Seguridad de Servidores Web, es una presentación que sirve de guía para los Gerentes que deseen conocer un poco más sobre la seguridad informática en las tecnologías de la información.
2. CONTENIDO
SEGURIDAD DE SERVIDOR WEB
ALTA DISPONIBILIDAD
RAID
SISTEMAS TOLERANTES A FALLOS
CLUSTERS
SEGURIDAD DE
SERVIDORES
WEB
3
4
5
2
1
3. …acceso al World
Wide Web se ha
convertido
posiblemente en la
acción más habitual en
cualquier hogar o
centro de trabajo.
1. SEGURIDAD
DE
SERVIDORES
WEB
Álvaro Roldán,
Gerente de la Unidad de Negocio
Fortinet Altimate Group
4. ¿QUE ES UN SERVIDOR?
“En informática, un servidor es
una computadora que,
formando parte de una red,
provee información a otras
computadoras denominadas
clientes”
Tomado de: Administración de sistemas Operativos en la Red
Enlace: https://asorufps.wikispaces.com/Software+de+Servidor
SEGURIDAD DE
SERVIDORES
WEB
5. TIPOS DE SERVIDORES
Servidores de
Aplicaciones
Servidores de
Correo
Servidores Web
Servidores de
Bases de Datos
Tomado de: Majerhua C. Servidor.
Enlace: https://es.slideshare.net/CarlosJavierMajerhua/servidor-51476265
7. SERVIDORES WEB
(WEB SERVERS)
“Los servidores web (también
conocidos como servidores HTTP)
son un tipo de servidores utilizados
para la distribución (entrega) de
contenido web en redes internas o
en Internet (“servidor” hace
referencia al verbo “servir”).”
Tomado de: ¿Qué es un servidor web y
qué soluciones de software existen?
Enlace:
https://www.1and1.mx/digitalguide/servido
res/know-how/servidor-web-definicion-
historia-y-programas/
8. Tomado de: Desarrollo de
Aplicaciones Web II - Sesión 08:
Sesiones y Cookies
Enlace:
https://es.slideshare.net/difagram/des
arrollo-de-aplicaciones-web-ii-sesin-
08-sesiones-y-cookies
Servidores
Web
9. “Las organizaciones gastan millones de dólares en firewalls y
dispositivos de seguridad, pero tiran el dinero porque ninguna
de estas medidas cubre el eslabón más débil de la cadena de
seguridad: la gente que usa y administra los ordenadores”
Kevin Mitnick
el hacker más famoso de todos los tiempos
10. “Una amenaza es todo aquello que pretende o intenta destruir
o dañar un bien. Se encuentra latente y representa sólo una
posibilidad de poder manifestarse.”
Tomado de: Universidad nacional
Autónoma de México- Facultad
de Ingeniería.
Enlace: http://redyseguridad.fi-
p.unam.mx/proyectos/admonrede
s/PHP/capitulo6.html
12. ➜Errores de
hardware
○Deterioro de los
equipos por uso.
○Falla del
suministro de
enrgía.
➜Desastres
naturales
○Inundaciones.
○Terremotos.
○Incendios.
○Viento.
○Tormentas eléctricas.
TIPOS DE AMENAZAS
13. Tomado de: Majerhua C. Servidor.
Enlace: https://es.slideshare.net/CarlosJavierMajerhua/servidor-51476265
AMENAZAS Y VULNERABILIDADES
DE UN SERVIDOR WEB
Acceso físico
• Se trata del
daño que
podrían
sufrir
físicamente
las máquinas
a nivel de
hardware.
Intercepción de
comunicacione
s
• Si se puede ser
capaz de
interceptar las
comunicaciones
que van al
servidor se podría
obtener
información
privilegiada por
terceros.
Ingeniería
social
• Es uno de los
recursos más
utilizados y
uno de los
eslabones más
peligrosos ya
que depende
de la
ingenuidad de
los usuarios.
14. • No existen modificación en la información , ésta
sólo observando y escuchando de la información.
Es un trampolín para un ataque activo.
Ataques
Pasivos
• Se realizan modificaciones en los recursos,
activos o informáticos, por lo que son fácilmente
detectables.
Ataques
Activos
• Se ataca directamente el sistema operativo del
servidor intentando obtener privilegios de
administrador mediante un terminal remota.
