HARDWARE~~ DE SERVIDORES Conoceremos en detalle los componentes de un servidor de red, asi como las consideraciones importantes para armarlo. También veremos qué son las matrices RAID y analizaremos su implementacion. > HARDWARE DE UN SERVIDOR > TECNOLOGIAS EFI Y UEFI > SEGURIDAD EN SERVIDORES > HARDWARE MANAGEMENT > ADMINISTRACION REMOTATecnico en &SEGURIDAD Coordinador editorial Nuestros expertos Paula Buds Valentin Almirén José Bustos Asesores técnicos Gustavo Cardelle Federico Pacheco Rochigo Chavex Javier Richart Alejandro Gmez Javier Medina Gustavo Martin Moglie Pablo Pagani Gerardo Peeraza Técnicoen &SEGURIDAD HARDWARE Seve O2 DDE Reducer DemolE SERVIDORES curso visual yprctio Téenico en redesy seguridad es una publican de Fox Andina en coedcién con Dalaga 5.4. st publcacén no puede ser reproducida ni en todo i en pate, por ningin medio actual ut sin el periso previo y por esca te Fox Andina S.A. Distibuldoes en Argentina: Capital: Vaccaro Since y Cia. Moreno 794 piso (1097), Ciudad de Buenas es, Tel 541 1-4347-403114032 Intro DistibuidorInterplazas S.A (DISA) Pe Lis Sanz aia 1832 (C1135A8N), Buenos Aes, Te $411-4305-0114, Bola: Agencia Moderna, General Aca -0132, Casta de caren 462, Cochabamba Tel $914-422-1414, Chile: META SA, lians Aeboledo 1717 -Ruca Santiago Tel $62:620-1700. Clarbia:istrbuidors Unidas S.A, Carrera 71 No 21-73, ogo D.C, Tel $71-486-8000, Ecuadr Disandes(isribuidora de os Andes) Cale 7" yAv. Agustin Fee, Guayaqul Tel $9342-271651. México: Distribuidera Intermex, SA. dC, Luci Banca #435, Col San ua Whuaca, México DF (0240) Tel, $255 52 30 9543. Prk Distribuidors Bolvaiana SA, A, Replica de Panam 3635 piso 2 San li, Lins, Tel 517-4412948 anewo 21. Uruguay: sper. L,Paraguay 1924, Manteideo, Tel 5882-924-0766.Venenea:istibuidore Continental Bloque demas, Etfico Bloqu de mas Piso 9a, San Mai, cuce con ral La Fa, Caracas Te, 58212-406-4750, Impreso en Sevagrat SA inpreso en Avgentna, Copyright © Fox Andina S.A ME aero dll os competes ew snide de ‘esos asians pas pare ale amin vn qu so as abies RAD y acres, inp > onaoais ue > scum Semouncs > Mane cone > sowmsrcin ners Técnico enredes y seguridad / coordinade por Paula Budtis.- 1a ed, ~ Buenos Aires: Fox Andina, 2013, 576 p.; 28X20 em. (Users; 22) ISN 978-987-1857-78-4 1. Informatica. 2, Redes |. Bubs, Paula, coord. ‘cDD 008.68En esta clase veremos... Componentes de hardware que encontraremos en un servidor de red. Analizaremos las tecnologias asociadas y realizaremos procedimientos practicos. Ena clase amir vino fora ade de intl config 9 admit prescrs dered. Primero conacimos stipes de impresoras de ed existentes yvgo apredimos a ones en match. Resa a manera en que se debe acinar 4 una impresora de red, y vimos |0s protocols IPP y LPD. Dimos [a detalles relacionados con la rages en ged para Liu Componentes internos conncinos una pectca qu ce OE: EALGAL DEMO — de un servidor 2 imprimir desde dvs spasiues mes yexplcaos ls vents dela terooga conoid como Cloud Pint —— AANA Ene dase es dearenes a east sates ah pies aa ges Rass cen cane or si frie VON Sun ‘sits Le as ose E 16 Rg a hare SA Tecnologias EF y UER 22 Hardware management worwredusers.comTECNICO EN REDES Y SEGURIDAD | 14 © El hardware de un servidor En estas paginas conoceremos las diferencias que se pueden apreciar entre el hardware usado en servidores de red y el que encontramos cominmente en los equipos de escritorio. nelambito de los servidores Opteron es linea de pracesadores para actualmente es el PCI Exgress 3.0 16x y el reinan fos pocesadores las _servidores de AMD, mientas que Xeon e PX, extensién del lio bus PC, pero memoriasy ls discos duos, anu pertenecena Ine aque funciona a 64 bits, y 66 0 133 Me. aque sequramente en un futuro Es practicamente obligada la inclusion de ‘no muy lejano pasaran a formar Motherboards una controladora de disco Ultra SCSI 320, parte de nuestros equipes de escttorio; La mayoria de los motherboards con sla tanto intra come externa al menos en la mayor de las casos ——_peritencolacar dos, cuatro, ocho y esto viene sucediando histrieamente més de estos pocesadores enlamisma -AAlmacenamiento yi aveaa dem ai mbjielelpaieiesiepansh, ededehiehasCSLGb S45 thlorsnnes ded mocteecans PORSRBQUGEEDGEIOse, arse seganeonese smb deterred equ deena, ps sala mast lap ay awl oS ena rede Vino Lae wear ‘man gearet bathe” ict TOom mmc ps eoeere ae cionkicGumeaacmth ii sm tune mths unas seamecey BGR de Vato pre remre j Debemos notar que estos motherboards ‘que los discos de una computadora de LAS FUENTES DE ENERGIA ‘no tienen interfaz de audio integrada, escritorio gitan a 7200 rpm. MAS UTILIZADAS EN. yequernoes necesaria,Suelen tract Com respecto a la capacidad de lao les SERVIDORES SON LAS W292¢2devideoincopeat, de unidades tzatas cebonas saber ue prestaconslnitadas, porque tampaco esta depende dectamente de as tareas REDUNDANTES. ext esel principal apartado al que que han sido asignades a server y punt los seniors En muchos casos, tambidn de la cantidad de usuarios que ; también integran una interaz de red est debe sev ente otros factors Microprocesadores