Seguridad Informática

Tema 2: Seguridad pasiva:

Hardware y almacenamiento

1
1. Ubicación y protección física

Los planes de seguridad física se basan en proteger el hardware de los posibles

desastres: inundaciones, incendios, sobrecargas eléctricas, robos, climatología... Para ello
establecen barreras físicas y de control que protegen los recursos y la información,
prestando especial atención a los Centros de Cálculo o CPD (Centros de Proceso de
Datos), sin olvidar que no sólo hay controlar el acceso físico al CPD, sino también el
acceso remoto a través de la red.

Los planes de seguridad no son únicos, puesto que no todos los CPD y demás
recursos informáticos son iguales en todos los casos. Dependerán, pues, del caso
particular de cada empresa u organización, y de las características propias de cada uno
de ellos.

Ejemplo de CPD (Lusitania de Computaex, en Trujillo (Cáceres))

¿Qué factores influyen en la ubicación del CPD?

• Edificio: Hay que evaluar aspectos inherentes a las propias características del
edificio donde se va a ubicar el CPD: ¿de qué espacio se dispone? ¿hay
columnas? ¿caben el equipamiento por la puerta? ¿cómo es el suelo y el techo?
¿cómo es la iluminación? ¿existen sistemas antiincendios? ¿existe
acondicionamiento térmico? ¿cómo es la instalación eléctrica? Etc.

• Tratamiento acústico: Es conveniente disponer de panelados o materiales que

amortigüen el ruido y las vibraciones, sobre todo teniendo en cuenta que en los
CPD se acumulan servidores y aparatos de aire acondicionado y refrigeración que
suelen ser bastante ruidosos.

• Seguridad física del edificio: Se refiere a la instalación de sistemas antiincendios,

humos o protección contra desastres, como inundaciones.

2
 • Suministro eléctrico del CPD: Es conveniente que la alimentación eléctrica del
CPD y los equipos esté separada del resto de instalaciones eléctricas del edificio, a
fin de evitar fluctuaciones y picos peligros por subidas de tensión. Además, es muy
recomendable la instalación de SAIs, tomas de tierra y demás medidas de
protección eléctrica.

Imagina que existiera una única instalación eléctrica, y llegado el invierno, los
trabajadores conectan braseros y estufas. Este tipo de aparatos chupan mucha
energía, y provocan fluctuaciones que pueden hacer saltar los plomos. Imagina
cómo puede afectar eso al normal funcionamiento de los equipos, los servidores...

• Otros factores: dependiendo de la localización, se pueden adoptar medidas

específicas... si vivimos en un lugar cálido: sistemas adicionales de refrigeración. Si
existen antenas o torretas eléctricas, será necesario aislar electromagnéticamente
la ubicación del CPD. Si fuera necesario, sistemas de videovigilancia, vigilantes
jurados...

¿Dónde instalar el CPD?

Teniendo en cuenta los factores anteriores, podemos deducir que el CPD se debe
instalar en zonas libres de interferencias electromagnéticas, en estancias que no sean
contiguas a cuartos de calderas, maquinarias de ascensores... evitar sótanos y últimas
plantas. Lo ideal son las plantas intermedias y sin ventanas.

El control de acceso

Dependiendo de la ubicación y la inversión económica realizada en el CPD, así

como de la importancia de los servicios que ofrece y la información que manipula, el
control de acceso será más relevante. Entre las medidas que se suelen adoptar están las
siguientes:
– Servicio de vigilancia: con vigilantes jurados, cámara de videovigilancia...
– Detectores de metales y escáneres.
– Utilización de sistemas biométricos (reconociento facial, del iris, de la huella
dactilar...), tarjetas de acceso, cerraduras y cristales de seguridad...
– Instalación de sensores de movimiento, alarmas...

