Noticia virtualizacion, cloud y unificación del CPD

¿Qué es el cloud computing?

La computación en la nube,¹ conocida también como servicios en la nube, informática en la nube,nube de cómputo o nube de conceptos (del inglés cloud computing), es un paradigma que permite ofrecer servicios de computación a través de una red, que usualmente es Internet.

¿Qué porcentaje y de qué países principalmente están utilizándolo actualmente?

Solo un 18% de los encuestado están utilizando en la actualidad la informática en la nube, aunque el 34% planea sumarse a dicha tecnología. 

Los países que más están utilizando esta tecnología son Méjico, Brasil y Estados Unidos.

¿Qué porcentaje de servidores en producción se estima tener virtualizados en los próximos 3 años, por parte de los responsables de tecnologías de información (IT) en España? 

Casi la mitad de los responsables de TI encuestados esperan haber virtualizado entre el 50 y 100 por cien de su entorno de servidores en producción.

¿Cuáles son las principales barreras y preocupaciones en ese sentido?

La preocupación por la seguridad y la estabilidad, así como la dificultad para construir porcesos operativos para un entorno virtualizado y su gestión.

Virtualización

La virtualización permite la ejecución simultánea de distintos sistemas operativos sobre una aplicación ejecutada y soportada bajo un equipo y un sistema operativo determinado. Permite realizar una abastracción de los recursos de un sistema, creando una capa entre el hardware de la máquina física y el sistema operativo de la máquina virutal.

Esta capa de software maneja, gestiona y arbitra los cuatro recursos principales de un ordenador (CPU, Memoria, Red, Almacenamiento) y así podrá repartir dinámicamente dichos recursos entre todas las máquinas virtuales que se estén ejecutando en un momento determinado. De modo que nos permite tener varios ordenadores virtuales, con distintos sistemas operativos, ejecutándose sobre el mismo ordenador físico.

Balanceo de carga

Un balanceador de carga es un dispositivo ya sea hardware o software que se dispone conectado a un conjunto de servidores de manera que asigna y reparte las peticiones que provienen de los clientes a los distintos servidores a los que se conecta dicho dispositivo.

Estos dispositivos aplican un aserie de algoritmos, como el conocido Round Robin, para reapartir la carga de forma equilibrada.

La utilidad de estos dispositivos radica en poder repartir la carga y excluir aquellas conexiones de destino que se encuentren caídas en un momento determinado de manera que un cliente cuya dirección IP de su servidor DNS se encuentre caída, el balanceador de carga detectará que esa dirección IP se encuentra inactiva y las peticiones cuyo destino se dirigen al servidor caído se redireccionarán a otro servidor DNS que haya conectado al dispositivo encargado del balanceo de la carga.

Este sistema también es muy útil a la hora de unificar dos o más conexiones con salida hacia Internet en na sola.

RAID

RAID (Redundant Array of Independent Disks) es un sistema de almacenamiento que usa múltiples discos duros entre los que distribuye o replica los datos. La distribución de datos en varios discos puede ser gestionada por:

• Hardware dedicado: requiere al menos una controladorea RAID específica, ya sea como una tarjeta de expansión independiente o integrada en la placa base, que gestione la administración de los discos y efectúe los cálculos de paridad (necesarios para algunos niveles de RAID)

• Software: el sistema operativo gestiona los discos del conjunto a través de una controladora de disco (IDE/ATA, Serial ATA (SATA), SCSI, SAS o Fibre Channel).

• Híbridos: basados en software y hardware específico: mediante controladoras RAID hardware baratas o controladora de disco sin características RAID, pero el sistema incorpora una aplicación de bajo nivel que permite a los usuarios construir RAID controlado por la BIOS.

La opción hardware suele ofrecer un mejor rendimiento y hace que el soporte por parte del sistema operativo sea más sencillo.

