogo de
herramientas de seguridad y forenses, proporcionándonos un entorno de desarrollo, pruebas e implementación de lo
más completo. Otra característica de Kali-Linux es la modularidad , que es básicamente que podemos crearnos una
distribución que se adecue a nuestras necesidades, eligiendo los paquetes que vayamos a usar y prescindiendo de
otras tantas funcionalidades que no Además de la personalización de la paquetería de la distribución, el hecho de
contar con un escritorio como Gnome, hará fácil que podamos personalizar también los menús, iconos, apariencia,
etc. … pudiendo contar con una distribución que podemos usar a diario y como herramienta de mantenimiento de la
seguridad de nuestra red.
Nessus

Uno de los escáneres de vulnerabilidades más popular y efectivo es Nessus. Más de46000 plugin componen su
extenso repertorio, con el que podremos poner a prueba sobradamente cualquier entorno que se nos ponga por
delante. Autentificaciones, accesos remotos, accesos locales, control de privilegios y escalado de los mismos, análisis
de arquitecturas cliente-servidor, además de contar con una interfaz web avanzada y con un entorno propio para
desarrollar nuestros propios plugin.
Principalmente ideado para sistemas UNIX (aunque aplicable a cualquier plataforma que encontremos hoy día), al igual
que Metasploit comenzó siendo de código abierto hasta que en 2005 se privatizó y retiró las versiones gratuitas en
2008. Lo podemos adquirir a día de hoy por unos 1200$ al año, aunque la comunidad Linux como siempre está ahí
para demostrarnos una vez más que el Open Source es omnipresente y un grupo de usuarios aún desarrollan una
versión de Nessus bajo el nombre de Open VAS.
Metasploit

En su lanzamiento en 2004, Meta sploit revolucionó el mundo de la seguridad. Nos encontramos ante lo que era un
software de código abierto fundamentalmente diseñado para el desarrollo avanzado de aplicaciones y sistemas, y para
el uso y pruebas de código de explotación en entornos controlados. El popular modelo de análisis a través de payloads,
codificadores, generadores no-op y otros muchos exploits integrables en diversos programas, han hecho que
Metasploit se encuentre siempre a la vanguardia de las opciones más sonadas de entre el software para análisis de

2018 Autor: J’ Agustín Guerrero Romero

Tipos de Servidores de Seguridad 5
seguridad. Entre su repertorio de ‘extras’ encontramos cientos de exploits que podremos usar o editar para crear los
nuestros propios, lo cual es más recomendable que aventurarse a descargar otros scripts o shellcode’s de cualquier
foro, blog, web, que no sabemos qué puede tener detrás, recordad que el mundo de la seguridad existe por el
escepticismo de muchos internautas, nunca viene mal un poco de esa desconfianza en según qué ocasiones.
Algo muy interesante que nos ofrece Metasploit, es un entorno Linux contrastadamente INseguro, que podremos usar
para probar todas las ‘bondades’ de Metasploit en un entorno controlado en lugar de tener que desplegar un servidor
únicamente para este fin, o probarlo contra nuestro servidor en activo (únicamente recomendable si sabemos lo que
nos hacemos y conocemos mínimamente qué resultado obtendremos).
Comentar también que Metasploit era un software totalmente Open Source, pero en 2009 la compañíaRapid7 la
adquirió y comenzaron a surgir variantes comerciales. Aunque como siempre en este mundo del Software
Libre, gracias a la comunidad seguimos teniendo una versión gratuita, aunque limitada. Para aquellos que estén
interesados en comprar las licencias, comentar que estas se encuentran a un precio de entre 3000$ y 15000$ en
función de las funciones que necesitemos.

Wireshark

Conocido anteriormente como Ethereal (hasta que en 2006 perdió los derechos sobre dicho nombre por una disputa
con otra marca de similar denominación), se trata de una magnífica herramienta de código abierto que nos
proporcionará un análisis exhaustivo de nuestra red. Wireshark cuenta con multitud de características interesantes,
como el hecho de poder realizar el análisis sobre una red existente, sobre un mapeado o un archivo existente en disco.
Además, incluye un amplísimo diccionario para aplicar filtros a la navegación, así como la posibilidad de reconstruir una
sesión TCP al completo mediante el flujo de datos analizado, pudiendo así rastrear la navegación que se genera desde
nuestra red.
Es compatible con cientos de protocolos y podemos encontrar esta aplicación disponible en varias plataformas como
Windows, Linux o Mac OS. Esperamos que toda esta información os sea de ayuda y os anime a probar alguna de
estas aplicaciones. Recordad suscribiros para estar al día de los artículos, webinars y noticias más relevantes, y no
dejéis de echar un vistazo al catálogo de cursos de Openwebinars.net.

