Seguridad a nivel fsico

LSI
2013-2014
Contenidos
Qu es seguridad fsica?
Seguridad en CPDs
Alimentacin elctrica
Copias de seguridad
Seguridad en edificaciones TIC. Normativa
2
Qu es seguridad fsica?
Todos aquellos mecanismos (prevencin y deteccin) destinados a
proteger fsicamente los recursos del sistema

Es la primera lnea de defensa

Proteccin del hardware
Acceso fsico
Desastres naturales
Alteraciones del entorno (sabotaje interno y externo)

Proteccin de los datos
3
Qu es seguridad fsica?
En qu consiste?
Disuasin: establecer lmites
Denegacin: denegar el acceso directo a elementos fsicos
Deteccin: de las intrusiones
Retraso: conseguir tiempo suficiente de respuesta






4
SEGURIDAD EN CPDS

5
Seguridad en CPDs
Qu es un CPD?
Siglas de Centro de Proceso de Datos
Lugar en el que se concentran todos los recursos necesarios para el
procesamiento de informacin de una organizacin
Ejemplos: CESGA, BSC
6
CESGA
Seguridad en CPDs
7
Seguridad en CPDs
MARENOSTRUM
8
Seguridad en CPDs
Temperatura
Proteccin contra incendios
Ubicacin
Acceso fsico
9
Seguridad en CPDs. Temperatura (1)
Los CPDs exigen condiciones especficas de temperatura
Temperatura del CPD debera mantenerse entre 18 y 27 grados

Medidas a tomar
Equipos de climatizacin de precisin
Tcnica de pasillo aire caliente / aire fro

10
Seguridad en CPDs. Temperatura (y 2)

Esquema de climatizacin en un CPD.
Imagen extrada de: http://www.rediris.es/difusion/publicaciones/boletin/76/enfoque2.pdf
Heating, Ventilation, and Air Conditioning ( )
11
Seguridad en CPDs. Proteccin contra incendios
Los CPDs deben contar con sistemas de proteccin contra incendios,
as como implementar programas de prevencin de incendios.
Normalmente, se utilizan:
Sistema de deteccin
Detector de calor (umbral de temperatura)
Detector de llama (detector de energa infrarroja)
Detector de partculas de combustin o humo
Sistema de extincin
Extintores
Sistemas de aspersin de agua
Sistema de descarga de gas (CO
2
, Haln, )


12
Seguridad en CPDs. Ubicacin
Un CPD no debera estar situado
En la ltima planta (incendios)
En el stano (inundaciones)
Cerca de reas pblicas del edificio (seguridad)

Dnde entonces?
Un CPD debera estar colocado en el ncleo del edificio (mxima
proteccin contra desastres naturales)
13
Seguridad en CPDs. Acceso fsico (1)
Prevencin (control acceso a los recursos)
Llave, tarjeta inteligente (rfid)
Cdigo de seguridad
Sistemas biomtricos
Vigilante de seguridad
Puertas de seguridad

14
Seguridad en CPDs. Acceso fsico (2)
Deteccin
Si un mecanismo de prevencin falla (o no existe) se debe al menos
detectar el acceso
Mecanismos
Cmaras de vigilancia circuito cerrado
Alarmas
Sensores de movimiento, peso, etc.
Auditora de accesos
15
Seguridad en CPDs. Acceso fsico (3)
Las puertas de seguridad
Sistema de auto-cierre y no permitir que se queden abiertas
Alarmas automticas en caso de ser forzadas o permanecer abiertas ms
de un cierto periodo
Sistema de doble puerta (mantrap)
Despus del cierre de la primera puerta, identifica y autentica un
individuo antes de abrir la segunda puerta
Evita el piggybacking
Un individuo sin acceso aprovecha pasando detrs antes del cierre de
puerta de un individuo autorizado
16
Seguridad en CPDs. Acceso fsico (4)
Amenazas
Lock picking