Las configuraciones o niveles RAID estándar y comúnmente usados son:

• RAID o data striping: conjunto dividido, distribuye los datos equitativamente entre dos o más discos sin información de paridad que proporciones redundancia, no es redundante. Se usa normalmente para incrementar el rendimiento, aunque también para crear un pequeño número de grandes discos virtuales a partir de un gran número de pequeños discos físicos.

• RAID 1 o data mirroring: conjunto en espejo. Crea una copia exacta de un conjunto de datos en dos o más discos. Un conjunto RAID 1 solo puede ser tan grande como el más pequeño de sus discos. Incrementa excepcionalmente la fiabilidad respecto a un solo disco en caso de fallo de uno de los discos. Al escribir, el conjunto se comporta como un único disco, grabando la misma información en todos los discos constituyentes.

• RAID 5:conjunto dividido con paridad distribuida: una división de datos a nivel de bloques distribuyendo la información de paridad entre todos los discos miembros del conjunto. Al añadir la información de paridad distribuida entre los distintos discos, en caso de fallo de alguno de ellos, será posible recuperar su información a partir de la contenida en el resto de discos. Generalmente, se implementa con soporte hardware para el cálculo de la paridad, aunque es posible realizarlo mediante opciones de sistema operativo.

Otros niveles RAID menos implementados son RAID 2, 3, 4 y 6.

Muchas controladoras permiten anidar niveles RAID, es decir, que un RAID pueda usarse como elemento básico de otro en lugar de discos físicos.

Soluciones de alta disponibilidad

Alta disponibilidad: Capacidad de que aplicaciones y datos se encuentren operativos para los usuarios autorizados en todo momento, debido a su carácter crítico.

Las empresas con la más alta disponibilidad deben se más tolerantes a fallos, disponer de sistemas redundantes para los componentes críticos de su negocio y tener una mayor inversión en el personal, procesos y servicios para asegurar que el riesgo de inactividad en las empresas sea mínimo.

En cuanto a las soluciones adaptadas en sistemas de alta disponibilidad, la base en mediante seguridad pasiva, aunque para sistemas en los que es necesario un mayor nivel de seguridad encontramos:

• Redundancia en dispositivos hardware, posibilitando en caso de fallo, la continuidad del servicio (por ejemplo, duplicados en equipos servidores, fuentes de alimentación, etc) o dispositivos de red redundantes que no permitan cortes de suministro o caídas de conectividad.

• Redundancia, distribución y fiabilidad en la gestión de la información. Se debe procurar que la información pueda ser recuperado en el momento que se necesite, es decir, evitar la pérdida o bloqueo, bien sea por ataque, mala operación accidental o situaciones fortuitas o de fuerza mayor (RAID de almacenamiento, Centros de procesamiento de datos de respaldo, garantizando copias de seguridad en distintas ubicaciones geográficas)

• Redundancia en las comunicaciones. Hoy en día, la mayoría de las grandes empresas disponen de una red de oficinas conectadas entre por red, y los servicios requeridos de las mismas deben estar siempre operativos. Para ello, las empresas poseen en ocasiones diferentes conexiones de red independientes, para que en caso de fallo de alguna de las líneas, disponer de alternativas (balanceo de carga)
• Redundancia y distribución en el procesado. Los sistemas de clustering o agrupamiento de sistemas servidores permiten escalar la capacidad de procesamiento.

• Independencia en la administración y configuración de aplicaciones y servicios. Mediante la virtualización hoy en día podemos ofrecer de forma independiente servidores dedicados soportados bajo una misma máquina

Proxy

Un servidor proxy es una aplicación o sistema que gestiona las conexiones de red, sirviendo de intermediario entre las peticiones de servicios que requieren los clientes (HTTP, FTP,...), creando así una memoria caché de dichas peticiones y respuestas por parte de los servidores externos. La finalidad de este tipo de servidores es poder servir más rápidamente a sus usuarios en conexiones siguientes que hayan sido solicitadas y respondidas previamente, sin tener que acceder remotamente de nuevo a los servidores externos.