E JE M P L O S D E H A R D WA R E

Acceso físico a las máquinas y dispositivos de red

Es inevitable que el personal tenga acceso físico a las máquinas sobre las que deben trabajar, y en algunos casos
incluso a los dispositivos de red. Cuando el usuario debe usar el hardware directamente, como usando disqueteras,
CDROMs o similares la máquina que alberga estos dispositivos debe estar cercana al usuario. Lo mismo es aplicable
para los servidores y dispositivos de red y los administradores de sistemas, para poder realizar su trabajo tienen que
tener normalmente acceso físico a los dispositivos de red.
Teniendo en cuenta este factor debemos intentar mediante el estudio de la red y de las aplicaciones que han de correr
los usuarios finales el mantener al menos los servidores y los dispositivos de red lejos del usuario final, en racks,
armarios o centros de datos. Los usuarios podrán acceder a sus datos a través de la red local y mantener los datos
importantes a salvo, aunque el hardware donde van a trabajar este desprotegido por estar en su puesto de trabajo. Los
sistemas NAS y otros sistemas de almacenamiento de datos o servidores de aplicaciones pueden ayudar en esto.

2018 Autor: J’ Agustín Guerrero Romero

Tipos de Servidores de Seguridad 6
Por tanto, la idea es mantener al menos los datos y el trabajo del usuario fuera de la máquina donde el usuario va a
trabajar. Deberemos instar al personal de administración para que organice el sistema de forma que los usuarios
finales trabajen directamente sobre servidores de ficheros y servidores de aplicaciones, manteniendo así los datos a
salvo de errores o manipulaciones del hardware. Bien estudiado este sistema puede suponer un ahorro adicional en
hardware en las estaciones de trabajo del usuario final, que podrán ser menos complicadas en su constitución y más
sencillas de administrar.
Seguridad del BIOS. Password de BIOS
La seguridad que proporcionan las passwords de BIOS es una seguridad absolutamente ficticia. Muchos
administradores confían ciegamente en la seguridad de los sistemas asegurados mediante passwords de BIOS, sobre
todo cuando se intenta impedir el arranque desde disquetera o desde CDROM. Esto es un grave error. La seguridad
que proporciona el password de BIOS es mínima si no tenemos una seguridad física suficiente sobre el sistema en
cuestión. Si un intruso consigue abrir la caja del ordenador puede simplemente activar el puente de borrado del BIOS y
nuestro password se borrará, o puede simplemente llevar un BIOS igual al del ordenador en cuestión y montarlo en el
zócalo. Incluso se han dado casos de llegar a desoldar el BIOS de un ordenador y soldar el nuevo para saltar el
password.
Por todas estas técnicas y por muchas otras que existen simplemente no debemos confiar en los password de BIOS. Si
alguien tiene acceso al interior de nuestra máquina podrá hacer lo que quiera con ella. Puede borrar el BIOS, cambiarlo
por otro, instalar una disquetera o un CDROM, una grabadora de CDs, cualquier cosa. La seguridad física de la caja
por tanto es fundamental si queremos asegurar que la configuración de la máquina no va a ser cambiada.
No nos cansamos de decirlo. Si tiene datos importantes manténgalos alejados de las máquinas de usuario o de
cualquier máquina a la que pueda tener acceso un intruso malintencionado. Es la única forma de mantener sus datos a
salvo.
Redundancia de máquinas y sistemas de almacenamiento
Al igual que insistimos en mantener los datos en lugar seguro lejos del usuario final o de un supuesto intruso no
podemos dejar de insistir en la necesidad de redundancia o alta disponibilidad en los sistemas críticos y en las
máquinas que proporcionen almacenamiento. Es fundamental poder acceder a los datos siempre que sea necesario, y
la única forma de asegurar con un porcentaje aceptable de seguridad que nuestros datos estarán disponibles es
proveer algún tipo de redundancia para estos datos.
Lo más aconsejable para este tipo de sistemas es la instalación de sistemas de alta disponibilidad, donde varias
máquinas proporcionan la misma funcionalidad y se sincronizan permaneciendo siempre todas en el mismo estado. Si
la máquina que está proporcionando el servicio falla otra de las máquinas del clúster ocupa su lugar y el sistema puede
seguir funcionando. Normalmente el sistema avisa a los administradores de este tipo de eventos para que solucione el
fallo en la primera máquina. Con un clúster de dos o tres máquinas proporcionando la misma funcionalidad podemos
obtener tasas de fiabilidad muy altas, sobre todo cuando hablamos de integridad de datos. La replicación de los datos
de un servidor de archivos principal en otros servidores de archivos secundarios (preferentemente alojados en otro
edificio) es otra opción recomendable para proporcionar seguridad física en los sistemas de almacenamiento o en
servidores de aplicaciones. La diferencia con los sistemas de alta disponibilidad es que estos sistemas no se sustituyen
unos a otros automáticamente, solo mantienen una copia de los datos a buen recaudo en otro servidor por si es
necesario acceder a ellas. Si puede instale un sistema de alta disponibilidad. Pero si su presupuesto no se lo permite
programe copias de seguridad en servidores localizados lejos del servidor principal a través de la red para no perder
nunca datos.
Siempre existe la posibilidad de que un intruso se apodere de uno de los sistemas y obtenga los datos de esa máquina,
por lo que la seguridad física e informática de este tipo de máquinas es crítica.