Ataques a
Nivel de
Sistema
TIPOS DE ATAQUES A UN
SERVIDOR
Tomado de: Majerhua C. Servidor.
Enlace: https://es.slideshare.net/CarlosJavierMajerhua/servidor-51476265
15. • Consiste en modificar los datos que nos permita
la aplicación, atacada sin ejecutar código en el
sistema operativo.
Ataques a
Nivel
Aplicacion
• Consiste en suplantar la identidad de otra
maquina de la red para tener acceso a los
recursos de un tercer sistema de manera
maliciosa, basándose en algún tipo de confianza
ya sea el nombre o la dirección IP. Una de las
técnicas más típicas del spoofing es el phising.
Spoofing
TIPOS DE ATAQUES A UN
SERVIDOR
Tomado de: Majerhua C. Servidor.
Enlace: https://es.slideshare.net/CarlosJavierMajerhua/servidor-51476265
16. Los servidores deberán tener instalado, tanto a nivel de host como
de red, aplicaciones de protección como software de antivirus y
cortafuegos. También es importante instalar sistemas de
detección de intrusos como dispositivos hardware y software que
supervisen el acceso a través de la red y desde el servidor.
Establecer políticas de seguridad estrictas en los servidores.
Crear cuentas de usuario con permisos físicos y estrictos que se
deberán revisar de vez en cuando para evitar problemas de
seguridad.
Tomado de: Majerhua C. Servidor.
Enlace: https://es.slideshare.net/CarlosJavierMajerhua/servidor-51476265
17. 1. Ocultar versión y sistema
CONSEJOS DE SEGURIDAD
2. Desactivar listado de
directorios
3. Mantenernos actualizados
Tomado de: Consejos de seguridad servidores
Enlace: https://openwebinars.net/blog/consejos-seguridad-servidores-apache/
Del Servidor Web
4. Deshabilitar módulos
innecesarios
5. Permitir o Denegar acceso
a directorios
6. Deshabilitar Enlaces
Simbólicos7. Limitar tamaño de peticiones
18. “No hay garantía de que la alta tecnología y la riqueza nos
vayan a traer la felicidad. Pero traen dos importantes cosas:
seguridad creciente y mayor capacidad de elección”
KAHN, Herman
estratega militar y teórico de sistemas en la RAND Corporation
20. ALTA DISPONIBILIDAD“Es un protocolo de diseño del sistema y su implementación asociada que
asegura un cierto grado absoluto de continuidad operacional durante un
período de medición dado.”
“Se refiere a la habilidad de la comunidad de usuarios para acceder al
sistema, someter nuevos trabajos, actualizar o alterar trabajos existentes o
recoger los resultados de trabajos previos.”
Tomado de: Wikipedia. La Enciclopedia Libre.
Enlace: https://es.wikipedia.org/wiki/Alta_ disponibilidad#Conceptos_ relacionados
21. ALTA DISPONIBILIDAD“Sistema diseñado y puesto en marcha con componentes que soportan
exigencias funcionales del sistema, redundante en cuanto a hardware,
software y procedimientos que minimizan la creencia de eventos
planteados o no planteados.” Cabarl Rodríguez (2012)
Tomado de: Ramos, Danny. Alta Disponibilidad. Emaze.
Enlace: https://www.emaze.com/@ALFRZQLF/Alta-Disponibilidad
22. ALTA DISPONIBILIDAD
(High Availability)
“Se puede configurar para
manejar tanto anomalías de
hardware como de software; la
última es la causa más común
de tiempo de inactividad.”
Tomado de: IBM® Knowledge Center. Alta Disponibilidad.
Enlace: https://www.ibm.com/support/knowledgecenter/es/SSLKT6_ 7.6.0/com.ibm.mbs.doc/gp_ highavail/c_ overview_ ha.html
23. La alta disponibilidad protege a las
empresas contra la pérdida de ingresos,
cuando el acceso a sus recursos de
datos y aplicaciones de negocio vitales
se ve interrumpido.
24. VENTAJAS ALTA DISPONIBILIDAD
(High Availability)
Tomado de: Ramos, Danny. Alta Disponibilidad. Emaze.
Enlace: https://www.emaze.com/@ALFRZQLF/Alta-Disponibilidad
Planificación de
paradas.
