Seguridad de Cableado y Datacenter PDF

Seguridad de Cableado y Datacenter Ingeniería en Ciberseguridad Código: CIB102 Semestre: 1 Tipo de módulo: Especialidad Modalidad: TLP Tercera Unidad ❑Barreras físicas, controles y mecanismos de seguridad dentro y alrededor del rack. ❑Medios de acceso remoto al rack y desde el mismo ❑Protección de hardware y medios de almacenamiento de datos. Barreras físicas, controles y mecanismos de seguridad dentro y alrededor del rack Barreras físicas, controles y mecanismos de seguridad dentro y alrededor del rack. Barreras físicas: Las barreras físicas son la primera línea de defensa en un Datacenter. Están diseñadas para evitar el acceso no autorizado y proteger los activos críticos. Ejemplos incluyen: ❑Cercas perimetrales: Protegen el perímetro del datacenter. ❑Muros y puertas de seguridad: Las puertas deben estar construidas con materiales resistentes y contar con cerraduras avanzadas. ❑Controles de acceso: Sistemas como tarjetas de proximidad, biometría (huella dactilar, reconocimiento facial) y pines se utilizan para asegurar que solo el personal autorizado pueda acceder. Barreras físicas, controles y mecanismos de seguridad dentro y alrededor del rack. Controles dentro y alrededor del rack: ❑ Puertas de racks con cerraduras: Los racks donde se alojan los servidores suelen tener puertas con cerraduras mecánicas o electrónicas. ❑ Supervisión con cámaras de seguridad: Cámaras IP o CCTV que monitorean continuamente el área alrededor del rack, con sistemas de detección de movimiento. ❑ Sensores de intrusión: Sensores que detectan aperturas no autorizadas o la manipulación de los racks. ❑ Gestión de cableado y separación de cables: Mantener un orden en el cableado evita accesos físicos no autorizados y minimiza el riesgo de daños. Medios de acceso remoto al rack y desde el mismo en el Datacenter Medios de acceso remoto al rack y desde el mismo en el Datacenter. Acceso remoto al rack: ❑ KVM sobre IP (Keyboard, Video, Mouse): Permite a los administradores controlar remotamente los servidores como si estuvieran físicamente presentes, accediendo al teclado, video y mouse a través de Internet. ❑ Consola serie sobre IP: Utilizado para acceder a dispositivos que solo ofrecen interfaces seriales, como routers o switches, facilitando la administración remota. ❑ VPN (Virtual Private Network): Para una conexión segura al datacenter desde ubicaciones remotas, asegurando que todo el tráfico esté cifrado. ❑ Bastiones de salto (Jump servers): Servidores intermediarios que controlan y registran el acceso a los equipos dentro del datacenter, proporcionando una capa adicional de seguridad. Medios de acceso remoto al rack y desde el mismo en el Datacenter. Acceso desde el rack: ❑ Interfaz de gestión fuera de banda (Out-of-Band Management): Permite a los administradores acceder a los servidores incluso cuando el sistema operativo principal no está funcionando, utilizando interfaces como iDRAC, iLO, o BMC. ❑ Remote Desktop Protocol (RDP) y Secure Shell (SSH): Protocolos que permiten acceso remoto a servidores con interfaces gráficas o de línea de comandos respectivamente. ❑ Sistemas de autenticación multi-factor (MFA): Requerir múltiples formas de verificación antes de otorgar acceso, mejorando la seguridad. Medios de acceso remoto al rack y desde el mismo en el Datacenter. Remote Desktop Protocol (RDP) y Secure Shell (SSH) Remote Desktop Protocol (RDP): RDP es un protocolo desarrollado por Microsoft que permite a los usuarios conectarse de forma remota a una máquina con Windows, brindando acceso a una interfaz gráfica de usuario (GUI). Medios de acceso remoto al rack y desde el mismo en el Datacenter. ❑ Funcionalidad: RDP transmite la interfaz gráfica del escritorio del sistema remoto al cliente local, permitiendo a los administradores ver y controlar el escritorio como si estuvieran sentados frente a la máquina. ❑ Seguridad: Aunque RDP proporciona un cifrado básico, su uso