2018 Autor: J’ Agustín Guerrero Romero

Tipos de Servidores de Seguridad 7

Sistemas UPS
Los sistemas UPS son imprescindibles en la seguridad física de un sistema informático. La mayoría de los sistemas
operativos responden mal a las caídas repentinas y puede producirse perdida de datos importantes si no se usan
sistemas de archivos con Journaling como Ext3, Reiserfs, XFS, JFS o similares.
Es complicado decir que es más conveniente, si mantener un gran UPS que alimente un grupo de máquinas, por
ejemplo, un rack o un armario con muchos dispositivos o si tener varios UPS que proporcionen alimentación a menos
máquinas. El UPS puede convertirse en un punto del fallo del sistema, pues si falla todo el sistema se vendrá abajo.
Los grandes UPS suelen ser más seguros, proporcionan mayor autonomía y protección, pero en el hipotético caso de
que fallen nos dejan con todo el sistema caído. Los UPS más pequeños no tienen tantas características, pero cumplen
bien su cometido. El presupuesto también será un punto a tener en cuenta para la elección de una u otra opción, pues
un gran UPS es bastante más caro que varios UPS pequeños.
Es importante ubicar los UPS dentro de los racks o armarios, donde no puedan ser desactivados por un supuesto
intruso o por un fallo de un usuario o administrador.
Redundancia a nivel de hardware
Igual que aconsejamos la redundancia a nivel de máquinas para todo el sistema en general debemos aconsejar
también la redundancia a nivel interno de hardware. Hoy existen ordenadores que incorporan dos fuentes de
alimentación, varios discos duros montados en RAID, e incluso dos placas base. Los dispositivos de red también
incorporan redundancia en una forma similar. Todo este tipo de funcionalidad es muy beneficiosa para la seguridad
física del sistema en general, pues permite que parte del hardware falle sin que el sistema caiga. Debemos tener en
cuenta que este tipo de sistemas son caros, y que a veces los sistemas de alta disponibilidad construidos con varias
máquinas pueden ser igual de eficientes y más económicos que los sistemas redundantes a nivel de hardware.
El caso del RAID es diferente. Hoy por hoy cualquier servidor corporativo debería incorporar algún tipo de RAID, ya sea
RAID 0, RAID 1 o RAID 5, sobre hardware o sobre software. Con el precio continuamente decreciente de los discos
duros podemos permitirnos un sistema de RAID basado en software sobre un sistema IDE por un precio realmente
bajo, y esto nos proporcionará redundancia en el hardware sin aumentar excesivamente el presupuesto.

2018 Autor: J’ Agustín Guerrero Romero