Tolerancia a eventos
no esperados.
Restauración
/Reanudación ante
un siniestro.
25. Minimizar el tiempo de
copias de seguridad.
Agilizar los procesos
de las tareas.
VENTAJAS ALTA DISPONIBILIDAD
(High Availability)
Escalabilidad y
Protocolos de
Seguridad.Tomado de: Ramos, Danny. Alta Disponibilidad. Emaze.
Enlace: https://www.emaze.com/@ALFRZQLF/Alta-Disponibilidad
26. Reducción en la
prioridad de la
corrección del
problema.
Interferencia en la
detección de
fallos del mismo
elemento.
Dificultad al
momento de
realizar pruebas.
Alto costo de la
disponibilidad.
Componentes
Inferiores.
ALTA
DISPONIBILIDAD
(High Availability)
DESVENTAJAS
Tomado de: Ramos, Danny. Alta Disponibilidad. Emaze.
Enlace: https://www.emaze.com/@ALFRZQLF/Alta-Disponibilidad
27. Alta Disponibilidad
99,9% = 43.8 minutos/mes u 8,76 horas/año ("tres nueves")
99,99% = 4.38 minutos/mes o 52.6 minutos/año ("cuatro
nueves")
99,999% = 0.44 minutos/mes o 5.26 minutos/año ("cinco
nueves")
Fuente: Wikipedia Enciclopedia.
Enlace: https://es.wikipedia.org/wiki/Alta_disponibilidad#C.C3.A1lculos_porcentuales
A Mayor
disponibilidad
>99,999%
Mayor (>)
producción
(>) Rendimiento sobre Activos
28. Valores Típicos de Disponibilidad
TIPO DE
PROCESO
CUARTIL
Peor 3ero 2do Mejor
Continuo <78% 78-84% 85-91% >91%
Batch (Lote) <72% 72-80% 81-90% >90%
Químico,
Refinería, Energía
<85% 85-90% 91-95% >95%
Papel <83% 83-86% 87-94% >94%
Fuente: Gluor Global Servicies – Estudio de benchmarking – NA, AP, EU -1996
Tomado de: Emreson Process Managenment.
Enlace: http://www2.emersonprocess.com/siteadmincenter/PM%20Central%20Web%20Documents/BusSch-
OEE_102es.pdf
Ej..: Puntos de Referencias
29. ¿CÓMO MEDIR LA DISPONIBILIDAD?
% Disponible =
Tiempo de producción real
Tiempo de producción posible
Tomado de: Emreson Process Managenment.
Enlace: http://www2.emersonprocess.com/siteadmincenter/PM%20Central%20Web%20Documents/BusSch-OEE_102es.pdf
30. Vemos un Ejemplo
➜ Una línea de proceso se opera 2 horas al día, 5 días a la
semana (120 horas).
➜ El Tiempo muerto programado para mantenimiento
preventivo es de 1 hora cada semana.
➜ El tiempo no muerto programado debido a fallas del
equipo y ajustes del mismo es de 7 horas.
Tomado de: Emreson Process Managenment.
Enlace: http://www2.emersonprocess.com/siteadmincenter/PM%20Central%20Web%20Documents/BusSch-OEE_102es.pdf
31. Vemos un Ejemplo
% =
(120 hp – 1tmp – 7 tmNp)
(120 hp – 1 tmp)
Disponibilidad
112
119
% =Disponibilidad 94=
%=Disponibilidad 94
33. 1987: La Tecnología RAID fue definida por
primera vez por un grupo de informáticos
de la Universidad de California, Berkeley.
Ellos estudiaron la posibilidad de usar dos o
más discos que aparecieran como un único
dispositivo para el sistema.
HISTORIA
DEL RAID
Tomado de: Tecnología RAID
Enlace:http://g6t2psi.blogspot.com/
2007/08/historia.html
1978: Norman Ouchi de IBM le fue
concedida la Patente titulada «Sistema
para recuperar datos almacenados en una
unidad de memoria averiada», donde
menciona la copia espejo, que más tarde
sería denominada RAID 1 y RAID 4.
34. 1988: Los niveles RAID fueron definidos por
David A. Patterson, Garth A. Gibson y
Randy H. Katz en el ensayo «Un Caso para
Conjuntos de Discos Redundantes
Económicos (RAID)», publicado en la
Conferencia SIGMOD de 1988. El término
«RAID» se usó por vez primera en este
ensayo.