Ethernet de 10/10/1000 Mbps. Lo mas habitual es ver unidades nel caso dels servidores actuals, tanto. Con espaco als clos de expansién _espuestas de tal modo que comgenen intel como AMD oftecen procesadores de con los que cuenta un tipico motherboard un array RAID, para aumentar ya sea miles nicleos: de hasta ocho oGiez. orentado eseridars lamas comin _lavelocdad a Seguridad, o amas wuvw.redusers.comGabinete Teniendo en cuenta a ls grandes servidores, el mercado ofrece gabinetes especiales, que puscen ser de es tipos: ower, rackeabes o blade. Los tower son los usados cominmente en equipos de escritri, con la diferencia de que en los servidores son mas amplios,y cuentan con una gran Cantidad de bahias para slojerunidades de disco dure y espacio suficiente para ubicar motherboards de gran tama En este caso, s tine muy en cuenta la ‘entlacidn; podemos encontrar hasta cuatro y diez ventiladores incorporados. Los gabinetes rackeables son rmédiulos que se pueden agregar y Tipico matherboard para servidores con més de un zicalo para el microprocesador. (el ig“ Prat peti braeeldehenie oe POE Reducer Bem Ses te, pee sera aio Gan oa reas, como en los equipos de sonido, weeping ora ‘Los médulos de memoria Fully Buffered funcionan con 1,8 Volts. ‘Aqui vemos un modelo de disco duro Cheetah, fabricado por Seagate, puede ser variable. La minima unidad se «comoce como 1U, y existen servidares de 2U, 4U hasta BU. El espacia de estos gabinetes es reducido en comparacién con los de formato tore. La ventilacin se torna proritaria en este tipo de I Qrvidores, pera al ser modulates, las ventajas que oftecen son amplias, Por bltimo, os cases de tipo blade son similares a los rackeables, con la clferencia de que ls primeros se ubican en form: en relacion al rack y son capaces de aloar hasta diez a lo-ancho del estante, De esta manera, s@ aprovecha mejor el espacio isponible en al rack. Por ejemplo, en un rack de 42U, normalmente podemos al 42 dispositivos de 1U de alto. Fuentes de energia Las fuentes de eneria ms utlzadas yrecomendads, en envdoes son las Hamadesredundantes, también «comocidas como fuentes duales, Estos ispositivos permiten que, sien un servidor una de las fuentes sulte una falla la otra tome el contra, mientras ia primera puede ser reemplazada, todo esto, sin apagar ri reinicar el server. bviamente, se requieren motherboards especiales para estos casos y los costos son bastante elevados. Por eso, sl Justifica su uso en grandes servidores de archivos, de carreo o web servers. wow.redusers.comTECNICO EN REDES Y SEGURIDAD | 14 © Componentes internos de un servidor A continuacién realizaremos un repaso de los principales componentes que se encargan de marcar la diferencia en un servidor, como el motherboard, el microprocesador, la memoria y el disco duro. tuanda hablamos de ls componentes de un seridor, nos relerimos alos mismos componentes basicos que encontramas en un equipo de escritro, pero especilizados para brindar mayor poder de cmputo ¥, por sobre todo, mayor fabildad, La razén de ser de un servidor es, justamente, dar un servicio a los usuarios en forma continua y predecibl. Lo normal es que los servdores den servicio 2007, dec ls 24s os ig de aaa ey LOS DISCOS SAS HAN REEMPLAZADO ALOS TRADICIONALES DISCOS SCSI, Y SE CONVIRTIERON EN EL ESTANDAR PARA SERVIDORES DE GAMA MEDIA Y ALTA. Esta catactrstica non-stop ¢s, sin dudas, uno de los principales requerimientos, sobre el que tienen que trabajar ls ingenieros ‘que disefan seridores comerciales En el mercado pademos ‘encontrar seridores con dstintostpos de pestaciones, pero la El espaco en los data centers suele ser costoso y, por lo tant, robustez / [3 confiabilidad deben estar entie las principales, _¢5caso, motivo por el cual los servidores se dsefian para poder ) ESS a gl PO ee eee Or Ty aparece un mensaje que nos advierte que, para instalar el sistema en unidades conectadas a SO eee ce aa Lie ee een coy un disquete para cargar esos controladores y hacer que Windows reconozca el volumen donde instalarse, En Windows Server 2008 y 2012, estos drivers se pueden cargar via pen drive o CD. i tamafio del blaque de datos es un factor importante Por ejempl, si elegimos un valr de 32 KB para cada bloque, un archivo de 320 KB que se alojeen el volumen serédividdo en diz bloques,y se guardarén cinco en cada unidad fisca, suponiendo que el RAID estéconformado por dos discos. Ast se repatitan el trabajo entre ambos y se ganar en performance Un valor ideal puede ser 64 KB, por ser un balance ideal centre velocidad y cantidad de accesos al disco. Por ejemplo, si elegimos un valor de 16 KB para los bloques de datos, cada archivo debera dividirse en gran cantidad de bloques, y los accesos al disco aumentaran, Por consiguient, la actividad de la controladora y de los discos serd mayor. Si elegimos tun valor muy grande para el bloque de datos, como 256 KB, muchos archivos pequefios se guardarsn en un solo disco yno se obtendré ganancia en velocidad. wecasscen [TT]TECNICO EN REDES Y SEBURIDAD | 14 © Como montar una matriz RAID 1 Los discos duros pueden tener