puede presentar riesgos si no se configura correctamente. Es recomendable reforzar la seguridad con medidas como: o Autenticación de red a nivel de capa (NLA): Requiere que el usuario se autentique antes de establecer la conexión RDP. o Uso de VPN: Establecer una conexión RDP a través de una VPN agrega una capa adicional de seguridad. o Limitación de acceso: Configurar listas de control de acceso (ACL) para restringir las IPs que pueden conectarse vía RDP. Medios de acceso remoto al rack y desde el mismo en el Datacenter. Secure Shell (SSH): SSH es un protocolo que proporciona un canal seguro para acceder a sistemas remotos de forma cifrada. A diferencia de RDP, SSH es más común en entornos UNIX/Linux y se utiliza principalmente para acceso a la línea de comandos, aunque también permite la transferencia segura de archivos y la ejecución de comandos remotos. Medios de acceso remoto al rack y desde el mismo en el Datacenter. ❑ Funcionalidad: SSH ofrece un acceso seguro a la shell del sistema remoto, permitiendo a los administradores ejecutar comandos como si estuvieran localmente en la máquina. ❑ Seguridad: SSH es conocido por su robustez en cuanto a la seguridad, y se basa en varios mecanismos: o Cifrado: Utiliza cifrado asimétrico para establecer una sesión segura, y luego se cambia a cifrado simétrico para la transferencia de datos. o Autenticación basada en claves: En lugar de depender solo de contraseñas, SSH permite el uso de claves públicas y privadas para la autenticación, lo cual es mucho más seguro. o Port Forwarding: SSH permite redirigir el tráfico de otros protocolos a través de su conexión segura, lo que es útil para proteger protocolos que no son inherentemente seguros. o Firmeza en la configuración: Se recomienda deshabilitar el acceso root directo. Medios de acceso remoto al rack y desde el mismo en el Datacenter. Interfaz de gestión fuera de banda (Out-of- Band Management) La gestión fuera de banda es un enfoque que permite a los administradores gestionar y solucionar problemas de hardware en un servidor, incluso si el sistema operativo no está operativo o si el servidor no responde a través de los métodos tradicionales de gestión en línea. Componentes clave: ❑ iDRAC (Integrated Dell Remote Access Controller). ❑ iLO (Integrated Lights-Out). ❑ BMC (Baseboard Management Controller). Medios de acceso remoto al rack y desde el mismo en el Datacenter. Funcionalidades: ❑ Encendido/apagado remoto: Permite encender, apagar o reiniciar el servidor de forma remota, lo cual es crucial cuando el sistema operativo no responde. ❑ Monitoreo de hardware: Ofrece información detallada sobre el estado del hardware, como temperatura, voltajes y estado de los ventiladores. ❑ Acceso a la consola remota: Similar a una consola física conectada directamente al servidor, esto permite ver el proceso de arranque del servidor, acceder al BIOS y solucionar problemas en un nivel bajo. ❑ Actualización de firmware y BIOS: La gestión fuera de banda permite actualizar firmware y BIOS sin necesidad de acceder al sistema operativo. ❑ Logs y alertas: Registro de eventos críticos y notificaciones automáticas sobre el estado del hardware, permitiendo una respuesta rápida ante posibles fallos. Medios de acceso remoto al rack y desde el mismo en el Datacenter. Seguridad en la gestión fuera de banda: ❑ Segregación de la red: Las interfaces de gestión fuera de banda deben estar en una red separada de la red de datos normal, accesible solo para administradores. ❑ Autenticación multifactor: Implementar MFA para acceder a las interfaces de gestión fuera de banda. ❑ Actualizaciones regulares: Es crucial mantener actualizado el firmware de estas interfaces para corregir vulnerabilidades de seguridad. Protección de hardware y medios de almacenamiento de datos en un datacenter Protección de hardware y medios de almacenamiento de datos en un datacenter. Protección de hardware: ❑ Sistemas de alimentación ininterrumpida (UPS): Mantienen los equipos funcionando durante cortes de energía y previenen apagados abruptos que podrían dañar el hardware. ❑ Control de temperatura y humedad: Sistemas de HVAC (calefacción, ventilación y aire acondicionado). ❑ Protección contra incendios: Sistemas de detección y extinción de incendios, como rociadores con agua o agentes gaseosos. Protección de hardware y medios de almacenamiento de datos en un datacenter. Protección de medios de almacenamiento de datos: ❑ Cifrado de discos: Asegura que los datos almacenados en discos duros o SSD estén protegidos incluso si el hardware es robado o extraviado. ❑ Borrado seguro de datos: Antes de desechar o reutilizar dispositivos de almacenamiento. ❑ Almacenamiento redundante y copias de seguridad: Uso de RAID, copias de seguridad regulares y replicación de datos a ubicaciones remotas. Cables de Conexión en un Datacenter Cables de Conexión en un Datacenter 1. Cables de Red (Datos) Estos cables permiten la transmisión de datos entre los equipos dentro del rack y con el resto del datacenter. A. Cables de Par Trenzado (Ethernet) Son los más comunes para conectar servidores y switches dentro de un rack. Categoría 5e (Cat5e): Hasta 1 Gbps a 100 metros. Categoría 6 (Cat6): Hasta 10 Gbps a 55 metros. Categoría 6a (Cat6a): Hasta 10 Gbps a 100 metros. Categoría 7 y 8 (Cat7/Cat8): Hasta 40 Gbps y 2000 MHz, usados en entornos de alta velocidad. Estos cables suelen tener conectores RJ-45 y se usan para enlaces dentro de un rack o entre racks cercanos. Cables de Conexión en un Datacenter B. Cables de Fibra Óptica Usados para conexiones de alta velocidad y largas distancias dentro del datacenter. Monomodo (OS1, OS2): Para enlaces de hasta 40 km con velocidades de 100 Gbps o más. Multimodo (OM1, OM2, OM3, OM4, OM5): Usado para conexiones cortas dentro del datacenter (hasta 400 metros) con velocidades de 10, 40 o 100 Gbps. Conectores comunes: LC, SC, MTP/MPO (para conexiones de alta densidad). Los cables de fibra permiten mayor ancho de banda con menos interferencias electromagnéticas. C. Cables DAC (Direct Attach Copper) y AOC (Active Optical Cable) DAC: Cables de cobre con conectores SFP+, QSFP+, usados para conexiones de 10, 25, 40 y 100 Gbps en distancias cortas (menos de 7 metros). AOC: Similares a los DAC, pero con fibra óptica en su interior, permitiendo mayores distancias y menor latencia Cables de Conexión en un Datacenter C. Cables DAC (Direct Attach Copper) y AOC (Active Optical Cable) DAC: Cables de cobre con conectores SFP+, QSFP+, usados para conexiones de 10, 25, 40 y 100 Gbps en distancias cortas (menos de 7 metros). AOC: Similares a los DAC, pero con fibra óptica en su interior, permitiendo mayores distancias y menor latencia Cables de Conexión en un Datacenter 2. Cables de Alimentación (Energía) IEC C13 - C14 Estos cables suministran energía a los servidores y dispositivos dentro del rack. A. Cables de Alimentación CA (Corriente Alterna) IEC C13 - C14: Usado para conectar servidores y switches a unidades de distribución de energía (PDU). IEC C19 - C20: Para equipos con mayor consumo energético (servidores de alta densidad, IEC C19 - C20: UPS). NEMA (L5-30, L6-30): Usados en América para conexiones a tomacorrientes de alto voltaje. B. Cables de Alimentación CC (Corriente Continua) Consideraciones en la Gestión de Cables NEMA (L5-30, L6-30): Organización: Uso de guías de cableado, bandejas y etiquetas para evitar enredos y facilitar mantenimiento. Redundancia: Uso de múltiples rutas de cableado para garantizar disponibilidad en caso de fallos. Compatibilidad: Selección de cables adecuados según la velocidad y distancia requerida. Cables de Conexión en un Datacenter 1. Tipos de Fibra Óptica según el Modo de Propagación Los cables de fibra óptica pueden clasificarse en monomodo y multimodo, dependiendo del tipo de señal que transportan. A. Fibra Óptica Monomodo (SMF - Single Mode Fiber) Identificación: Cubierta amarilla. Núcleo: 8-10 