Entre las grandes ventajas de un servidor proxy se encuentra la mejora de velocidad de respuesta a peticiones, ya que si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché, guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así no tiene que contactar con el destino, y acaba más rápido.

Para evitar contenidos desactualizados, los servidores proxy actuales, se conectan con el servidor remoto para comprobar que la versión que tiene en caché sigue siendo la misma que la existente en el servidor remoto.

TIPOS, CARACTERÍSTICAS Y FUNCIONES PRINCIPALES

• Proxy caché Web: proxy para una aplicación específica, como el acceso a la web. Mantienen copias locales de los archivos más solicitados y los sirven bajo demanda, reduciendo la baja velocidad y coste en las comunicaciones con Internet. Este proxy almacena el contenido de la caché de los protocolos HTTP,  HTTPS y FTP.

• Proxy NAT: integración de los servicios de traducción de direcciones de red y proxy.

• Proxy transparente: combina un servidor proxy con NAT de manera que las conexiones al puerto 80 son redirigidas hacia el puerto del sevicio proxy.

• Proxy anónimo: permiten aumentar la privacidad y el anonimato de los clientes proxy, mediante una activa eliminación de características identificativas (dirección IP del cliente, cabeceras From y Referer, ...)

• Proxy inverso: servidor proxy instalado en una red con varios servidores web, sirviendo de intermediario a las peticiones externas, suponiendo una capa de seguridad previa, gestión y distribución de carga de las distintas peticiones externas, gestión de SSL o como caché de contenidos estáticos.

• Proxy abierto: acepta peticiones desde cualquier ordenador, esté conectado o no a su red, como si fuese una petición del proxy,  por lo que permite que este tipo de proxy se use como pasarela para el envío masivo de correos spam. Muchos servidores como los de IRC o correos electrónicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente lista negras.

Tipos de cortafuegos

Clasificación atendiendo a la ubicación en la que se encuentra el firewall

• Firewalls basados en servidores: consta de una aplicación de firewall que se instala y ejecuta en un sistema operativo de red (NOS), que normalmente ofrece otra serie de servicios como enrutamiento, proxy, DNS, DHCP, etc

• Firewalls dedicados: equipos que tienen instalada una aplicación específica de cortafuegos y, por tanto, trabajan de forma autónoma como cortafuegos.

• Firewalls integrados: se integran en un dispositivo hardware para ofrecer la funcionalidad de fierewall (ejemplo: router, switch...)

• Firewalls personales: se instalan en los distintos equipos de la red de forma que los proteja individualmente de amenazas externas

Arquitectura de los cortafuegos más implementados:

• Screening router: como frontera entre la red privada y la red pública se encuentra un router que realiza tareas de filtrado

• Dual Homed-Host: como frontera se dispone un equipo servidor que realizará tareas de filtrado y enrutamiento mediante al menos 2 tarjetas de red, esto permitirá mayor flexibilidad en la configuración e instalación de aplicaciones de seguridad

• Screened Host: combina un router como equipo fronterizo exterior y un servidor proxy que filtrará y permitirá añadir reglas de filtrado en las aplicaciones más empleadas

• Screened-subnet: mediante la creación de una subred intermedia, denominada DMZ o zon desmilitarizada, entre la red externa y la red privada interna, permitirá tener dos niveles de seguridad, uno algo menor en el cortafuegos más externo y uno de mayor nivel de seguirdad en el cortafuegos de acceso a la red interna.

DMZ

Red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet, donde se ubican los servidores HTTP, DNS, FTP y otros que sean de caracter público.

Habitualmente, una configuración DMZ es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y otro a la red externa. Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna. 

La política de seguridad para la DMZ es la siguiente:

• El tráfico de la red externa a la DMZ está autorizado y a la red interna está prohibido.
• El tráfico de la red interna a la DMZ está autorizado y a la red externa está autorizado.