distintas capacidades, marcas, modelos y normas de transferencia, pero lo ideal es adquirir dos discos idénticos. Ml |) ae i sa noes Sisson cea a eds adquitirla por se parado y colocarla www redusers.com Eni Endl Setup del 8105 8 iar el mado de trabajo dela contoladora Stil AATen RATD. En los modelos de motherboards que no tengan esta controladora natva en el chips 51 setrata de una controladora extena, debe elegi la opcin ‘SCSI como primer tem en la sm secuencia de booteo IDE Primary Master RAID IDE Primary Slave RAID IDE Secondary Master RAID IDE Secondary Salve RAID [Di First SATA Master RAID ‘Seconf SATA Master ee DF Reducehetities, Fi cel motherboard debernos Oe an AAT Pee Cae eR TEs creat cna as a otra Ds i Qe: fowoninetnahPresione F6 si desea instalar un SCSI o RAID de otro fabricante. — ere) eat (CENTERSesi_ Delete Parton Fi Debernas elegir uno de estos dos caminos: modo Stripe (RAID 0) omado Mirror (RAD 1) En caso de prota mayor velocidad, seleccioramas e! primero Entonces, deberemos ‘establecer el valor para los bloques de dats; se recomienda 64 o 128 KB AN comienzo de la instalacén de Windows Server 2003, en la parte inferior del pantalla aparece un mensaje que nos adverte «que, para instar el sistema en unidades conecradas acontoladoras SCSI o RAID, deberos pubs la tec F6, Mas adelante se nos solar un disque (proviso cone motherboard, oes posible ceara desde un instaladorubicado en la carpetaDrivers/ AID del CD-ROM de la placa made), | carearcontrotador \ dela interfae RAD, aparece un olumen que suma la capacidd de os ciscos 1 caso del modo Stripe) Entoneesprocedemas a destinado a instar Windows Server 2003 amine | Aestar (Carer mej pa pueden Ena instalacion de Windows Server 2008 0 2012, unite enovador el proceso de carg de drivers roladoras RAID. Ahora, estos Ingresase via CD-ROM 0 pen dive US, con lo cual este timo aso del pocedimienta se toma mis cémado y exible para el usuario, Blteso aldels el proceimienta es idéntico Server 2003 vmucedsersaom [ 13TEONICO EN REDES V SEGURIDAD | 18 © El BIOS Setup de un servidor Aqui analizaremos todos los detalles de! BIOS Setup, encargado del arranque y la administracién de dispositivos en un servidor. administrar los perros. Entre sus varias funciones, se encarga de testear los commponentes principales del equinoe incializar el sistema operative, £1 BIOS es el primer software que ejecuta equipo al encendero, Costu capa de softwere que indeperiiza al hadrwore del sistema operatio, lo que pie que este interacted una mane DI estandaizada con los dstitos penis, ‘Si importa su mado 0 fabricate Los dspostnos se catalagan como de entrada ode salida, Eire los mas comunes encontramos teledo y mouse, como clspositves de entrad;y monit de saida, Funcionamiento Uno de los errores mas comunes es La implementacién del menii de configuracion UEFI de ASUS permite confundi lutitario.o mend que se utiza | Nene tia mejor vistaizacion del estado del equipo, para configura el 8105 con el B105 en sl De hecho, los primeros equipos IBM que implementaron la funcionalidad BIOS na contatan con un ment de configuracién, pero naturalmente ‘Advanced Configuration and Power Interface es el estandar si tenia un BIOS para controlar los {que permite que el sistema operativo pueda conttolar el consumo eléctric, Aispositvose inicilizar el equipo. Fue desatrllado por inte y otras empresas, y da la pasbilidad de administrar La primera acién que relia el BIOS 1 consumo del equipo, el procesador y los dispositivas. Esto permite que es chequear el correctofuncionamiento 15.0. encienda, apague, suspenda o hiberne el equipo, y que controle la de los dispositves yperiticos; esta performance y, en consecuencia, el consumo elécric. Tanto Intel como AMD acidn e denomina Power-OnSel-Test han desarrollado distintas tecnologias para reducr e! consumo eléctrico (POST). Algunos de los dispositivos que del procesadior cuando su uso es bajo, SpeedStep de intel y Cool'n’Quiet testea son a CPU, la memoria RAM, las cde AMD son las implementaciones mas conocidas. interupciones, ef chipset lo peifricos bsicos (ideo, telado, disco duro y lector www.redusers.comde CD/DVD), En caso de detectar agin —-Servidores Bee problema en els, fo informa al usuario, £1 BIOS presente en un srvidr posse ya sea por pantalla por medio de sonidos furconaidades mas amplias que las ‘oa través de los LEDS del equipo. de una estacién de trabajo. Debido a sucitdad yal hecho de que debe Software permanecerencendido durante a El software se almacena en un chip. mayor parte de su vida Util, el BIOS EEPROM (Fecicaly Erasable monitor tots ls espostios afin Programmable Read-Only Memory) que de resquardar informacion itl. Ast tiene la caracteristica principal de ser como las computadoras de a bordo de 10 volt es decieque nose bora alos automdvles mien el consumo y desconectarle la energia sin importat _as velocidades desatrolladas, el BIOS ‘cuanto tiempo permanezca apagado. almacena informacion histérica sobre Lapita que posee ls matheroards uso def CPL ymemaria, eventos de {habitualmente, una CR2032) tiene la apagado y