µm de diámetro. Velocidad: Admite velocidades de 100 Gbps o más. Distancia: Puede alcanzar hasta 40 km o más sin necesidad de amplificadores ópticos. Aplicación: Ideal para conexiones entre racks distantes, entre edificios o con proveedores de servicios de internet (ISP). Estándares principales: OS1: Para interiores y tendidos cortos. OS2: Para exteriores y largas distancias (baja atenuación). Cables de Conexión en un Datacenter B. Fibra Óptica Multimodo (MMF - Multi Mode Fiber) Identificación: Cubierta naranja (OM1, OM2) o agua (OM3, OM4, OM5). Núcleo: 50-62.5 µm de diámetro. Velocidad: Hasta 100 Gbps, dependiendo de la distancia y el estándar. Distancia: Limitada a 500 metros o menos. Aplicación: Para conexiones dentro del mismo rack o entre racks cercanos en el datacenter. Estándares principales: OM1 (62.5/125 µm, naranja): 1 Gbps hasta 275 m. OM2 (50/125 µm, naranja): 1 Gbps hasta 550 m. OM3 (50/125 µm, aqua): 10 Gbps hasta 300 m. OM4 (50/125 µm, aqua): 10 Gbps hasta 400 m, 100 Gbps hasta 150 m. OM5 (50/125 µm, verde lima): Soporta multilongitud de onda, optimizado para 100 Gbps y más. Diferencia clave: Monomodo es mejor para largas distancias y mayores velocidades. Multimodo es más económico para distancias cortas dentro del datacenter. Cables de Conexión en un Datacenter 2. Tipos de Conectores de Fibra Óptica Los conectores son fundamentales para garantizar una conexión confiable entre dispositivos. Los más usados en datacenters son: LC y MTP/MPO son los más utilizados en datacenters modernos debido a su tamaño compacto y alta densidad. Cables de Conexión en un Datacenter Tight-buffered 3. Tipos de Cables de Fibra según su Construcción Dependiendo del ambiente donde se instalan, los cables de fibra óptica pueden tener diferentes protecciones: Loose-tube A. Cables de Fibra Interior Tight-buffered: Usado dentro de racks y edificios, fácil de manejar. Loose-tube: Protección contra humedad, usado en distancias cortas dentro del datacenter. Armored (Blindado): B. Cables de Fibra Exterior Armored (Blindado): Protección extra contra impactos y Subterráneo: roedores. Aerial (Aéreo): Diseñado para instalaciones en postes. Subterráneo: Recubierto con materiales resistentes para enterrarse. Aerial (Aéreo): Cables de Conexión en un Datacenter 4. Tipos de Cables de Fibra Óptica según su Aplicación en Cables de Conexión Cables Troncales Datacenters Directa (Patch Cords) (Trunk Cables) Los cables de fibra óptica se pueden clasificar según su uso en el datacenter: A. Cables de Conexión Directa (Patch Cords) Cables cortos para conectar servidores, switches y routers dentro del rack. Disponibles en versiones monomodo y multimodo. Cables de Distribución Cables de Alta Velocidad (AOC - B. Cables Troncales (Trunk Cables) Active Optical Cable) Agrupan varias fibras en un solo cable. Se utilizan para conectar switches en distintos racks o áreas del datacenter. Frecuentemente usan conectores MTP/MPO para alta densidad. C. Cables de Distribución Transportan múltiples fibras desde un punto central hacia diferentes racks o salas. D. Cables de Alta Velocidad (AOC - Active Optical Cable) Alternativa a los cables de cobre DAC. Incorpora transceptores ópticos integrados para conexiones de 10G, 25G, 40G y más. Cables de Conexión en un Datacenter 5. Consideraciones para la Implementación de Fibra Óptica en un Datacenter Para garantizar una infraestructura eficiente y confiable, se deben considerar los siguientes factores: ❑ Planificación del Cableado Uso de bandejas organizadoras y gestión de cables para evitar daños. Separación de cables de red y energía para reducir interferencias. ❑ Selección de Tipo de Fibra Multimodo (OM3, OM4, OM5): Para conexiones dentro del datacenter. Monomodo (OS2): Para enlaces de mayor distancia, como entre datacenters. ❑ Uso de Conectores de Alta Densidad LC y MTP/MPO son los más eficientes en términos de espacio. ❑ Mantenimiento y Monitoreo Uso de equipos OTDR para detectar fallos