Normalmente, el DMZ host está separado de Internet a través de un router y un cortafuegos, o se encuentran integrados. Es aconsejable que en el cortafuegos se abran al exterior únicamente los puertos de los servicios que se pretenden ofrecer con los servidores disponibles en la DMZ.

Cortafuegos

Un firewall o cortafuegos, es una aplicación o dispositivo diseñado para bloquear comunicaciones no autorizadas, permitiendo al mismo tiempo las que sí están.

La utilización de un cortafuegos es necesaria cuando queremos proteger determinadas zonas de una nueva red o determinados hosts, de amenzas que provengan del exterior o, incluso, de amenazas que se provoquen dentro de nuestra propia red ya sean por infecciones o ataques.

Características fundamentales:

• Filtrado de paquetes de red en función de la inspección de direcciones de red: MAC, IP o puerto de origen y destino, permitiendo con este último criterio proporcionar un filtrado según las aplicaciones asociadas a dicho puerto

• Filtrado por aplicación: permite especificar las aplicaciones y reglas específicas para cada una de ellas

• Las distintas reglas de filtrado se aplican sobre el tráfico de salida o de entrad en una determinada interfaz de red

• Registro o logs de filtrado de paquetes

Cortafuegos

http://www.bbc.com/mundo/ciencia_tecnologia/2010/03/100320_china_internet_control_censura_firewall_jp.shtml

¿Que es el gran firewall?¿Quién controla dicho firewall? ¿Para qué?

Es el ataque preventivo contra la posibilidad de un empeoramiento de los factores desestabilizadores, particularmente teniendo en cuenta la sospecha de Pekín de que hay las llamadas organizaciones anti China en Occidente que quieren explotar estos potenciales factores desestabilizadores en China para generarle problemas al régimen.

Está controlado por el gobierno

¿Qué tipo de palabras y webs son censuradas y por qué?

Temas considerados como sensibles como todo lo que tenga que ver con "Charter 08", una campaña online para las reformas democráticas lanzada por el disidente Liu Xiabo, nombres de líderes políticos, grupos religiosos prohibidos, la provincia de Xinjiang y sus uigures.

Para ocultar la situación que realmente se vive en el pais, mientras desde la perspectiva exterior o desde la perspectiva occidental es que el régimen del Partido Comunista es estable. Sin embargo, la situación política y social en China es potencialmente inestable.

¿Qué porcentaje y cómo consiguen eludir el gran firewall? ¿Mediante qué aplicaciones?

Aproximadamente un 20% de los usuarios de Internet

Mediante aplicaciones aplicaciones de software libre, de código abierto y redes peer-to-peer

Instalación de un servidor VPN en Windows2008

En primer lugar nos dirigimos a conexiones de red, seleccionamos configurar conexión de red y seleccionamos la opción nueva conexión entrante

Seleccionamos los usuarios autorizados e indicamos que se hará a través de Internet

Configuramos el protocolo TCP para indicar el rango de IPs

Rangos de IPs

Ahora se configura nuestra VPN y finalizamos el proceso

Podemos apreciar que se ha creado la conexión VPN

Recomendaciones de seguridad en WLAN

Recomendaciones para mejorar la seguridad de WLAN:

• Asegurar la administra-ción del punto de acceso (AP), por se un punto de control de las comunica-ciones de todos los usua-rios, y por tanto crítico en la red, cambiando la contraseña por defecto. 

• Aumentar la seguridad de los datos transmitidos: usando encriptación WEP o WAP/WAP2 o servidor Radius, y cambiando las claves regularmente.

• Cambiar el SSID por defecto y desactivar el broadcasting SSID. Los posibles intrusos tendrán que introducir manualmente el SSID y conocerlo previamente.

• Realizar una administración y monitorización minuciosa:
• Desactivar el servidor DHCP, y asignar manualmente en los equipos las direcciones IP. 
• Activar el filtrado de conexiones permitidas mediante direcciones MAC
• Establecer un número máximo de dispositivos que pueden conectarse.
• Analizar periódicamente los usuarios conectados verificando si son autorizados o no.