La climatización del CPD

La acumulación de múltiples equipos en racks* provoca que se disipe mucha

energía calorífica y hay que refrigerarlos adecuadamente, con unas condiciones estables
de temperatura y humedad, si no queremos que se convierta en un horno y se estropeen
los equipos de los servidores, que suelen estar encendidos 24h al día.

Para ello hay que situar los racks en el lugar adecuado para que le alcance la
circulación del aire, de modo que la salida de calor que producen los equipos se dirija
hacia las rejillas que absorben el aire caliente y lo expulse hacia el exterior. Los splits de
aire acondicionado, ventiladores, etc. deberán apuntar, pues, hacia la parte trasera de los
* Armarios metálicos donde se empotran los equipos informáticos (servidores, generalmente) para que ocupen menos
espacio y estén convenientemente organizados y accesibles, sin que se amontonen cables, conexiones, etc.

3
racks, para que el aire frío refrigere los aparatos, y el aire caliente que suele ascender,
será absorbido por las rejillas superiores y expulsado hacia el exterior.

Confrontando los racks, se pueden alternar pasillos “calientes” y “fríos” que

permiten la circulación del aire.

...Y en caso de desastre

El plan de contingencia en caso de desastre debe minimizar el tiempo de

recuperación del CPD, para que éste entre en servicio en el menor tiempo posible. Para
ello contaremos con copias de seguridad, sistema de discos redundantes (RAID) y otras
técnicas que iremos estudiando a lo largo de este tema y el siguiente.

2. Sistemas de alimentación ininterrumpida

Un SAI (Sistema de Alimentación Ininterrumpida) es un dispositivo electrónico que

permite proteger a los equipos frente a picos o caídas de tensión eléctrica, estabilizando
la señal y evitando que se produzcan daños. Además, proporciona una fuente de
alimentación extra cuando se produce un apagón.

La combinación habitual servidor-SAI hace que los servicios ofertados (páginas

web, correo-e, …) no se interrumpan por culpa de los cortes eléctricos. Si por algún
motivo, el corte eléctrico persistiera, siempre se puede aprovechar el tiempo de vida de
las baterías de SAI para cerrar los servicios y apagar el equipo convenientemente, y así
evitar que el sistema se apague a lo bruto y provoque que el sistema operativo, ficheros
abiertos, etc. se corrompan.

Las características habituales de los SAI actuales se pueden resumir en la

siguiente tabla:

Característica Descripción
Alimentación de ordenadores Se pueden conectar uno o varios equipos al
mismo SAI
Tiempo de trabajo Dependiendo del modelo de SAI, entre 15 y 270

4
 minutos tras haberse producido el corte eléctrico.
Alimentación de otros equipamientos No están diseñados para conectar dispositivos de
alto consumo eléctrico, como impresoras láser.
Regulador de voltaje Evitan que los picos de tensión afecten a los
equipos conectados al SAI.
Otros conectores Algunos modelos incluyen la posibilidad de
conectar un módem, un router u otros elementos
de conexión, que evite que el servidor quede
funcionando, pero incomunicado en caso de
cortes.

Tipos de SAI

Se dividen en dos grupos:

1. Los sistemas de alimentación en estado de espera (Stand-by Power Systems

[SPS]) activan la alimentación desde las baterías automáticamente cuando se
detecta un fallo en el suministro eléctrico.

2. Los SAI en línea (on-line) alimentan de forma continua a los equipos conectados,
aunque no se produzca corte eléctrico, y al mismo tiempo aprovecha para recargar
las baterías. Estos SAI tienen una ventaja con respecto a los anteriores, y es que
además filtran la señal eléctrica protegiendo de picos y caídas de tensión. Aunque
como contrapartida, sus baterías tienen menos autonomía que la de los SPS.