encendido, temperatura, tienen la misma funcionalidad, pero funcién de mantener las configuraciones falas, y mas. Definitivamente, esta de forma diferente. Es el caso de los y la tora almacenedas en el CMOS, funcionalidad afecta en certa medida ‘equipos Sun (actualmente, Oracle), que pero no esnecesaria para mantener la peormarice del equi, porque implementan el sistem Open Boot {91 BIOS en si mismo, ya que, como ‘genera interrupciones en el trabajo del también aplicado por 18M y Apple. ‘mencionamos anteriormente, este no procesador. Segin la funcionalidad que Ota alterativa al BIOS, pero compatible se bor por falta de energia. se habilite, por ejemplo, pata monitoreae com Al, es la iniiathia UBFL. Eetainterfa2 aluso yensuma del pracesadr, puede elimina alguna de las limitarones de UEFISE PROPONE PARA —seterarSinteunciones porsequnds, _antiquo BI0S, como el modo de 16 bits Los sistemas operativas modernos operan de arranque y la limitacién de 1 MB REEMPLAZAR AL en modo protecio,y no wtlzan el BIOS de dreccionamiento, entre ota BIOS; MANTIENE “= BSE Redz Homo. nmremecrtenmens 30s LACOMPATIBILIDAD, hci Badliba Mler dice name de acceso al hardware. 2 cabo por softare desde un meni de INTRODUCIENDO Si ien el BIOS de ls equipos x86 es _confiquracin. Para accede este mend, VARIAS MEJORAS. ——unestindarde hecho que se mantivo_podemos hace lacalmente po ead y fue evoluconando lo largo de los video, o en forma remot, La combinacion cmos aos, algunos fabricantes de servidotes de telas para acceder al mend puede ser ElcMOs (Conplementay Metal Ode _desarollaron otosesténdares que __—_iferenteen uno u oto mode. m Somicanduct es ura antigua tecrlogia utlzada en la consiuccién de ccitos itegrados Se usa para almacenar las confguracones del 8105 ya que su simple clseo consume poca eneri, emite poco calory es inmune al uid, La manera traiconal de restablecer a configquracién predefinida del BIOS es, justamente, Coes Cro) dlesconectand la pila outiizando Un jumper destinado ata i, La memoria EEPROM permite que e! software sea facimente atuaizado, sin rnecesiad de abrir el gainete del equipo 0 retical chip. Los fabicantes de sevidores recomiendan mantener actualizado el 105 porque patiéicamente se apican mejores 0 se corigen errores. ncuso, en algunos casos se pueden realizar mejores aque inflayen en la performance del servidor de modo signifcativ. ‘wow: redusers.com laTECNICO EN REDES Y SEGURIDAD | 14 © Tecnologia 7 Lai Vv y UEFI a Se trata de una tecnologia que va reemplazando la obsoleta plataforma BIOS, tanto en servidores de red, como en equipos portatiles y de escritorio. Conoceremos aqui sus caracteristicas y ventajas. 1 BIOS es el componente de la PC qua menos evalucién tuvo al argo de estos mas de 30 afios, comparandolo con otros como el procesedy, Ja memariao las placas de video. El proceso de bootstrap, ointeraccion con l arranque del sistema opertivo tampaco cambié demasiado. Sibien EF (Extansible Frmuara intrace) fue desarola yestandarizado por ntl hace ais foaia noha Hegado a todos os equips ya que algunos de gama baja EF fue desarliada a pincipios de sig siendo 18 (Ie Boot Ita) su sila ¥ nombre rginales La idea ea supl Tas necesidades de os mas importantes desarroadores de sistemas operaivos ¥ de hardware, tal come a plataforma Hanium, que rechazaban a sco BIOS camo base defrmwar, En 2005, se creé Is fundacion Unified EF, para dar cfusiin ala plataformaEFl entre los fabricantes de hardvare, Fue ai que EFI qued6 como revo nombre de a platafora, uizada no solo para procesadores Itanium, cnSomtttatccnpes POF REMGESE Beitio ara ogra una implementacién absolut Mend grafico UEFI del motherboard de un servidor. Intel amé a este panel de configuracion Visual BIOS. aS) le) ‘csi Sistemas operativos que lo soportan La fnalidad del estandar UE es suplantar fa forma en ques rca un sistema operatioy, por lo tanto la manera en que este oa software bootable acca alos A iL St) ‘wow: redusers.com dispostivos. Ningin sistema operativo de Microsoft de 32 bis soporta ni soportar UBF. Segin un comunicado de la compat de Redmond, esto se date ala ininente mmigracin de las plataformas de 32 2 64 bits, por considerar que ls sistemas operativas de 32 bits son précticamente obsoletos. Windows 7 x64 tene un soporte besico para UEFI, mientras que Windows 8x64 ofece un soporte completo para esta tecnologia, ylo mismo ocure con Windows Server 2012. En el universo GNU/Linux, tenemos a Ell, un bootloader UEF! pata Linux que soporta plataformas UEFI tanto 1A-64 coma IA-32 (x86). éQué es UEFI? ‘A mode de intaduccin,podemos decir que UEFI es un sistema operatvo en miniatura, encargado de encender el equipo; se ubica ent el fimware del equipo y al sistema operativo propiamente dich,Las ventajas que binds este nuevo métad son la rapide en ol arranque de fos equipos (de orden de la mitad de lo que demoran los basadas en BIOS), la seguridad y una mayor adaptablidad a los cambios de hardware por pate de los fabricantes. (to de las benefcios que pademos mencionar es la capacidad de UEFI para gestionar certos pardmnetros en el hardware, incluso, de forma