Bumping

17
Seguridad en CPDs. Acceso fsico (5)
Sistemas biomtricos
La biometra es el estudio de mtodos automticos para el
reconocimiento nico de humanos basados en uno o ms rasgos
conductuales o rasgos fsicos intrnsecos
Algo que el usuario "es" o "hace"
Elimina la necesidad de poseer elementos para el acceso (llaves,
tarjetas,) (aunque pueden combinarse)
18
Seguridad en CPDs. Acceso fsico (6)
Sistemas biomtricos
Huella digital
Palma de la mano
Patrones oculares
Reconocimiento facial
Verificacin de voz
Verificacin automtica de firma
Pautas al caminar
19
Seguridad en CPDs. Acceso fsico (7)
Sistemas biomtricos
20
Seguridad en CPDs. Acceso fsico (y 8)
Sistemas biomtricos
ocular huellas mano escritura voz cara
Fiabilidad Muy alta Muy alta Alta Media Alta Alta
Facilidad uso Media Alta Alta Alta Alta Alta
Prevencin
ataque
Muy alta Alta Alta Muy Alta Alta Media
Estabilidad Alta Alta Baja Baja Media Media
Tabla comparativa de sistemas biomtricos
21
Ms amenazas (1)
Tempest
Nombre en cdigo para referirse a investigaciones y estudios de
compromiso de emanaciones/emisiones (compromising emanations, CE)
Emisiones elctricas y/o magnticas, acstica, etc.
Realmente se usa Tempest para referirse a Seguridad sobre las
emanaciones (emanations security, EMSEC)
Estudios recientes (Vuagnoux.& Pasini, 2009) que demuestran que es
posible detectar radiacin correspondiente al evento de pulsar una tecla
en un teclado, no solo para teclados sin cable (wireless) sino para
teclados tradicionales e incluso para teclados de porttiles

22
Ms amenazas (2)
Medidas de prevencin ante ataques Tempest
Jaulas de Faraday y Laberintos de Radiofrecuencia
Consiste en proteger una sala o edificio completo, creando zonas
electromagnticamente aisladas
Tcnicas de zoning:
Consiste en situar los dispositivos ms sensibles en las zonas ms
seguras (lejos, fsicamente, de dnde pueda llegar un atacante)
Ruido electromagntico
Consiste en generar seales falsas (ruido) que dificulten a un
atacante filtrar la seal original
23
Ms amenazas (y 3)
Adems
Existen equipos con certificacin Tempest (protegidos frente a ataques
de este tipo)
La autoridad de certificacin Tempest en Espaa recae bajo el CCN
(Centro Criptolgico Nacional), que forma parte del Ministerio de
Defensa

24
ALIMENTACIN ELCTRICA
25
Alimentacin elctrica
Sistema de alimentacin ininterrumpida (SAI)
En ingls, Uninterruptible Power Supplies (UPS)
Protege ante fallos de potencia de corta duracin
Proporciona energa de emergencia cuando la fuente de potencia de
entrada, tpicamente la red elctrica falla
El tiempo durante el que un SAI es capaz de proporcionar energa es
relativamente corto (unos minutos), pero suficiente para:
Activar sistema de generacin auxiliar
Realizar un apagado ordenado de los equipos
Pueden proteger un equipo, varios equipos o un CPD entero
Deben permitir gestionar el apagado ordenado de los equipos a los que
protegen
26
Alimentacin elctrica
Sistema de alimentacin ininterrumpida (SAI)
27
Alimentacin elctrica
Sistema de alimentacin ininterrumpida (SAI)
Modos funcionamiento
Off-line (standby)
SAI tiene sensores para detectar los fallos de potencia
Si ocurre un fallo de potencia, se activa la SAI y entrega la energa almacenada en
sus bateras
Existe un pequeo tiempo de conmutacin
In-Line
Igual que off-line pero con filtrado de seal
On-line (double-conversion)
Las bateras entregan constantemente energa
No hay tiempo de conmutacin
Acta como un muro de proteccin entre la red elctrica y los equipos
Ideal en entornos con equipamiento sensible a fluctuaciones elctricas
Pensado principalmente para instalaciones grandes
28
Alimentacin elctrica
SAI Off-line (standby)
29
Alimentacin elctrica
SAI On-line (double-conversion)
30
COPIAS DE SEGURIDAD (BACKUP)
31
Copias de seguridad (Backup)
Definicin:
Hacer una copia de seguridad o backup es el proceso de copiar y
archivar datos, de modo que puedan ser usados para restaurar los
originales en caso de prdida

