Está en la página 1de 9

AO DE LA INTEGRACIN NACIONAL Y EL RECONOCIMIENTO DE NUESTRA DIVERSIDAD

2012

Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Alumno: rea:

Edinson Anchiluri Tocto Administracin de Centros de Cmputo

Docente:

Csar Cspedes Cornejo

Especialidad: Informtica y Sistemas

Semestre acadmico: VI

Tumbes Per

Edinson Anchiluri Tocto Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes 18/09/2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

El TIER Standard
Topology Institute es una norma que describe los criterios para diferenciar cuatro clasificaciones de topologa de infraestructura de sitio, basada en los crecientes niveles de los componentes de capacidad redundantes y vas de distribucin. Las Tier Classifications, fueron creadas para describir de forma consecuente la infraestructura a nivel sitio requerido para sostener operaciones de centros de datos, no las caractersticas de sistemas o subsistemas individuales. Esta norma se basa en el hecho de que los centros de datos dependen de las operaciones exitosas e integradas de varios subsistemas de infraestructuras de sitios separados, cuyo nmero depende de las tecnologas individuales. El estndar TIA-942 incluye informacin sobre los Grados de Disponibilidad (Tier) con los que pueden clasificarse los CPDs. Estos Tiers estn basados en informacin desarrollado por el Uptime Institute, un consorcio dedicado a proveer a sus miembros las mejores prcticas y benchmarks para mejorar la planificacin y gestin de CPDs. Para cada uno de los cuatro Tiers se describe detalladamente las recomendaciones para la infraestructura, de seguridad, elctrica, mecnica y telecomunicaciones. A mayor nmero de Tier mayor grado de disponibilidad. Diferentes Tier de Diseo Data Center Tier % disponibilidad % de indisponibilidad Tiempo de indisponibilidad al ao.

Tier I

99.671 %

0.329 %

28.82 horas

Tier II

99.741 %

0.251 %

22.68 horas

Tier III

99.982 %

0.018 %

1.57 horas

Tier IV

99.995 %

0.005 %

52.56 minutos

Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Edinson Anchiluri Tocto PER - 2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

Las cuatro clasificaciones de topologa de infraestructura de sitio son: 1. Tier I: Infraestructura bsica del sitio Requisitos fundamentales: a. Vas de distribucin y componentes de capacidad no redundantes que sirven a los equipos TI. b. Doce horas de almacenamiento de combustible en el lugar para el grupo o los grupos electrgenos. Impactos operativos: a. El sitio es susceptible a interrupciones de ambas actividades planificadas y no planificadas. b. Una interrupcin de cualquier sistema de capacidad, afectar los equipos TI. c. La infraestructura del sitio debe ser apagada anualmente para realizar los trabajos preventivos de mantenimiento y reparacin de forma segura.

Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Edinson Anchiluri Tocto PER - 2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

2. Tier II: Componentes de capacidad redundantes de infraestructura de sitio Requisitos fundamentales: a. Un centro de datos Tier II tiene vas de distribucin y componentes de capacidad no redundantes que sirven a los equipos TI. b. Doce horas de almacenamiento de combustible en el sitio para una capacidad N Impactos operativos: a. El sitio es susceptible a interrupciones por actividades planificadas y por sucesos no planificados. b. Una falla imprevista de un componente de capacidad podra afectar los equipos TI. c. La infraestructura del sitio debe ser completamente apagada de forma anual para efectuar de forma segura trabajos de reparacin y mantenimiento preventivo. 3. Tier III: Infraestructura de sitio Concurrently Maintainable Requisitos fundamentales: a. Un centro de datos Concurrently Maintainable tiene componentes de capacidad redundantes y mltiples vas de distribucin que sirven a los equipos TI. Solamente una va de distribucin es requerida para servir a los equipos TI en cualquier momento. b. Todo equipamiento de TI est energizado doblemente como se define por el Fault Tolerant Power Compliance Specification, Version 2.0 del Institute. c. Doce horas de almacenamiento de combustible en el sitio para una capacidad N.

Impactos operativos: a. El sitio es susceptible a interrupciones por actividades no planificadas. Los errores de operacin de los componentes de infraestructura del sitio podran causar una interrupcin en las computadoras. b. Una falla imprevista de cualquier sistema de capacidad afectarn los equipos TI. c. Una interrupcin o falla imprevista de cualquier componente de capacidad podra afectar los equipos TI. d. La infraestructura de mantenimiento del sitio puede operar usando vas de distribucin y componentes de capacidad redundantes, para continuar operando de manera segura los equipos restantes. e. Durante las actividades de mantenimiento, el riesgo de interrupcin podra elevarse.

Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Edinson Anchiluri Tocto PER - 2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

4. Tier IV: Infraestructura de sitio Fault Tolerant Requisitos fundamentales: a. Un centro de datos Fault Tolerant tiene sistemas mltiples. Los componentes de capacidad redundantes se configuran de tal modo que la capacidad N provea de energa y refrigeracin a los equipos TI luego de cualquier falla en la infraestructura. b. Todo equipamiento TI est energizado doblemente como define el Fault Tolerant Power Compliance Specification, Version 2.0 del Institute, y est instalado apropiadamente para ser compatible con la topologa de la arquitectura del sitio. c. Los sistemas y vas de distribucin complementarios deben estar fsicamente aislados uno del otro (compartimentalizados). d. Una refrigeracin continua (Continuous Cooling) es obligatoria. e. Doce horas de almacenamiento de combustible en el sitio para una capacidad N. Impactos operativos a. El sitio no es susceptible a interrupcin debido a un solo suceso no planificado. b. El sitio no es susceptible a interrupcin debido a actividades planificadas de mantenimiento. c. La infraestructura de mantenimiento del sitio puede operar usando vas de distribucin y componentes de capacidad redundantes. d. Durante tareas de mantenimiento donde vas de distribucin o componentes de capacidad se apaguen, los equipos TI estn expuestos a un elevado riesgo de interrupcin en caso de que falle la va restante. e. La operacin de la alarma de incendio, la extincin de incendios o la funcin de apagado de emergencia (emergency power off, EPO) podran causar una interrupcin en el centro de datos. Sistemas de grupos electrgenos Los sistemas de grupos electrgenos Tier III y IV estn considerados la fuente de alimentacin primaria para los centros de datos. Las interrupciones del servicio elctrico local no son consideradas una falla, sino ms bien una condicin operativa para la cual el sitio debe estar preparado.

Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Edinson Anchiluri Tocto PER - 2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

Modelo de red (DMZ)


Una DMZ (Zona Desmilitarizada) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. As tenemos que Screened subnet (DMZ) es la arquitectura ms segura, pero tambin la ms compleja; se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimtrica. En esta red perimtrica, que constituye el sistema cortafuegos, se incluye el host bastin y tambin se podran incluir sistemas que requieran un acceso controlado, como bateras de mdems o el servidor de correo, que sern los nicos elementos visibles desde fuera de nuestra red. El router exterior tiene como misin bloquear el trfico no deseado en ambos sentidos (hacia la red perimtrica y hacia la red externa), mientras que el interior hace lo mismo pero con el trfico entre la red interna y la perimtrica: as, un atacante habra de romper la seguridad de ambos routers para acceder a la red protegida; incluso es posible implementar una zona desmilitarizada con un nico router que posea tres o ms interfaces de red, pero en este caso si se compromete este nico elemento se rompe toda nuestra seguridad, frente al caso general en que hay que comprometer ambos, tanto el externo como el interno.

Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Edinson Anchiluri Tocto PER - 2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

ARQUITECTURA DMZ

La arquitectura DMZ no es mejor que un screened host. Por supuesto, en cualquiera de los tres casos (compromiso del router externo, del host bastin, o del router interno) las actividades de un pirata pueden violar nuestra seguridad, pero de forma parcial: por ejemplo, simplemente accediendo al primer enrutador puede aislar toda nuestra organizacin del exterior, creando una negacin de servicio importante, pero esto suele ser menos grave que si lograra acceso a la red protegida. Aunque, la arquitectura DMZ es la que mayores niveles de seguridad puede proporcionar, no se trata de la panacea de los cortafuegos. Evidentemente existen problemas relacionados con este modelo: por ejemplo, se puede utilizar el firewall para que los servicios fiables pasen directamente sin acceder al bastin, lo que puede dar lugar a un incumplimiento de la poltica de la organizacin. Un segundo problema, quizs ms grave, es que la mayor parte de la seguridad reside en los routers utilizados; como hemos dicho antes las reglas de filtrado sobre estos elementos pueden ser complicadas de configurar y comprobar, lo que puede dar lugar a errores que abran importantes brechas de seguridad en nuestro sistema.

Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Edinson Anchiluri Tocto PER - 2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

Esto se ve muchsimo ms claro en un esquema:

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT). Habitualmente una configuracin DMZ es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir configuraciones errneas accidentales que permitan el acceso desde la red externa a la interna. Este tipo de configuracin tambin es llamado cortafuegos de subred monitoreada (screenedsubnet firewall). Un trmino relacionado directamente con esta tecnologa es el llamado equipo bastin, ste, normalmente a travs de dos tarjetas de red (interfaces) mantiene aislada la red local de la red externa, es decir, la LAN de la WAN. Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta a un puerto distinto de ste. Esta configuracin se llama cortafuegos en trpode (three-legged firewall).

DMZ host En el caso de un enrutador de uso domstico, el DMZ host se refiere a la direccin IP que tiene una computadora para la que un enrutador deja todos los puertos
Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ Edinson Anchiluri Tocto PER - 2012

Centro de Informtica y Telecomunicaciones Universidad nacional de Tumbes

Informtica y Sistemas VI Ciclo

abiertos, excepto aquellos que estn explcitamente definidos en la seccin NAT del enrutador. Es configurable en varios enrutadores y se puede habilitar y deshabilitar. Con ello se persigue conseguir superar limitaciones para conectarse con segn qu programas, aunque es un riesgo muy grande de seguridad que conviene tener solventado instalando un cortafuegos por software en el ordenador que tiene dicha ip en modo DMZ. Para evitar riesgos es mejor no habilitar esta opcin y usar las tablas NAT del enrutador y abrir nicamente los puertos que son necesarios.

Administracin de Centros de Cmputo Tipo de TIERS en un DATACENTER y Modelo de red DMZ

Edinson Anchiluri Tocto PER - 2012