Tema 2. Seguridad Logica PDF

Tema 2.
Seguridad lógica
Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Contenidos
➢
Control de acceso con usuario y contraseña
➢
Sistemas Single Sign On
➢
Otros sistemas de acceso
➢
Listas de control de acceso
➢
Políticas de almacenamiento

2
Contenidos
➢
➢
➢
➢
➢

3
●
El control de acceso basado en usuario y contraseña es el sistema
más básico y antiguo de control de acceso a un sistema informático
●
A pesar de existir alternativas mejores y más seguras, sigue siendo
muy utilizado hoy en día
●
Uno de los principales problemas derivados de este rudimentario
sistema de control de acceso es el uso de contraseñas fáciles de
adivinar o débiles, apuntar las credenciales en un post-it en el
monitor, utilizar la misma contraseña para diferentes servicios, etc
●
Por ello, si realmente nos preocupa la seguridad en nuestra
organización, se hace necesario definir una buena política de
contraseñas que se incluirá dentro de la política de seguridad de la
organización

4
Problemas asociados al uso de contraseñas
Algunos de estos problemas son:

✔
Contraseñas muy débiles y fáciles de recordar: palabras de
diccionarios, fechas, nombres de mascotas, etc
✔
Contraseñas cortas
✔
Apuntar las contraseñas en lugares visibles
✔
Captura de contraseñas con software malicioso (keyloggers)
✔
Tiempo de uso de la misma contraseña
✔
Ingeniería social

5
●
Las contraseñas más seguras son largas, y con caracteres al
azar
●
Con un mismo número de caracteres, la contraseña será más
fuerte si incluye una mezcla de mayúsculas y minúsculas,
números y otros símbolos
●
Desafortunadamente, desde la perspectiva de seguridad, estos
tipos de contraseña son los más difíciles de recordar
●
Buscar compromiso entre seguridad y facilidad de uso de los
sistemas

6
●
Forzar a los usuarios a utilizar contraseñas creadas 'al azar' por
el sistema asegura que la contraseña no tendrá conexión con el
usuario y, por lo tanto, no podrá ser encontrada en ningún
diccionario
●
Algunos sistemas operativos incluyen esta opción
●
Aun así, muchos usuarios evitan tales medidas y la
cooperación del usuario es generalmente esencial para un
sistema de seguridad → concienciación y formación del
usuario en aspectos básicos de la seguridad informática

7
●
Los usuarios no deberían:
✔
escribir la contraseña en ningun sitio visible
✔
usar la misma contraseña para más de una cuenta
●
En la práctica, muchos usuarios seleccionan contraseñas débiles,
incluso para cuentas importantes, y terminan por utilizar la misma
contraseña en todas ellas
●
Algunos usuarios desarrollan frases o palabras compuestas que
tienen letras al azar como iniciales de varias palabras
●
Otra manera de elaborar contraseñas al azar que sean más fáciles
de recordar es usar palabras al azar o sílabas en lugar de letras al
azar
●
P.ej: 3ulgdlmdcnnq@ → “En un lugar de la mancha de cuyo
nombre no quiero acordarme”

8
Política de contraseñas
●
Una buena política de contraseñas debería cumplir los siguientes
criterios:
✔
Por lo menos diez caracteres de largo
✔
No contiene nuestro nombre de usuario, nuestro nombre
verdadero ni el nombre de nuestra organización
✔
No contiene una palabra completa de diccionario
✔
La contraseña debe cambiarse cada cierto tiempo
✔
La nueva contraseña es significativamente diferente de nuestra
contraseña anterior

9
✔
Debe bloquearse tras varios intentos
✔
Debe incluir un historial de contraseñas usadas anteriormente
✔
Debe contener al menos tres de los tipos de caracteres
siguientes:
✔
Caracteres Alfabéticos en minúsculas (a, b, c, etc.)
✔
Caracteres Alfabéticos en MAYÚSCULAS (A, B, C, etc.)
✔
Caracteres Numéricos (0, 1, 2, etc.)
✔
Caracteres Especiales (@, %, !, etc.)