Existen varios tipos de backup. Las ms comunes son:
Completo
Incremental
Diferencial
32
Tipos de backup (1)
Completo (full backup)
Punto de partida para otros tipos de backup
Contiene todos los datos en archivos y directorios seleccionados para hacer
backup
+ Restauracin fcil y rpida
- Consume bastante tiempo
- Ocupa mucho espacio
33
Tipos de backup (2)
Diferencial (Differential backup)
Contiene todos los archivos que han cambiado desde el ltimo backup completo
(i.e. todo lo que difiere del ltimo backup completo)
+ Restauracin relativamente rpida. Se necesitan dos archivos: backup completo
ms reciente + backup diferencial ms reciente
+ Ms rpido (y ocupa menos espacio) que backup completo
- Ms lento (y ocupa ms espacio) que backup incremental
- Si se ejecuta muchas veces, puede llegar a ocupar mucho espacio
34
Tipos de backup (3)
Incremental (Incremental backup)
Contiene todos los archivos que han cambiado desde el ltimo backup completo,
diferencial o incremental (i.e. es un incremento sobre el ltimo backup)
+ Es el ms rpido
+ Es el que ocupa menos espacio
- Restauracin lenta y compleja. Implica procesar varios archivos. Se necesitan:
backup completo ms reciente + todos los backups incrementales desde el
backup completo ms reciente (-> incrementa la probabilidad de fallo)
35
Tipos de backup (4)
Fallo en backup incremental vs. backup diferencial
Imagen extrada de www.acronis.com
36
Tipos de backup (y 5)
Completo vs Incremental vs Diferencial
Tipo de backup Datos
copiados
Tiempo de
backup
Tiempo de
restauracin
Espacio de
almacenamiento
Completo todos lento rpido mucho
Incremental slo archivos /
carpetas
nuevos /
modificados
rpido moderado poco
Diferencial todos desde el
ltimo
completo
moderado rpido moderado
37
Copias de seguridad (Backup)
Cmo sabe la herramienta de backup qu archivos copiar?
Archive bit:
Atributo binario asociado a un archivo (o directorio)
0: indica que se ha hecho copia del archivo
1: indica que no se ha hecho copia del archivo o bien ste ha sido modificado desde el ltimo
backup (completo o incremental)
Full backup e incremental backup hacen un reset del archive bit (lo ponen a 0). Differential
backup no modifica el archive bit
Utilizado en Windows
Facilita la realizacin de copias incrementales (slo hay que copiar los archivos con
archive bit = 1)
Problema si se utilizan varios programas de backup
Registro propio
Las herramientas modernas suelen comprobar ellas mismas si un archivo ha sido
modificado y no hacen caso del archive bit
38
Herramientas de backup
Unix:
Tar
dump / restore

39
Herramientas de backup
Tar
Backup incremental
Copia inicial
t ar - czvf backup. 0. t gz - g backup. snap / home
Copias incrementales
t ar - czvf backup. 1. 1. t gz - g backup. snap / home
t ar - czvf backup. 1. 2. t gz - g backup. snap / home

NOTA: estos comandos irn actualizando la lista de ficheros respaldados que
contiene backup.snap
Opciones:
-c, --create
-z, --gzip
-v, --verbose
-f, --file F
-g, --listed-incremental F. Create/list/extract new GNU-format incremental backup