3. Almacenamiento redundante y distribuido

Más conocido por sus siglas en inglés: RAID (Redundant Array of Independent
Disks), consiste en combinar técnicas de software y hardware para obtener un sistema de
almacenamiento más fiable y tolerante a fallos. Para ello utiliza varios discos,
distribuyendo o replicando la información entre ellos con objeto de conseguir:

• Mayor capacidad: combinando varios discos duros podemos obtener una unidad de
almacenamiento mayor. El ordenador considerará que tiene instalado un único
disco más grande.

• Mayor tolerancia a fallos: en determinadas ocasiones puede recuperar la

información perdida y recuperarla para poder seguir funcionando correctamente

• Mayor seguridad: al ser tolerante a fallos, dispondremos de un sistema más

seguro, que garantiza la integridad de los datos. Según el tipo de RAID, incluso
dispondremos de un duplicado de la información, que podríamos considerar como
una copia de seguridad automática.

• Mayor velocidad: al mantener la información distribuida en varios discos, permite

aumentar la velocidad en el acceso para lectura y escritura en disco, puesto que
estas dos operaciones podrán realizarse simultáneamente en los diferentes discos.

5
 Existen diferentes implementaciones de la técnica RAID. Las más habituales
suelen ser: RAID 0, RAID 1 y RAID 5, o combinaciones de estas tres. A continuación
veremos cada una de las técnicas RAID existentes:

 RAID 0: Los datos se distribuyen equilibradamente entre los todos los discos
empleados (dos o más), balanceando la carga de datos por igual entre cada uno de
los discos. La información se guarda en los discos por bloques. El tamaño de un
bloque de datos puede variar de un ordenador a otro. Generalmente se hace
coincidir con el nº de bits del procesador o sistema operativo (32 ó 64 bits). De esta
forma, si por ejemplo, se dispone de un RAID 0 con 3 discos (llamados disco 1,
disco 2 y disco 3) y se van a escribir 5 bloques, el sistema funcionaría de la
siguiente manera: el bloque 1 va a parar al disco 1; el bloque 2 al disco 2; el bloque
3 al disco 3; el bloque 4 vuelve a almacenarse en el disco 1, y el bloque 5 en el
disco 2.

En el siguiente esquema puede apreciarse un sistema RAID 0 con dos discos. A1,
A2, A3... son los bloques de información:

Esta técnica favorece la velocidad puesto que se

pueden leer dos (o más) bloques cuando están
situados en discos diferentes. Si estuviera toda la
información en un único disco, habría que leer
primero un bloque y luego otro.

Sin embargo, RAID 0 no ofrece tolerancia a fallos,

puesto que si falla cualquiera de los dos discos,
provocaría pérdida irrecuperable de la información.

 RAID 1: Se lo conoce también como “espejo”, porque consiste en mantener una

copia idéntica de la información contenida en un disco, en otro disco u otros discos.
El usuario únicamente ve un disco, pero realmente sus datos están siendo
almacenados de forma simultánea en más de un disco, como copias exactas. El
esquema de RAID 1 con dos discos es el siguiente:

Si se produjera un fallo en uno de los discos, se podría

seguir trabajando sin problemas con el otro disco,
mientras cambiamos el disco estropeado y rehacemos
el espejo. El usuario no notaría nada.

El inconveniente de RAID 1 es que se pierde capacidad

de almacenamiento, ya que desperdiciamos el
espacio que podrían proporcionarnos los demás disco
en mantener el espejo. Si utilizamos, por ejemplo, 2
discos de 1 Tb, no dispondremos de 2 Tb, sino de 1
Tb, porque el otro Tb es la copia del primero.

6
  RAID 2: Los datos se almacenan de bit en bit, en lugar de bloques y utiliza una
técnica para la tolerancia a fallos y corrección de los posibles errores que se
pudieran producir, conocida como Código de Hamming. Es el único tipo de RAID
que ha caído en desuso, porque aunque permite velocidades de acceso muy altas,
necesita una gran cantidad de discos para implementarlo. En un sistema a 32 bits,
se necesitarían nada menos que ¡¡39 discos!!: 32 se usarían para almacenar los
datos y 7 se usarían para la corrección de errores mediante, que ocuparía el
Código de Hamming.
En el esquema de abajo se muestra un ejemplo con 7 discos (los 4 de la izquierda
para datos, y los 3 de la derecha para el corrección de errores): A1, A2... D3 y D4
serían bits de información. La corrección se realiza por filas.