10

11
Procedimientos para cambiar contraseñas
●
Un sistema debe proveer una manera de cambiar una contraseña porque
el usuario sospeche que la contraseña actual ha sido descubierta, o como
medida de precaución
●
Si la nueva contraseña es introducida en el sistema de una manera no
cifrada, la seguridad puede haberse perdido incluso antes de que la nueva
contraseña haya sido instalada en la base de datos
●
Algunas webs incluyen la opción de recordar la contraseña de un usuario de
una manera no cifrada al mandárselo por e-mail
●
Los Sistemas de Administración de Identidad, se utilizan cada vez más
para automatizar la emisión de reemplazos para contraseñas perdidas. La
identidad del usuario se verifica al realizar algunas preguntas y compararlas
con las que se tienen almacenadas. Preguntas típicas incluyen las
siguientes: "¿Dónde naciste?", "¿Cuál es tu película favorita?" que en
muchos pueden ser adivinadas con un poco de investigación, u obtenidas a
través de estafa con ingeniería social.

12
Contenidos
➢
➢
➢
➢
➢

13
Sistemas Single Sign On (SSO)
●
Single sign-on (SSO) es un procedimiento de autenticación
que habilita al usuario para acceder a varios sistemas con una
sola instancia de identificación, de forma que escribiendo el
usuario y contraseña en un sólo servicio y una sola vez, puede
acceder a otros sin necesidad de autenticarse de nuevo
●
Algunos sistemas SSO son:
✔
Web single sign-on
✔
Kerberos
✔
Identidad federada
✔
Open-ID

14
Web Single Sing On
●
También llamado Web access management (Web-AM) trabaja
sólo con aplicaciones y recursos accedidos vía web
●
Los accesos son interceptados con la ayuda de un servidor
proxy o de un componente instalado en el servidor web destino
●
Los usuarios no autenticados que tratan de acceder son
redirigidos a un servidor de autenticación y regresan solo
después de haber logrado un acceso exitoso
●
Se utilizan cookies, para reconocer aquellos usuarios que
acceden y su estado de autenticación
Actividad: Qué es una cookie y para qué sirve

15
Kerberos
●
Kerberos es un método popular de externalizar la autenticación de
los usuarios fuera de las aplicaciones
●
Los usuarios se registran en el servidor principal Kerberos y
reciben un "ticket" que luego las aplicaciones lo presentan para
obtener acceso
●
Active Directory de Microsoft Windows usa internamente Kerberos
para autenticar a los usuarios del dominio y que puedan acceder a
los recursos
●
Kerberos tiene tres componentes principales (de ahí su nombre):
✔
AS: Servidor de autenticación
✔
TGT: Ticket Granting Server, servidor que gestiona los tickets
✔
SS: Servidor que ofrece el servicio kerberizado (el que quiere
usar el cliente)

16
Identidad federada
●
Una federación de identidades es un conjunto de organizaciones
que permiten transmitir entre ellas información de identidad de un
usuario de manera segura facilitando la autenticación y autorización
entre diferentes dominios, sin necesidad de que los usuarios tengan
que volver a identificarse en cada sitio
●
Distintos sitios web componen una federación de tal forma que un
sitio confía en los usuarios autenticados en cualquiera de los otros
sitios federados
●
Utiliza protocolos basados en estándares para habilitar que las
aplicaciones puedan identificar los clientes sin necesidad de
autenticarse continuamente
●
Un ejemplo es el estándar SAML (Security Assertion Markup
Language) usado en el Servicio de Identidad de RedIRIS (SIR)
http://www.rediris.es/sir/ o el estándar OpenID

17
Open ID
●
Open ID es un proceso de SSO distribuido y descentralizado
(no hay un sólo proveedor de OpenID) donde la identidad se
compila en una url que cualquier aplicación o servidor puede
verificar
●
En los sitios que soportan OpenID, los usuarios no tienen que
crearse una nueva cuenta de usuario para obtener acceso →
solo necesitan disponer de un identificador creado en un
servidor que verifique OpenID, llamado proveedor de identidad.
●
A diferencia de otros sistemas SSO, OpenId no especifica el
mecanismo de autenticación. Por lo tanto, la seguridad de una
conexión OpenId depende de la confianza que tenga el cliente
OpenID en el proveedor de identidad