remota (0 sea, desde otros equips! por medio de una interfaz grafica, Al ser un “mini sistema ‘perativo", una porcién de UEFI se alberga an al disco «duro y se comunica con el firmware en si, Une de los puntos mas crticados de este sistema es el hecho de que promueve ¥ permite el uso de la teenologia Trusted Computing, empleada para controlar y comprobar firmas de aplicaciones y drives, eliminando asi la posilidad de desarrallar programas usando ingenieriainversa, Mas en profundidad Esta intrfaz especfica un modelo paral interaccén entre el fimware de un equipo y ls sistemas opeativos, Consiste en un grupo de tablas que contienen datos relatos ala plataforma, ademas de lamadas a los senicios de runtime de boatea élsparibies para el sistema operative ysu bootloader. Todo el conjunto de tablas de datos proporciona un entorno estandaizado que permite incar un sistema operatho y tfecutar progiamas previs a inicio. La arqutetura A-64 define ls tes capas de mare siguientes: > Capa de abstraccin del procesador Capa de atstraccin at sstema > UEFI(nteraz de firmware extensible uificads) Las tres funcionan en conjunto para proporcionar la iniciaizacion del sistema y del procesador durante el booteo del sistema operativo. La capa de abstraccidn del sistema es tuna capa de firmware que aisla el sistema operativo y otro software de nivel supetior,teniendo en cuenta las maneras de implementar las diferentes plataformas. Por otra part, la capa de abstracciin del pracesador€s la capa de frmvare que se encarga de ia implementacién del microprocesador. El entorno de inicio UEFI esté formado por dos interfaces principales. primera es el UEFI Boot Manager Administrator, una teraz basada en mends que permite configura y Seleccionar las opciones de inicio. Desde el administrador UEFI ot Manager, se puede carga un sistema operatvo, reir la partion y configura cstintas opciones de la conslae inicio de sistema, La segunda ese shell UF, una intrfaz de inicio de sistema, del tipo consola aa cual se puede ingresar desde e! UEFI Boot Manager Ventajas de UEFI Las ventajes de UEFI son variadas; a continuacién, listamos algunas de las més importantes: > El fiemmare se programa en C, no en Assembler > No requiee trabajar en modo rea. PDF Reducér Berio ™ Cr ai > Soporta UGA > Soporta GP, >» ej soporte para PXE, Serial ATA 3, SCSI y USB 2.0y 3.0. > Todas ls direciones de memoria son access UGA £1 BIOS se basa en el estandar VGA para mastar or Ta fase preboot yen el Setup del BOS, con ls cnsiguentes LBA de 64 bits (por lo tanta, el tamafo maximo de paricin supera los 28} > Nombre de pariiones de hasta 36 caracteres Unicode. > Soporte para multiples partiones. > Presenta una doble tab redundante > Futuras expansiones fsimenteaplcables > Se encarga de emplear una comprobacion denominada CRC32 ennai [TT]TECNICO EN REDES Y SEGURIDAD | 14 © Seguridad aplicada a servidores de red En estas paginas revisaremos la seguridad fisica del servidor y su entorno. También repasaremos los circuitos de alimentacion y refrigeracién que soportan la infraestructura. eniendo acceso tsico aun _Algunas herramientas que realizan a este recinto, ye sean empleados visitas, sevido,es posible, por festa tarea en ambientes Windows son _proveedoresoterceros en general Para ejemplo, botearcon un CD, Offline NT Contraseia & Registry _haceto,existencstntas hertamientas DVD 0 USB dive yforzar Editor, ERD Commander y MS-DaRT de contol de acceso que podem usa una nueva contrasefa de (Microsoft Diagnostics and Recovery camo as tracionales cerraduras de lave, administrador para acceder al sistema. ‘Toolset, entre otras, Para Linux, por tarjetas magnétces, de proximidad 0 Esimportante tener en cuenta que este ejemplo, booteando en modo single _autenicacion biomética,Seleccioneros 5 uno de is motives porlos cuales la. use, es posible resetear la contrasefia el método que mejor se adecue a nuesres seguridad fica del servidor resulta casi de root. Muchas de estas herramientas _posiilidadesy necesidades. nen ama POE RE uEeE BemE.. Las civTas 0 MEDIOS cetereeoermeeee™= QUE CONTIENEN LOS Eiigeieoliniecks packule vO BEBEH acking” £5 importante conocer estas. PERMANECER EN EL herramientas porque, de esta manera, MIS MO RECINTO QUE ionamin “" LOS SERVIDORES. Seguridad perimetral Infraestructura necesaria La primera medida que debemos El esténdar T4942, amplamente considera es la seguridad perimetral_aceptado enol mercado define la de los servidores. Es recomendable infaestructura para un data center ‘que esios se encuentien en un cuario _estabece la orgaizacén del espacio exclusive de acceso restringldo, al que a lsposicin dels elementos, a ‘éenominaremas server room. infraestructur de cableado, fs nivles Este lugar no debe tenet ventanas que _—_de confiablidad y redundancia, yas puedan abrise, ni tampaco paredes consideracones ambienales a considera Tndantes con el extetoc Es precisa lever Bsn cuatro tpos de datacenters: TER-1 un registra de las personas que acceden _TIER-2,TER-3y TER-4 La diferencia radica ‘en el nivel de redundancia: Un data center TIER-1 carece de redundancia, en