 RAID 3: Almacena los datos por bytes, y no por bloques. Cada byte se almacena
en un disco diferente, por lo que para recuperar todo un bloque de datos necesita
leer de varios discos, con lo que no se gana en velocidad, puesto que todos los
discos están ocupados leyendo un bloque, y no se puede simultanear la lectura del
siguiente bloque. Sin embargo, sí es tolerante a fallos, puesto que dedica un disco
a mantener la paridad. En el siguiente esquema se aprecia un sistema RAID 3,
que contiene 2 bloques (A y B), compuestos de 6 bytes cada uno (A1 a A6, y B1 a
B6), y el disco de la derecha dedicado a paridad.

La paridad es una técnica que permite detectar si se ha producido un fallo. Funciona

de la siguiente manera: se añade un bit adicional de modo que el conjunto total (datos +
paridad) sobre el que se aplica contenga un número par de unos. Veamos un ejemplo:

Datos: 1 0 1 1 0 1 0 1 Paridad: 1

Como el nº de unos presentes en los datos es 5 (impar), la paridad debe ser 1, para

7
que así el conjunto total (datos + paridad) contenga un número par de unos (6 unos en
total). Otro ejemplo:

Datos: 1 0 0 1 0 0 1 1 Paridad: 0

En este caso, la paridad debe ser 0, porque si sumamos el nº de unos que contienen
los datos es 4 (par), y el conjunto total (datos + paridad) es también par (4 unos). Si
hubiéramos puesto un uno en la paridad, tendríamos 5 unos en total, y el sistema no
funcionaría.

¿Cómo sirve esto para detectar si hay un fallo? Pues muy fácil, si en algún momento
se detecta que no hay un número par de unos, es que se ha producido un fallo. Nótese
que se detecta si hay un error.

¿Cómo se aplica la paridad en RAID 3? Si observamos el esquema anterior, podemos

apreciar que hay todo un disco dedicado únicamente a la paridad, y que ésta se aplica por
filas. De modo que el byte Ap(1-3) indica la paridad correspondiente a los bytes A1, A2 y
A3, y así sucesivamente. Vamos a ver cómo sería la paridad Ap(1-3) con el siguiente
ejemplo:

A1: 10101111 A2: 00110011 A3: 11010101 Ap(1-3): 01001001

Nos fijamos el el primer bit de A1, de A2 y de A3 (en color

amarillo). Hay dos unos y un cero. Como hay un número par de unos
(2 unos), la paridad correspondiente será 0 (ver Ap(1-3) en
amarillo). Ahora nos fijamos en los segundos bits de A1, A2 y A3
(están coloreados en verde), sólo hay un uno (en A3), por tanto la
paridad debe ser uno, para que haya un número par total de unos. Y
así con todos y cada uno de los bits.

 RAID 4: El sistema funciona como RAID 3 pero utiliza bloques en lugar de bytes.
Todo lo demás es igual. Fijándonos en el siguiente esquema, ahora A1, A2, A3, B1,
B2... son bloques y no bytes.

Los bloques Ap, Bp, Cp y Dp son la paridad. Funciona igual que RAID 3.

8
 • RAID 5: La información también se almacena por bloques, pero la paridad (que
sigue siendo por filas) va rotando cíclicamente de disco en disco. Ya no hay un
único disco dedicado íntegramente a la paridad, como puede apreciarse en el
esquema:

Si añadimos otra fila de bloques sería: E1 E2 E3 Ep. La siguiente fila: F1 F2 Fp F4.

Después: G1 Gp G3 G4, y así sucesivamente.