18
Open ID
●
OpenID ha pasado por varias versiones: OpenID 1.0, 2.0 y OpenID
Connect
●
Actualmente se utiliza OpenID Connect que utiliza nativamente el
estándar OAuth, para autorización. La autorización permite definir
qué cosas puede hacer el usuario, mientras que la autenticación sólo
identifica al usuario de la aplicación
●
OpenID Connect permite a un sitio web o a una aplicación verificar la
identidad de un usuario y obtener cierta información básica de su
perfil, que el usuario debe autorizar
●
Hay muchos proveedores de identidad de OpenID como por ejemplo
Google, Amazon o Facebook
●
Los sitios web que permiten identificarte con Google o Facebook,
usan OpenID Connect y OAuth, como por ejemplo Netflix, Evernote,
Wordpress, Groupon, Letsbonus, etc

19
Contenidos
➢
➢
➢
➢
➢

20
●
Las numerosas maneras en las que las contraseñas reusables
pueden comprometer la seguridad han impulsado el desarrollo de
otras técnicas.
●
Algunas de ellas son:
✔
Contraseñas de un solo uso (OTP): contraseñas que se utilizan
una sola vez y complementan a la contraseña habitual. Ejemplos
de sistemas OTP: S/Key, SMS, Google Authenticator
✔
Símbolos de seguridad (Security Token): Son similares a las
contraseñas de un solo uso, pero la contraseña que debe
introducirse en un pequeño display en un dispositivo, y éste
cambia cada cierto tiempo. También se conocen como hardware
token, hard token, authentication token, USB token, cryptographic
token, etc. SecurID es un ejemplo de sistema basado en
símbolos de seguridad.

21
Otros sistemas de control de acceso
✔
Infraestructura de clave pública (PKI): Se basan en la
criptografía pública. Las claves necesarias son demasiado
grandes para memorizar y deben almacenarse en una
computadora local, en un dispositivo de seguridad o en una
memoria portable, como por ejemplo en una memoria flash
o en un disco flexible.
✔
Métodos biométricos: Permiten la identificación basándose
en características personales inalterables y requieren
hardware adicional para escaneo de rasgos corporales (por
ejemplo, las huellas digitales, el iris ocular, la voz, etc.)
Actividad: busca sistemas de identificación biométrica en Internet

22
FIDO2 y WebAuthn
WebAuthn: un nuevo estándar presentado por el consorcio W3C

junto a la FIDO Alliance, para sustituir las contraseñas de las webs
y otros servicios por la huella dactilar o a través de aplicaciones
específicas, utilizando la webcam, bluetooth (BLE) o NFC.
WebAuthn pertenece al proyecto FIDO2.
FIDO2 es el sucesor de U2F (Universal 2nd Factor (U2F). La
diferencia principal es que un autenticador FIDO2 también puede
ser un autenticador de múltiples factores (sin contraseña). El
protocolo U2F está diseñado para actuar como un segundo factor
para fortalecer los flujos de inicio de sesión existentes basados en
nombre de usuario / contraseña.

23
FIDO2 y WebAuthn
Un autenticador FIDO2 se puede utilizar en modo de factor único o en
modo de factor múltiple. En el modo de factor único, el autenticador se
activa mediante una prueba de presencia del usuario, que generalmente
consiste en presionar un botón. En el modo multifactor, el autenticador
(algo que tiene) realiza la verificación del usuario, que puede ser:
✔
algo que sabe: un secreto como un PIN, un código de acceso o un
patrón de deslizamiento
✔
algo que eres: huella digital, iris o voz
En cualquier caso, el autenticador realiza la verificación del usuario
localmente en el dispositivo. El secreto o datos biométricos no se
comparten con el sitio web. Además, el secreto o dato biométrico funciona
con todos los sitios web, ya que el autenticador seleccionará el material de
clave criptográfico correcto para usar en el servicio que solicita la
autenticación después de que la verificación del usuario se haya
completado con éxito.