40
Herramientas de backup
Tar
Recuperacin desde backup incremental
Primero se restaura la copia inicial
t ar - xzvf backup. 0. t gz - g / dev/ nul l - C /
Luego se restauran las copias incrementales posteriores
t ar - xzvf backup. 1. 1. t gz - g / dev/ nul l - C /
t ar - xzvf backup. 1. 2. t gz - g / dev/ nul l - C /
Opciones:
-x, --extract
-C, cambia al directorio que se le indica despus, para realizar la extraccin en l
41
Herramientas de backup
Dump / Restore
Comandos clsicos de backup
Copia de dispositivos / particiones completas

Creacin backup
Original
dump -0ua f /mnt/backup.full.dump /dev/sdc5
Incremental
dump -1ua f /mnt/backup.incr.dump /dev/sdc5

Restauracin
Listar contenido backup
restore -t -f /mnt/backup.dump
Recuperar todo el backup
restore r -f /mnt/backup.dump
Recuperacin interactiva
restore i f /mnt/backup.dump

42
SEGURIDAD EN EDIFICACIONES TIC.
NORMATIVA
43
Seguridad en edificaciones TIC y normativa
Normativa bsica de edificacin
Ley 38/1999, de 5 de noviembre, de ordenacin de la edificacin
REAL DECRETO 314/2006, de 17 de marzo, por el que se aprueba el
Cdigo Tcnico de la Edificacin
El Cdigo Tcnico de la Edificacin (CTE) establece las exigencias que
deben cumplir los edificios en relacin con los requisitos bsicos de
seguridad y habitabilidad establecidos den la LOE
Real Decreto 2177/1996, de 4 de octubre, por el que se aprueba la
norma bsica de la edificacin NBE-CPI/96: Condiciones de proteccin
contra incendios de los edificios
Real Decreto 1942/1993, de 5 de noviembre, por el que se aprueba el
Reglamento de Instalaciones de Proteccin contra Incendios

44
Seguridad en edificaciones TIC y normativa
Normativa relacionada con la seguridad fsica
ISO 27002: Buenas prcticas para la gestin de la seguridad. Define los
objetivos de control (finalidades) y controles de seguridad
(contramedidas) a utilizar par reducir y/o mitigar riesgos.
Uno de los objetivos de control es la "Seguridad Fsica y del Entorno"
45
Seguridad en edificaciones TIC y normativa
Normativa especfica para CPDs (1)
TIA-942 Telecommunications Infrastructure Standard for Data Centers
(Estndar de Infraestructura de telecomunicaciones para Centros de
Proceso de Datos)
Especifica los requisitos mnimos para infraestructura de
telecomunicaciones de centros de proceso de datos y salas de
ordenadores.
La topologa propuesta en este documento pretende ser aplicable a
un CPD de cualquier tamao.

NOTA: La Telecommunications Industry Association (TIA) es un
organismo que se ocupa del desarrollo de estndares, iniciativas, etc.



46
Seguridad en edificaciones TIC y normativa
Normativa especfica para CPDs (y 2)
ANSI/BICSI 002-2011: Buenas prcticas para CPDs. Establece los
requisitos, recomendaciones y cualquier informacin adicional que
deben tenerse en cuenta cuando se trabaja con sistemas crticos, como
las redes elctricas, mecnicas y de telecomunicaciones, as como otras
necesidades importantes, como la seleccin del sitio y la seguridad de
los CPDs.

47
Bibliografa recomendada
Anderson, R. (2008). Security Engineering, 2
nd
Edition.
http://www.cl.cam.ac.uk/~rja14/book.html

Chapter 5: Input/Output, Modern Operating Systems .3
rd
ed, Andrew S.
Tanenbaum

Santos del Riego, A (2013). Legislacin [Proteccin] y Seguridad de
la Informacin. Disponible en: http://psi-udc.blogspot.com.


48