El motivo de no ubicar la paridad siempre en el mismo disco obedece a motivos de

rendimiento, no sobrecargando siempre el mismo disco con el cálculo constante de
paridades.

Existen otras implementaciones de RAID: RAID 5E, RAID 6 y RAID 6E más raras o
costosas, por requerir un mayor número de discos.

Recuperación de los datos

Veamos ahora cómo se pueden recuperar los datos en caso de fallo utilizando un
sistema RAID. Para ello nos vamos a fijar en la siguiente tabla. Cada columna representa
un disco. Supongamos que el disco 3 se ha estropeado. Los usuarios pueden seguir
trabajando normalmente, puesto que gracias a la paridad se pueden obtener los datos
que faltan. En este ejemplo se utiliza un RAID 5:

Disco 1 Disco 2 Disco 3 Disco 4

10101010 (A1) 00110011 (A2) 00100010 (A3) 10111011 (Ap)
01110110 (B1) 11100001 (B2) 10001100 (B4)
10100110 (C1) 11010101 (Cp) 00100011 (C4)
00001111 (Dp) 00010111 (D2) 00110110 (D4)
00101011 (E1) 11001100 (E2) 10001001 (Ep)
11110000 (F1) 00101001 (F2) 11000001 (F4)
01000101 (G1) 11101110 (Gp) 00010101 (G4)

Aunque el disco 3 esté estropeado, se puede saber qué datos almacenaba gracias a la
paridad. Como ya sabemos, para que la paridad funcione, debe haber un número par de
unos, por tanto, fijándonos en A1, A2 y Ap, podemos averiguar cómo era A3. Del mismo
modo, podemos averiguar cómo eran el resto de bloques que faltan del disco 3 y
restaurarlo completamente. Y lo mejor de todo, es que mientras, los usuarios pueden
seguir trabajando sin darse cuenta, si quiera, que un disco ha fallado.

9
 Nótese que la capacidad de almacenamiento en los RAID que utilizan paridad es la
siguiente: Si se dispone de N discos, la capacidad de almacenamiento es de N-1, porque
un disco se pierde en utilizar paridad.

Además de los RAID estudiados, también se suelen utilizar sistemas mixtos que
mezclan varios tipos de RAID en diferentes niveles y beneficiarse así de todas las
ventajas que ofrecen.

 RAID 01 (ó RAID 0+1): Mezcla RAID 0 con RAID 1. El primer número (el 0) indica
el nivel que está más abajo, es decir, más cerca de los discos. Y el segundo el nivel
superior. En el siguiente esquema se observa cómo queda RAID 01, con RAID 0 en
el nivel inferior y RAID 1 en el superior:

RAID 0 hace que los bloques se almacenen alternativamente A1 en un disco, A2 en

el otro... y RAID 1 mantiene una copia de ese RAID 0 en otro RAID 0. Nótese que el
número mínimo de discos para poder implementar RAID 01 es de 4 discos. Y que
siempre van en número par (6 discos, es decir 3 y 3, 8 discos: 4 y 4....).

 RAID 10: Ahora el RAID 1 se sitúa en el nivel inferior, haciendo el espejo del disco
que tiene al lado. Y RAID 0 se sitúa en el nivel superior, distribuyendo cada bloque
en el RAID 1 que corresponda. Es decir, el bloque A1 se almacena en el RAID 1 de
la izquierda, el A2 en el RAID 1 de la derecha, y así sucesivamente.

Existen múltiples combinaciones para la configuración de RAID mixtos. A modo de

ejemplo, mostraremos algunos de los ejemplos que se usan de forma habitual:

10
 RAID 50

RAID 100

Para entender el funcionamiento de un RAID mixto, hay que tratar de imaginar dónde
se almacena cada bloque, y cómo va “cayendo” desde arriba hasta llegar al disco
correspondiente, como si de un juego de Tetris se tratase.