24
FIDO2 y WebAuthn
Yubikey o Google Titan Security Keys son ejemplos de tokens
de seguridad compatibles con FIDO2. Muchos sitios web y
aplicaciones soportan la autenticación de doble factor (2FA)
introduciendo nuestro usuario y contraseña y además conectando
por USB el token (o por NFC/Bluetooth) y pulsando con nuestro
dedo en el token
Yubikey NFC Yubikey nano Google Titan

25
26
27
Contenidos
➢
➢
➢
➢
➢

28
Permisos tradicionales UNIX
Sistema tradicional de permisos de Linux:
●
Sistema UGO:
Usuario propietario
✔
✔
Grupo propietario
✔
Otros
●
Permisos de:
✔
Lectura (r)
✔
Escritura (w)
✔
Ejecución (x)

29
Permiso Descripción
Si un usuario tiene otorgado este permiso podrá listar su
r contenido en directorios, o leer su contenido en archivos
(read) simples
En archivos simples permite su modificación, y en

w directorios permite crear y borrar los ficheros que contiene
(write)
En archivos simples permite su ejecución desde línea de

x comandos, mientras que en directorios otorga al usuario
(eXecute) las funciones de acceso a los ficheros que contiene

30
Combinatoria de permisos
Textual Binario Octal Descripción
--- 000 0 Ningún permiso activo
--x 001 1 Permiso de ejecución
-w- 010 2 Permiso de escritura
-wx 011 3 Escritura y ejecución
r-- 100 4 Permiso de sólo lectura
r-x 101 5 Lectura y ejecución
rw- 110 6 Lectura y escritura
rwx 111 7 Todos los permisos

31
Permisos especiales UNIX
●
Setuid
✔
Ejecutables: cambia el UID efectivo del proceso
(deshabilitado)
✔
Directorios: sin efecto
●
Setgid
✔
Ejecutables: cambia el GID efectivo del proceso
✔
Directorios: cambia el grupo propietario de los nuevos
ficheros
●
Sticky
✔
Archivos: mantener el archivo en memoria (extinto)
✔
Directorios: sólo pueden renombrar o borrar los propietarios
del archivo o de la carpeta
32
Listas de control de acceso (ACL)
●
Amplían el sistema clásico (ugo)
●
Permite definir usuarios y grupos adicionales
●
Compatibles con: ext2, ext3, ext4, jfs y xfs
●
Instalación:
apt-get install acl o yum install acl (depende del SO)
●
Soporte del Sistema de ficheros:
Opción acl en /etc/fstab o comando mount

33
Definición de una ACL
●
Una ACL se compone de una o varias entradas de tipo
ACL indica los permiso de acceso del objeto
●
Una entrada ACL se compone de:
1) Categoría de la entrada (u, g, o, m)
2) UID o GID afectado, o vacío (números o nombres)
3) Cadena de permisos (rwx)

34
Tipos de ACL
●
Se clasifican en dos grupos, en función de su complejidad:
✔
ACL estándar: se compone únicamente de las
entradas de tipo: owner (propietario), owning group
(grupo propietario) y other (otros). Por tanto, coincide
exactamente con los permisos tradicionales de Linux.
✔
ACL extendida: además de las anteriores, contiene
una entrada mask (máscara), y puede incluir varias
entradas del tipo named user (usuario identificado por
su nombre) y named group (grupo identificado por su
nombre)

35
Tipos de entrada ACL

36
Orden de aplicación de entradas ACL
●
El orden de aplicación de reglas ACL es el siguiente:
–owner
– named user
– owning group
– named group
– other
●
La máscara (mask) se aplica sobre cualquier entrada, a
excepción de owner y other, y que una vez que haya
coincidencia en una de las fases anteriores, dicha fase
determinará el acceso o denegación, impidiendo pasar a
la siguiente fase de evaluación

37
Aplicación de la máscara en ACL
●
la máscara actúa sobre las entradas de tipo named user,
owning group y named group, produciendo un
enmascaramiento de los permisos, que en el mejor de los
casos pueden alcanzar los propios permisos de la máscara
●
En el ejemplo, si se aplicaran los permisos de acceso
ACL_USER con la máscara índicada, sólo se obtendría el
permiso de lectura, ya que es el único que se encuentra en
ambas ACLs.