tanto que uno TIER-4 es redundante Un data center TIER-4 requiere de un edifci independiente y no conectado con otras estrucuras; tampaco puede lindar con fa via publica www.redusers.comRacks Una vez dentro del server room o data cents, debemas considerer que los servidores estén instalados en racks con puerta y cerradura, con los tres paneles (los das laterals y el posterior instalados y asegurados; sole deberan abirse los racks sobre los cuales se va a trabajar. Existen dos tipos bisicas de racks: abettos(bastidores) y cerados, En caso de aque un tecero deba realizar una instlacin 0 tarea especitica Sobre un equipo dentra de! server roam, podremos asegurar que el resto de fos equipos y su informacion permanezcan protegidos. su ve, cada sevidor puede tener un citre propio que protege ef acceso al frente del equipo, par impede €l apagado no avtorzado o el acceso ala lecora de CDDVD © puerto USB. En ef caso de equipas que estn fuera de un Cuarto resting, ya sean servidores 0 estaciones de wrabajp, es recomendable utilizar torillos de sequridad o candado para proteger los componentes internos de robo alteracion. Cuando los equipos no estan rackeados, también se recomienda utilizar una lnga de seguridad, con fn de ancare equipo un punto fj y, as dfcultar su robo. ‘Aun cuando los servidores se encuentren en racks certados, deben requir autenicacién para el asi como también bloqueo por inactivided. Deteccidn de intrusion Como medida adcional de seguridad, es posible hatte nla deteccén de intrsién de chasis desde la confgurabe het ai En caso de que el chasis se aber, se generara un evento Di, ques registrar en el COS, yalertad cade ver que el equipo se encienda, hasta que el evento sea borrado. Este tipo de eventos también puede ser mnitoreado en forma remota Es recomendable definir un proceso que recopil los eventos y notfique alos administrador para su revisién Los switches y patches ya sea dentro o fuera de data cente también deben protegerse dentro de gabinete ceitar que usuarios malintencionados se cone alos puertos cde administracion y aterer la eonfiguaciono ganen acceso 2 segments dere restingios. La implementacén dé NAC GEE ELAR.) parm contiguracién de los equipos que se conectan ala red. s posible val si poseen antivirus actualizai, fixes de seguridad y ‘tras requisitos necesarias para garantizar el estado de la red. Sino se llega a cumplir alguno de estos requisites, puede denegarse el prvilegio de conexion ala red o cortegir en forma automatizada, segin las poltcas definidas Dado el caso de proceder ala remediaion del equipo, el proceso se reliza en una red independiente para tal fn, hasta que ioocrsasnciss [10 |TECNICO EN REDES Y SEGURIDAD | 14 se cartijan todos los desvios y ued conecarse a la red correspondiente, Los servidores en ambientes inseguros (ucusales, teas de trénsito, pequetios rnegocis w oficnas} deber contar con Fall Disk Encryption. De esta forma, y cen caso de robo del equipo, podremos garantizar la confidencialdad de la informacion contenida, Para esto existen ditintas tecnologias, como Bitlocker para Windows Server, 0 dm-cypt para Linux. cerv Los CCTV (circuito cerrado de TY) ‘umplen una doble funcién. Por un lado, disuaden el vandalsmo 0 € robe del equipamiento; y por otv, fo evidencian una ver realizado, Existen equipos especialmente dseiados para el data center que tienen sensores para medicidn de temperatura, humedad ¥ capacidad infrarraja para vision en la oscuridad, cuando ls les estén apagadas. Algunas aplicaciones de CCTY incuyen a funcionalidad de deteccén de mayor edad de imagen, pero trindan una furcionaldad que puede ser conplementara a as tarjetas tradicional, con lo cul otxgan un nivel de seguridad adicional Es posible integra el CCTV con al stoma de contol de acceso sto permite ascir rGpidamente una imagen de una persona ‘ona informacion de a tata ohuele ital presenta ante el etor de esa zona, Habtvalmente, la grabacin de video se reaiza solo cuando hay deteccén de movimiento, de mode que se reduce el espacio total de aimacenariento tizado, Yesto aumenta la cantidad de horas te grabacion disponible HVAC Las circuits HVAC de data centers tienen la panicularidad de que, ademas de ener el ire regulan ts humedad del ambiente y fitran as patcuas le polvo. La ASHRAE (American Soviet of Hea, Feltigerating and Ai- Conditioning Engineer) recomend un rango de roritiavtineueccne POR Reducer emi” ‘wow: redusers.com Lia humedad por encima de estos valores puede generar condensacién, yy por detisjo de llos, produit estatica en fos componentes electranicos. La noima TIA-942 define como debe set la cicuacion del are: pasilos trios por donde os servidares toman el aire y pasilascallentes por donde lo expulsan El air ro crcula por dejo del po téanicoy sale po os ifcos frente a fos racks late caliente sube por detrds Ge los racks y es succionado por el aire aconticionado, que lo enti y envia otra ‘vez por debajo del piso técrco, Esta forma de separar los pasos fos y os calentes optimiza el fyjo de aire, y asf genera tun ahorro en la eneralanecesaria para mantener las