• Desconexión de AP cunado no se use

• Actualizar el firmware del dispositivo, para evitar vulnerabilidades o añadir nuevas funciones de seguridad.

Redes inalámbricas

La tecnología inalámbrica ofrece mucha ventajas  en comparación con las redes tradicionales conectadas por cable.

Ventajas:

• Capacidad de conec-tarse en cualquier momento y lugar. Es decir, mayor disponibili-dad y acceso a redes.
• Instalación simple y económica
• Permite que las redes se amplíen fácilmente, sin limitaciones de conexiones de cableado, por lo que es fácilmente escalable.

A pesar de la flexibilidad y beneficios de la tecnología inalámbrica, existen algunos riesgos y limitaciones. 

Riesgos:

• Utilizan rangos del espectro de radiofrecuenca (RF) sin costes de licencia por su transmisión y uso. Estos rangos al ser de uso público están saturados y las señales de distintos dispositivos suelen interferir entre sí.
• Lo más problemático es la seguridad. Permite a cualquier equipo con tarjeta de red inalámbrica interceptar cualquier comunicación de su entorno.

Para tratar estas cuestiones de seguridad se han desarrollado técnicas para ayudar a proteger las transmisiones inalámbricas, por ejemplo la encriptación y al autenticación.

Sistemas de Seguridad en Wlan

Los sistemas de cifrado empleados para autenticación como encriptación en redes inalámbricas son:

• Sistema abierto (Open System): sin autenticación en el control de acceso a la red, normalmente realizado por el punto de acceso, ni cifrado en las comunicaciones.

• WEP (Wired Equivalent Privacy): sistema estándar diseñado en la norma básica de redes inalámbricas. Emplea para la encriptación de los mensajes clave de 13 (104 bits) o 5 (40 bits) caracteres, también denominadas ¨WEP 128 o WEP 64 respectivamente. En cuanto a la autenticación existen 2 métodos:

• Sistema abierto: el cliente no se tiene que identificar en el Punto de Acceso durante la autenticación. Después de la autenticación y la asociación a la red, el cliente tendrá que tener la clave WEP correcta.

• Clave precompartida: En la autenticación se envía la misma clave de cifrado WEP para la autenticación, verificando y controlando el acceso de esto modo el punto de acceso.

• WAP o Wi-Fi Protected Access o Acceso Protegido Wi-Fi: creado para corregir las deficiencias de WEP. Se proponen 2 soluciones según el ámbito de aplicación:

• WPA Empresarial o WPA-Enterprise (grandes empresas): la autenticación es mediante el uso de un servidor RADIUS, donde se almacenan las credenciales y contraseñas de los usuarios de la red.

• WPA Personal (pequeñas empresas y hogar): la autenticación se realiza mediante clave precompartida de un mod similar al WEP.

Una de las mejoras de WPA sobre WEP, es la implementación del protocolo de integridad de clave temporal (TKIP), que cambia claves dinámicamente a medida que el sistema es utilizado.

Aportando un mayor nivel de seguridad en el cifrado, es posible emplear el algoritmo de cifrado simétrico AES, más robusto y complejo que TKIP, aunque su implementación requiere de hardware más potente, por lo que no se encuentra disponible en todos los dispositivos.

VPN

VPN: Red privada virtual. Es una tecnología de red que permite una extensión de una red local de forma segura sobre una red pública, como Internet.

Algunas aplicaciones de VPN, son la posibilidad de conectar utilizando la infraestructura de Internet, dos o más sucursales de una empresa, permitir a los miembros de soporte técnico la conexión desde sus casa al centro de trabajo, etc. Para hacerlo  posible de manera segura se debe proporcionar los medios para garantizar la autenticación, integridad y confidencialidad de toda comunicación:

• Autentición y autorización: se controlan los usuarios y/o equipos y qué nivel de acceso debe tener.