En Windows se puede implementar sistemas RAID 0 y 1 (y 5 dependiendo de la

versión de Windows instalada) utilizando el Administrador de discos. Para ello hay que
acceder al Panel de Control, luego a Herramientas administrativas, y por último a
Administrador de equipos.

4. Clusters de servidores

Los clusters (cúmulos) son un conjunto de equipos que se configuran para trabajar
como un único y potente supercomputador, utilizando una red de alta velocidad para

11
interconectarlos. La principal ventaja es que no hace falta que todos los equipos tengan
las mismas características hardware, ni siquiera que tengan instalado el mismo sistema
operativo. Esto permite reutilizar incluso ordenadores anticuados, con el consiguiente
ahorro que esto supone. Ni que decir tiene el precio que costaría construir un
supercomputador a medida.

Con esta técnica se consigue un sistema con:

– Alta disponibilidad.
– Alto rendimiento.
– Balanceo de carga (la carga de los servicios ofrecidos se reparte entre diferentes
equipos, para no sobrecargar ningún equipo del cluster en particular).
– Escalabilidad (se pueden ir integrando más equipos al cluster, o sustituyendo, como si
fueran piezas de un todo).

4.1. Clasificación de los clusters.

Los clusters se dividen en 3 grandes grupos:

1. Clusters de alto rendimiento: para tareas que requieren una gran capacidad de
cálculo o el uso de gran cantidad de memoria.

2. Clusters de alta disponibilidad: se trata de garantizar que siempre haya algún

equipo que pueda ofrecer un servicio a los usuarios, es decir, que siempre haya
alguno disponible.

3. Clusters de alta eficiencia: para que se puedan efectuar el mayor número de tareas
en el menor tiempo posible. Como hay varios equipos, se pueden hacer tareas en
paralelo.

12
4.2. Componentes de un cluster.

Los componentes son:

a) Nodos: cada equipo que esté integrado en el cluster se lo denomina nodo.

b) Sistema operativo: se puede utilizar cualquier sistema operativo. La única

característica que debe cumplir es que se trate de un sistema multiusuario y multitarea.

c) Conexión de red: todos los nodos deben estar conectados entre sí. Se puede utilizar
la típica conexión Ethernet, o mejor aún si se utilizan otros medios más rápidos... Gigabit
Ethernet, Fibra Óptica).

d) Middleware: es el software que hace que todos los ordenadores funcionen como un
único supercomputador, y el que provee una única interfaz visible para el usuario, que
tendrá la sensación de estar frente a un único ordenador.

e) Sistema de almacenamiento: Se puede utilizar el disco que contiene cada nodo del
cluster, o bien recurrir a otros sistemas de almacenamiento como NAS y SAN, que
veremos en el siguiente apartado.

5. Almacenamiento externo

En este apartado veremos sistemas de almacenamiento por red, que si bien se

pueden instalar en equipos individuales, son idóneos para los clusters.

5.1. NAS (Network Attached Storage)

Consiste en mantener un servidor de almacenamiento, es decir, un servidor que ofrece

capacidad para almacenar datos en sus discos. Los discos pueden formar, por ejemplo,
un RAID, o simplemente consistir en un único disco. Los usuarios leen y escriben sus
datos en un disco virtual en red o en internet. Algo parecido a como sucede cuando
guardas algo en ZEUS.

RED /
Internet

Usuario
Servidor NAS Discos

5.2. SAN (Storage Area Network)

En este sistema los discos no están conectados al servidor, sino a una red de alta
velocidad (normalmente Gigabit Ethernet o fibra óptica, para conseguir tasas de

13
transferencia de datos muy alta). Los discos, al estar conectados a una red, y no
directamente al servidor, no existen limitaciones en cuanto al número de discos
conectados. E incluso se puede compartir los discos para otros usos, o montar varios
SAN sobre los mismos discos.

Gigabit Eth.
Fibra Ópt.

Usuario Servidor SAN Discos

14