temperaturasrecomendacdas. Incendios La deteciniemprana de humo es cave para reducir los dafins al equipment, Por lo tanto, es importante colocer senses debajo del piso térico, en los racks en el techo. Si sla enseran sensoresen el techo y el fuego se crginara debajo del iso tcnco, donde existe gran centided de cableado, este seria detectado tuna vez que estuviera en ura etapa muy avanzada, y entonces habia daiado aan parte del equipamiente Lametodelagia de supresion de incendios utlizando gas inergen esa preferia, Este 93s es un compuesto de nitrogen, agony idxido de carboro que extingue el fuego al suprimi el oxigeno, uno de os tres elementos necesavis para que exsta combustion. La venajaes que no causa ning tivo de dato en fos equips, como siocute con el agua ol polo. Asi, no es necesti realizar una impieza luego de utzarl, por a que permite etomar r@pidamentea a actividad nora. El compuesto Inergen noes nocivo para los humanos,y pr este motivo reomplaré al CO, que slo es. Alimentaci6n eléctrica Las dat centers deen contr con cruitos de alimentacénindepencientes para per energizar de manera correcta a los equips que poseen fuentes redundortes Dado aso de que exsta un corto © salt una térmica en un crt, el seniia ro se intemumpi. Ls sistemas UPS (Oninteronibie Powe Supp proveen eneria de emergena. Su objetivo es rmantene €lsumiitoelécico luego de un cote de a energia dared hasta que los generadores entan en funcionamierto, Las bates oportan algunos minuto, aque son los necesarios para que Ia coiente agenerada por los motores sea estable por lo tant, apropiada para los equipos Respaldos Las cintas 0 medias que contienen, los backups 0 respaldes na deben petmaneceren e| mismo recinio donde se encuentran los servidores i tampoco en forma contiqua E| BCRA (Banco Cental de la Repiblica Argentina) establece en la comunicacién “A” 4609:General Electric Spectra Series Power otorga - roteccién eléctrca y permite cambiar las lineas. “Los proceimientos para el esquarda de datos, programas y todo otto componente de informacion eben preve, coma minima, la generacin de 2 (dos) copias de resguardo sinronizadas,manteniendo el almacenamienta de una de elas en una localizacin distin ala primaria,ubicada a una distancia determinada de acuerdo con el andliss de riesgos simultaneos que la entidad haya formalmente realizado” ASHRAE RECOMIENDA QUE LOS DATA CENTERS TRABAJEN EN UN RANGO DE TEMPERATURAS DE ENTRE 16 Y 24° C, CON UNA HUMEDAD DE ENTRE 40 Y 55%. EPO En crcunstanclas extremes, puede ser necesario realizar un PO (Emergency Fower Off de un data center $i bien es un recurso itil, implica que es un tinico punto de fall Debe ser protegido para evitar que una persona maiintencionada lo accione, Por otro lado, existen situacionescrticas en las que se cuenta con una ventana de tiempo que permite el apagado cordenado de las equipos, por lo que es necesaro tener un plan de apagado de emergencia detllado y actualizado. Este tiene que estar organizado, de forma que un aperador pueda ejecutalo paso por paso sin necesidad de recur a su memoria. sujuicia. Un ejempl simple consiste en apogar primera la bases de datos, luego las aplicaciones, y por timo, los DNS y LDAP que permiten autenticanos en los equipos Después de apagar ls servdores,continuamos cn fos Alspostivas de comunicacin ya fina, con los HVAC. Es posible desaroliar un st que permita realizar el apagado ordenado de todo el equipamiento en el data center en forma vlaz PDF Reducer, ‘Tubos de gas Inergen para extincién de incendis en data ‘centers. Este no daa los equipos ni afecta a las personas. Monitoreo El maritoreo del buen funcionamianto de los senvicios es fundamental, Para determinar qué debemas monitorear se ‘aconsejaaplcar e! método Whatif? Por ejemplo: Pregunta 1 Que pasa sise descompone el aire acondiconado? Respuesta ‘Todo el ambiente se recallenta, Pregunta 2: Qué pasa si ambiente recalenta? Respuesta 2: Los senviores podran junta 3: Qué pasa sos servidores se apagan’? Respuesta 3: La empresa se demovaria o paraizara, ‘onclusién: el mal funcenamiento de ie acondconado del data center puede afectar de manera sgnfcativa al negocio. Por lo tanto, utlizando esta metadologia de andlis podems: > Identficarresgos, > Evaluarlosy valorarlos. > Desarroliar controes oimplementarsalvaguardas. >) El backup a disco esta ganando mercado por ser tun econdmico y muy efectivo método para reducir las ventanas de backup y mejorar los tiempos de restauracifn. La velocidad de los discos aumenta permianentemente, y las tecrologias SAS y SATA han reducido sus costo, Los discos permiten acceso aleatorio, a que posibilita varias sesiones ‘concurrentes de backup, Pero ls cinta adn no puede ‘ser completamente reemplazada cuando se trata de retencin y archivo offsite. worwredusers.com‘TECNICO EN REDES Y SEGURIDAD | 14 © Hardware management Conoceremos diversos esténdares y cuestiones de interoperabilidad y gestion. Veremos la administracién remota y automatizada del hardware. ada vez mas, ls sistemas se multiplican y abarcan todos los érdenes de la vida, Desde tun simple kiosco hasta