38
Equivalencia entre ACL estándar y permisos UNIX
Hay una correspondencia directa:

39
Equivalencia entre ACL extendidas y permisos UNIX
El grupo tradicional se vincula a la máscara, de forma que sirve para
establecer los permisos máximos asignables a cualquier usuario, a
excepción del propietario y el grupo otros:
Importante: Si cambiamos permisos de forma tradicional con chmod, los permisos

del grupo se aplican a la mask, y no en el grupo tradicional, cuando visualizamos
la ACL. Si lo visualizamos con ls -l, sí que aparece reflejado en el grupo

40
Comandos de configuración de ACL's
setfacl: sirve para establecer/asignar las ACL's. Entre sus
principales opciones podemos destacar:

41
Comandos de configuración de ACL's
getfacl: muestra las ACL's de un archivo o directorio. Entre sus
principales opciones podemos destacar:

42
ACL's predeterminadas
●
Sólo las contienen los directorios
●
Se heredan en nuevos objetos (archivos y directorios)
●
En directorios se hereda como ACL de acceso y
como ACL predeterminada
●
En archivos sólo se hereda como ACL de acceso
●
Máscara de creación de nuevos archivos:
●
Si tiene ACL predeterminada, se aplica la
intersección de los permisos del archivo con la ACL
●
Si no tiene, se aplica umask: se restan de los
permisos del archivo, el valor de umask
43
Salvar y restaurar ACL's
●
En algunas utilidades de backup no se almacenan por
defecto, sino que hay que indicarlo, p.ej: tar - - acls,
rsync - - acls
●
Para almacenar las ACLs de un directorio, y los
elementos que contenga ejecutaremos por ejemplo:
getfacl -R miDir > ~/permisos.acl
●
Para restaurarlas ejecutaremos:
setfacl --restore=~/permisos.acl

44
Ejemplo de uso de ACL's
Partimos de esta situación:
Resultado:
$ ls -dl newDir
drwxr-x--- ... uprop gprop ... newDir $ getfacl newDir
# file: newDir
Que es equivalente en ACL a: # owner: uprop
# group: gprop
user::rwx
$ getfacl newDir setfacl -m
user:juan:rwx
user:juan:rwx,
group::r-x
# file: newDir group:grAdm:rwx
group:grAdm:rwx
# owner: uprop newDir
mask::rwx
# group: gprop other::---
user::rwx
group::r-x
other::--- $ ls -dl newDir
drwxr-x---+ ... uprop gprop ... newDir

45
Ejemplo de ACL predeterminada
Resultado:
$ getfacl newDir
$ getfacl newDir
# file: newDir
# file: newDir # owner: uprop
# owner: uprop setfacl -d -m # group: gprop
# group: gprop group:grAdm:r-x user::rwx
user::rwx newDir user:juan:rwx
user:juan:rwx group::r-x
group::r-x group:grAdmin:rwx
group:grAdmin:rwx mask::rwx
mask::rwx other::---
other::--- default:user::rwx
default:group::r-x
default:group:grAdmin:r-x
default:mask::r-x
default:other::---

46
Resultado:
$ getfacl newDir/newSubdir
$ getfacl newDir
# file: newDir/newSubdir
user::rwx # owner: uprop
user:juan:rwx mkdir # group: gprop
group::r-x newDir/newSubdir user::rwx
group:grAdmin:rwx group::r-x
mask::rwx group:grAdmin:r-x
other::--- mask::r-x
default:user::rwx other::---
default:group::r-x default:user::rwx
default:group:grAdmin:r-x default:group::r-x
default:mask::r-x default:group:grAdmin:r-x
default:other::--- default:mask::r-x
default:other::---
La ACL de acceso y la ACL predeterminada de newSubdir son una réplica exacta de

la ACL predeterminada de newDir

47
Partimos de esta situación: Resultado:
$ getfacl newDir
$ getfacl newDir/newFile
user::rwx
user:juan:rwx touch # file: newDir/newFile
group::r-x newDir/newFile # owner: uprop
group:grAdmin:rwx # group: gprop
mask::rwx user::rw-
other::--- group::r-x # effective:r--
default:user::rwx group:grAdmin:r-x # effective:r--
default:group::r-x mask::r--
default:group:grAdmin:r-x other::---
default:mask::r-x
default:other::---
El archivo se crea con el modo 0666 (ver man touch) y que al aplicar la ACL
predeterminada del directorio, se queda con los permisos que se muestran

48
Contenidos
➢
➢
➢
➢
➢

49
●
Las políticas de almacenamiento definen cuales son las
directrices de la organización en cuanto a gestión del
almacenamiento de los datos y por tanto, de la seguridad
lógica
●
Las políticas de almacenamiento incluyen decisiones como:
✔
Sistemas de almacenamiento a utilizar
✔
Disponibilidad en los datos mediante sistemas redundantes
✔
Confidencialidad en los datos almacenados
✔
Software de gestión de almacenamiento
✔
Políticas de copias de seguridad y restauración (seguridad
pasiva)