en la fibra. Implementación de redundancia para evitar caídas en la red. Cables de Conexión en un Datacenter El modelo OSI es un marco utilizado para comprender cómo funcionan juntos los diferentes sistemas de comunicación Modelo OSI Cables de Conexión en un Datacenter ¿Cuáles son las siete capas del modelo OSI? La capa física se ocupa de la conexión física entre dispositivos. Por ejemplo, como la transmisión de datos a través de un cable de cobre o fibra óptica (electricidad, cables, hardware). Algunas de las funciones que tiene la capa física son: Establecer y mantener la conexión física entre dispositivos Especificar el tipo de medio de transmisión Controlar el flujo de datos Detectar y corregir errores Convertir datos en señales físicas Cables de Conexión en un Datacenter ¿Cuáles son las siete capas del modelo OSI? 2. Capa de enlace de datos Esta capa de enlace de datos es responsable de establecer y mantener un enlace entre dispositivos, asegurando que los datos se transmitan de manera precisa y eficiente. También realiza la verificación y corrección de errores para garantizar que los datos se reciban correctamente. En esta capa: Se envían los datos que se convirtieron a bits Se le añade información sobre el direccionamiento físico Se llega a la capa de red Cables de Conexión en un Datacenter ¿Cuáles son las siete capas del modelo OSI? 3. Capa de red De otro modo, la capa de red se encarga de enrutar datos entre dispositivos en una red, también determina la ruta más eficiente para que viajen los datos y garantiza que lleguen a su destino. Algunas de las funciones de la capa de red son: Enrutamiento de datos Direccionamiento de dispositivos Fragmentación y reensamblaje de paquetes Control de congestión Cables de Conexión en un Datacenter ¿Cuáles son las siete capas del modelo OSI? 4. Capa de transporte Esta capa de transporte tiene el objetivo de garantizar que los datos se entreguen de manera confiable y en el orden correcto. Agrega control de flujo y comprobación de errores para garantizar que los datos no se pierdan ni se corrompan durante la transmisión. Se encuentran protocolos como TCP. Control de flujo Control de errores División y reensamblaje de paquetes (datos más pequeños) Cables de Conexión en un Datacenter ¿Cuáles son las siete capas del modelo OSI? 5. Capa de sesión Después, la capa de sesión tiene como fin establecer, mantener y terminar las conexiones entre dispositivos. Permite que los dispositivos se comuniquen entre sí y coordinen sus actividades. Entre sus funciones está: Establecer conexiones Mantener esos enlaces Dar fin a esas conexiones Cables de Conexión en un Datacenter ¿Cuáles son las siete capas del modelo OSI? 6. Capa de presentación Esta capa de presentación es responsable de convertir los datos a un formato que pueda ser entendido por el dispositivo receptor. También maneja el cifrado y la compresión de datos para garantizar que se transmitan de manera segura y eficiente. Formatea los datos para transferirlos a la siguiente capa. Entre las funciones de la capa de presentación está: Codificación y decodificación de datos Compresión y descompresión de datos Cables de Conexión en un Datacenter ¿Cuáles son las siete capas del modelo OSI? 7. Capa de aplicación Esta capa de aplicación es el nivel más alto del modelo OSI y es responsable de brindar servicios al usuario. Permite a los usuarios interactuar con la red y acceder a los recursos que necesitan. Diferencia entre modelo OSI y modelo TCP/IP A diferencia del Modelo OSI, el Modelo TCP/IP no se divide en capas separadas y definidas con la misma rigurosidad. En lugar de eso, consta de cuatro capas interconectadas que abordan diferentes aspectos de la comunicación en redes. Seguridad de Cableado y Datacenter Ingeniería en Ciberseguridad Código: CIB102 Semestre: 1 Tipo de módulo: Especialidad Modalidad: TLP

Seguridad de Cableado y Datacenter PDF

Document Details

Tags

Related

Summary

Full Transcript