una gran multinacional, todo € regido por los sistemas. sto lleva a que las data centers crezcan en forma cexponencial, y que las administradores cada vez tengan que administrar mas ¥/mas equpos. La administacén rt = ve qvedanéaenelpatads yeada ver POF oR @QUCEr std més automatizada y requiere menor intevencin por parte de los tecnicos. Los servidares no suelen ser facilmente accesibles para los administradares, {que mucias veces pueden estar a kalometros de ells. Pr este motivo, ‘existenfaclidades para administrarlos a distancia, con herramientas de emote Management Suppor. Intel pe ha desarrollado 1PM (lnzetligent Implementaciones IBM, RAS (Remote Supervisor Adapter Platform Management Interface) con Como saberias, cada fabricanterealiza Dell, DRAC (Dell emote Access elfin de estandarizar y unfca las Su propia implementacinde IPM Contolle, y Ciseo, cine (Cisco distntas implementacones exstentes HP desarala su tecnologia ILO Integrated Management Cotrllen, pare administracién independiente de (Integrated Lights Out; Oracte tiene _solo por nombrar algunos de los cas servidores (Out of Band Management). LOM (tegrated Lights Out Manage); 200 suscriptores de IPM IBM Hardware Management Console HMC es una tecnologia desarrollada por IBM para permitir la configuracién de LPARS (maquinas virtuales) en sistemas IBM p5, 5 y OpenPower. Se basa en un simple kernel Linux, un entomno grafico X y aplicaciones Java. Un administrador, utilizando IBM HMC, puede identificar problemas de hardware, monitorear y configurar las LPARS. También puede asignar hardware (memoria, procesadores, etc) a una LPAR dinémicamente. La administration se realiza desde la interfaz grafica 0 por linea de comandos, Un HMC es capaz de controlar hasta 32 sistemas, ‘wow redusers.comLas implementaciones de IPMI tipicamente Permiten realizar algunas dls sguientos funciones en forma remota: monitareo del hardware, manitoreo del estado del sistema y log de eventos, adminisracon de erores falls, generacion de reportes ambientalesy eléctricus, generacion de alertas,visualizacién de LEDs e Indicadores, consulta ce SNMP traps, generacin de inventario, visualizacién de clrecciones dered IP y MAC, visualizacion de nimeros de parte y de serie, aueitora de usuarios administradores, Systems Management Architecture for Server Hardware (SMASH): sun Web Services Management (Ws-MlaN): establece un método comin para accedere intercamblar informacion lo largo de la inftestructura mediante el uso de web services Conclusion Todas ests incitivas creceron de sentido silos desarolladores na las implementa. No necesariamente las implementaciones hacen referencia 8 de alerta para mejorar la experiencia de usuario y mininizar a carga administrativa dl sistema, > Desktop Management interface (DM: es un estindar discontinuado que permite llevar el control de los componentes en una PC > Common information Model (it): evolucioné a partir de OMI, y permite gestionary controlar la informacion de los esténdares que aplicn, ya que, en general, utiizan nombres comerciales para nombrarls, Otro ejemplo de una implementacinrealizada por Microsoft de los estandares desarrollados por DMITF se encuentra en Powershell redes aplicaciones servicios y sistemas, con el agregado de los C1M emalets. RESULTA UTIL? rr * Tee ee Pee! ee ea ce ear) ur Pea A BEC tea ott oe oro rts me eaPROXIMA ENTREGA ADMINISTRACION DE WINDOWS SERVER En el préximo numero veremos las caracteristicas del sistema para servidores de Microsoft. Analizaremos las opciones de Active Directory y la administracion de directivas de grupo en forma avanzada, PDF. receTécnico en &SEGURIDAD D> PROFESORES EN LINEA profesor@redusers.com D> SERVICIOS PARA LECTORES usershop@redusers.com @ SOBRE LA COLECCION (CURSO VISUAL Y PRACTICO QUE APORTA LOS SABERES NECESARIOS PARA FORNAR TECNICOS EXPERTOS EN REDES Y SEGURIDAD, INCLUYE (Uh GRAN CANTIDAD DE RECURSDS DIDAcTICOS ‘COMO INFOGRAFIAS, GUIAS VISUALES YY PROCEDIMIENTOS REALIZADOS PASO A PASO. Con la mejor metodologia para llevar adelante el montaje y mantenimiento de las redes informaticas y con los aspectos clave para brindarles fa proteccidn necesaria, esta obra es ideal para aquellos aficionados que deseen profundizar sus conocimientos y para quienes quieran profesionalizar su actividad. nell li EDES wit Al CONTENIDO DE LA OBRA 1 Introduccidn a tas redes intorméticas 2 Tipos de redes y topolagias 3 pispasitivos de red 4 instatacidn de redes cabloadas 5 Puesta en marcha de una red eableada 6 Configuracién de redes cableadas ‘7 Instatacién de redes inakémbricas & configuracién de redes inakimbrioas PDF Re UtsveieeBeriresableatas e inalémbricas 10 contiguracién avanzada de routers 11 Recursos compartides y dispositivos multimedia 12 seguriat fisica de ta red 13 impresoras de red 14 waroware DE sERVIDORES 15 diministracién de Windows Server 16 Adminisiracén de sistemas Linux 17 Administracién y asistencia remota 18 Servidores web y FIP 19 Servidores de mail 20 Servidores de archivos ¢ impresién 211 Servidores aticionales 22 vias, ven y trabajo remota 23 Teletonia te 24 cimaras iP