50
Sistemas de almacenamiento
Entre los sistemas de almacenamiento por los que una
organización puede optar tenemos:
●
DAS (Direct Attached Storage)
●
NAS (Network Attached Storage)
●
SAN (Storage Area Network)
●
Cloud Storage (Almacenamiento en la nube)

51
D.A.S. (Direct Attached Storage)
●
Es el método tradicional de almacenamiento donde el
dispositivo de almacenamiento se encuentra conectado
directamente al host que lo utiliza
●
El tipo de bus de conexión puede ser:
●
SCSI (Small Computer System Interface)
●
SAS (Serial Attached SCSI, compatible con SATA)
●
PATA (o IDE o ATAPI)
●
SATA (Serial ATA)
●
eSATA (external SATA)
●
USB

52
N.A.S. (Network Attached Storage)
●
Es un dispositivo conectado a una red que proporciona un
sistema de archivos por red que puede ser montado por el
resto de equipos en una red local
●
Suele ser un appliance dedicado pero también suele ser un
servidor compartiendo un sistema de archivos en red
●
Los sistemas de archivos más habituales en un NAS son:
NFS
✔
✔
SMB/CIFS
✔
AFP (Apple Filing Protocol)
●
Muchos NAS ofrecen también conexión FTP o SCP

53
S.A.N. (Storage Area Network)
●
Es un red dedicada para almacenamiento que proporciona acceso a
dispositivos de almacenamiento por bloques, lo cual es la principal
diferencia con un NAS
●
Los datos que circulan por esta red son únicamente para
almacenamiento, no circulando tráfico de Internet por ejemplo
●
Son redes de gran velocidad, con configuraciones en alta
disponibilidad y con almacenamiento consolidado y virtualizado
●
Se implementan generalmente con cabinas con arrays de discos
magnéticos, ópticos, de estado sólido (SSD) o cintas magnéticas
●
Llegan a gestionar tamaños de almacenamiento de varios terabytes
(10 12) e incluso petabytes (10 15) o exabytes (10 18)

54
Tecnologías S.A.N.
Algunas de las tecnologías SAN más destacadas son:
✔
Fibre Channel
✔
ISCSI (Internet SCSI)
✔
AoE (ATA sobre Ethernet)
✔
FCoE (Fibre Channel sobre Ethernet)
✔
FCIP (Fibre Channel sobre IP, utiliza tunneling)
✔
iFCP (Internet Fibre Channel Protocol, utiliza routing)

55
S.A.N. (FCoE)

56
Topologías Fibre Channel
●
Punto a Punto: dos dispositivos conectados
directamente. No se suele usar pues es muy simple
●
Anillo arbitrado: similar a un anillo token-ring, los
dispositivos se conectan unos con otros formando un
anillo
●
Switch Fabric o Medio Conmutado: similar a las redes
ethernet conmutadas en estrella, utilizando un conmutador
(switch) central que suele estar redundado para aumentar
la tolerancia a fallos

57
Topologías Fibre Channel

58
Cloud Storage
●
El almacenamiento en la nube permite tener los datos en la
nube, generalmente gestionada por un proveedor de servicios
en la nube (Cloud Computing)
●
Los dispositivos de almacenamiento están virtualizados de
forma que el usuario no sabe realmente donde están ubicados
físicamente los datos
●
Muchos expertos en seguridad critican la seguridad que
ofrecen estos servicios y recomiendan usar nubes privadas,
gestionadas por la propia organización → desventaja: requiere
personal técnico cualificado

59
Cloud Storage: Ventajas y desventajas
Ventajas:
✔
Se paga por uso
✔
Reduce costes a la organización
✔
Ubicuidad y disponibilidad de los datos
Desventajas:
✔
Seguridad delegada a un tercero
✔
Rendimiento
✔
La red es crítica → si falla, perdemos el acceso a los datos

60
Cloud Storage: Ejemplos
●
Amazon S3 ●
Google App Engine Blobstore
●
Google Drive
●
FilesAnywhere
●
Dropbox
●
Microsoft Azure ●
EMC Atmos
●
Google Cloud Storage