• Integridad: los datos enviados no han sido alterados. Se utilizan funciones resumen o hash.

• Confidencialidad: Para que la información que viaja a través de la red pública solo pueda ser interpretada por los destinatarios de la misma.

• No repudio: Los mensajes tienen que ir firmados.

Básicamente existen tres arquitecturas de conexión VPN:

• VPN de acceso remoto: Es el modelo más usado. Usuarios o proveedores se conectan con la empresa desde sitios remotos utilizando Internet como vínculo de acceso.

• VPN punto a punto: Conecta ubicaciones remotas como oficinas, con una sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Mediante la técnica de tunneling se encapsulará un protocolo de red sobre otro creando un túnel dentro de una red.

• VPN over LAN: Es el menos difundido, pero uno de los más poderosos para utilizar dentro de la empresa. Utiliza la LAN de la empresa, aislando zonas y servicios de la red interna, a los que se les puede añpadir cifrado y autenticación adicional mediante VPN. 

El protocolo estándar que utiliza VPN es IPSEC. Dos de las tecnologías más utilizadas para crear VPNs, en  realidad, son diferentes protocolos o conjuntos de protocolos, PPTP y P2TP.

• PPTP (Point to Point Tunneling Protocol): Desarrollado por Microsoft. Sencillo y fácil de implementar pero ofrece menor seguridad que L2TP

• L2TP (Layer Two Tunneling Protocol): Estándar abierto y disponible en la mayoría de plataformas. Se implementa sobre IPSec y proporciona altos niveles de seguridad. Se pueden usar certificados de seguridad de clave pública para cifrar los datos y garantizar la identidad de los usuarios de la VPN.

Comunicaciones seguras

Existen protocolos que emplean comunicaciones cifradas como SSH a través del puerto. Otras alternativas para establecer comunicaciones seguras entre  sistemas cifrando comunicciones a distintos niveles son:

• SSL y TLS: Se ejecutan en una capa entre los protocolos de aplicación y sobre el protocolo de transporte TCP. Entre otros se emplea a través de puertos específicos con: HTTPS, FTPS, SMTP, POP, etc 

• IPSEC: Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.

Riesgos potenciales en los servicios de red

TCP/IP es la arquitectura de protocolos que usan los ordenadores para comunicarse en Internet. Emplean puertos de comunicaciones o numeración lógica que se asigna para identificar cada una de las conexiones de red, tanto en el origen como en el destino.

Los servicios de red más habituales tienen asignados los llamados puertos bien conocidos, por ejemplo el 80 para HTTP o web, 21 para FTP, 23 par TELNET, etc.

Rango	Puertos	Servicios sobre puertos bien conocidos
0-1023	Servicios bien conocidos	20 y 21: FTP 22: SSH comunicación cifrada 23: Telnet no cifrado 24: SMTP y 110: POP3 53: DNS 80: HTTP y 443: HTTPS cifrado 137, 138, 139: NetBIOS compartir archivos e impresora y 445: SMB
1024-49151	Registrados
49152-65535	Dinámicos y/o privados

Los distintos sistemas y sus aplicaciones de red, ofrecen y reciben servicios a través de dichos puertos de comunicaciones. A través de un análisis exhaustivo de los puertos podemos asegurar nuestras redes. Éste análisis se puede realizar desde distintos frentes:

• En una máquina local observando qué conexiones y puertos se encuentran abiertos y qué aplicaciones los controlan.

• El comando netstat permite ver el estado en tiempo real de nuestras conexiones
• El cortafuegos o firewall personales son una medida de protección frente a ataques externos.

• En la administración de red para ver qué puertos y en qué estado se encuentran los de un conjunto de equipos.

• La aplicación nmap permite el escaneo de puertos, aplicaciones y sistemas operativos, en un rango de direcciones.
• Los cortafuegos y proxys perimetrales ofrecen protección mediante un filtrado de puertos y conexiones hacia y desde el exterior de una red privada.