61
Discos redundantes (RAID)
●
RAID (Redundant Array of Independent Disks, antes
Inexpensive Disks) es un sistema de almacenamiento que usa
múltiples discos duros o SSD entre los que se distribuyen o
replican los datos para proporcionar tolerancia a fallos
●
Tiene varias implementaciones y en función del uso es más
conveniente una u otra
●
Se pueden realizar por hardware o por software, siendo por
hardware la opción más recomendada por rendimiento
●
Algunas controladoras RAID de servidores permiten cambiar
los discos dañados en caliente sin apagar el servidor
●
Hot spare: disco de reserva que automáticamente forma parte
activa del RAID si falla un disco, sin intervenir el administrador

62
RAID 0
●
Volumen de datos lógico a partir de discos físicos (stripping)
●
No hay tolerancia a fallos
●
Mejora el rendimiento sobretodo en archivos grandes (vídeo)
●
Cada bloque se va escribiendo
en un disco
●
Se usan 2 o más discos

63
RAID 1
●
Copia exacta de un disco físico a otro (mirroring)
●
Hay tolerancia a fallos y se pierde el tamaño de un disco (50%)
●
Mejora el rendimiento de lectura
●
Se forma con 2 discos

64
RAID 5
●
Divide los datos en bloques y usa paridad distribuida
●
La paridad permite recuperar los datos si se pierde un disco
●
Hay tolerancia a fallos y se pierde el tamaño de un disco (33% con 3
discos)
●
Mal rendimiento con escrituras pequeñas
●
Mínimo 3 discos

65
RAID 0+1
●
Primero hace stripping (0) y luego mirroring (1)
●
Es un espejo de divisiones
●
Hay tolerancia a fallos, se pierde el 50% de espacio
●
Mínimo 4 discos

66
RAID 10 (ó 1 + 0)
●
Primero hace mirroring (1) y luego stripping (0)
●
Es una división de espejos
●
Hay tolerancia a fallos, se pierde el 50% de espacio
●
Más robusto que RAID 0+1
●
Mínimo 4 discos

67
Confidencialidad en datos
●
La confidencialidad de datos en una política de almacenamiento utiliza
sistemas de cifrado simétrico (DES, 3DES, AES, etc) para cifrar los
contenidos de un dispositivo de almacenamiento
●
Los permisos no garantizan la seguridad si el disco físico cae en manos
ajenas
●
Con un LiveUSB se puede acceder como root a los archivos → proteger con
cifrado
●
Windows usa EFS y BitLocker de serie
Actividad: busca las diferencias entre EFS y BitLocker
●
Existen muchos sistemas para Windows y GNU/Linux como TrueCrypt (no
recomendado ya por fallos de seguridad), VeraCrypt, EncFS, dm-crypt,
eCryptFS, AES Crypt (multiplataforma), etc
●
La mayoría se basan en dispositivos de loopback que cifran antes de
guardar datos en ellos

68

Tema 2. Seguridad Logica PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 2. Seguridad Logica PDF

Cargado por

Copyright:

Formatos disponibles

Tema 2.

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Algunos de estos problemas son:

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Actividad: Qué es una cookie y para qué sirve

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Actividad: busca sistemas de identificación biométrica en Internet

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

WebAuthn: un nuevo estándar presentado por el consorcio W3C

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Yubikey NFC Yubikey nano Google Titan

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

En archivos simples permite su modificación, y en

En archivos simples permite su ejecución desde línea de

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

--- 000 0 Ningún permiso activo

--x 001 1 Permiso de ejecución

-w- 010 2 Permiso de escritura

-wx 011 3 Escritura y ejecución

r-- 100 4 Permiso de sólo lectura

r-x 101 5 Lectura y ejecución

rw- 110 6 Lectura y escritura

rwx 111 7 Todos los permisos

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

1) Categoría de la entrada (u, g, o, m)

2) UID o GID afectado, o vacío (números o nombres)

3) Cadena de permisos (rwx)

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Hay una correspondencia directa:

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Importante: Si cambiamos permisos de forma tradicional con chmod, los permisos

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez

Seguridad y Alta Disp. Tema 2. Seguridad lógica Ramón Onrubia Pérez