HISTORIA
DEL RAID
Tomado de: Harold A. Bello Penagos
Enlace: ttps://prezi.com/qfwkznqr143t
/array-arreglo-de-discos-duros-
35. DEFINICIÓ
N DE RAID
Las siglas RAID vienen del
Inglés Redundant Array of
Independent Diks, es decir,
matriz o conjunto de
redundante de discos
independientes.
Tomado de: Qloudea data solutions
Enlace: https://qloudea.com/blog/tipos-de-raid-breve-explicacion-y-
caracteristicas/
36. ¿QUÉ ES?
RAID es una tecnología
que se ha usado durante
muchos años en equipos
servidores, para conseguir
mayores velocidades y
para no tener problemas
con los fallos en los
discos.
Tomado de: Angel Luis Sánchez Iglesias
Enlace: https://www.aboutespanol.com/que-significa-raid-840952
37. ¿EN QUÉ
CONSISTE EL RAID?
En combinar varios discos
duros para formar una
unidad lógica única, donde se
almacenan los datos de
manera redundante. Ofrece
mayor tolerancia y mas
altos niveles de
rendimiento.
Tomado de: Harold Arley Bello Penagos
Enlace: https://prezi.com/qfwkznqr143t/array-arreglo-de-
discos-duros
38. Tomado del: Taringa¡ Inteligencia colectiva
Enlace: https://www.taringa.net/posts/info/1032459/Que-es-RAID.html
La tecnología RAID protege los datos contra el fallo de
una unidad de disco duro. Si se produce un fallo, RAID
mantiene el servidor activo y en funcionamiento hasta
que se sustituya la unidad defectuosa
39. VENTAJAS DEL RAID
1. Suma las capacidades de
los discos conectados
creando así un solo volumen
3. La velocidad de
almacenamiento incrementa
cuantos más discos se añadan
2. Incrementa la velocidad de los
datos en varios bloques en su
lectura/escritura en varios discos
en paralelo
4. Ofrece tolerancia a fallos
a través de operaciones
espejo y de paridad
Tomado de: Qloudea data solutions
Enlace: https://qloudea.com/blog/tipos-de-raid-breve-explicacion-y-caracteristicas/
40. FUNCIONAMIENTO DEL RAID
Información dividida en múltiples discos
formando así una unidad simple lógica de
almacenamiento.
Los datos son duplicados en forma de
espejo entre dos discos.
Data que se combina en los discos restantes
para generar la información perdida.
Tomado de: Qloudea data solutions
Enlace: https://qloudea.com/blog/tipos-de-raid-breve-explicacion-y-caracteristicas/
41. ¿COMO FUNCIONA?
Tomado de: ABOUT Español
Enlace: https://www.aboutespanol.
com/que-significa-raid-840952
Usa varios discos para almacenar la
información de tal forma que los datos, que
estarían en un solo disco, se distribuyan entre
ellos.
La configuración debe permitir que el sistema
pueda seguir funcionando incluso cuando uno
a más discos falla.
Presenta más velocidad, escribir y leer de
más en una unidad al mismo tiempo,
mayor tolerancia a fallos, ya que los datos
pueden estar replicados..
42. ¿QUÉ ES?
NIVELES DE RAID
Diferentes estructuras de RAID,
que ofrecen diversidad de
niveles de RAID rendimiento y
redundancia a las diversas
aplicaciones.
La selección del RAID depende
del usuario con respecto al
aplicativo, costo, seguridad,
velocidad, capacidad, etc.
43. NIVELES DE RAID
RAID 0
No ofrece tolerancia a fallos pero si mayor
velocidad. Se utiliza para el incremento del
rendimiento y los datos se dividen en
pequeños segmentos (stripes).
Permite en paralelo la transferencia
simultánea de datos a gran velocidad.
Recomendable en aplicaciones de tratamiento
de imágenes, audio y vídeo.
Tomado de: WIKIPEDIA
Enlace: https://es.wikipedia.org/wiki/
RAID
Tomado de: RAID Tolerancia a Fallos
Enlace: http://docencia.ac.upc.es/
FIBCASO/seminaris/2q0102/T3.ppt
44. RAID 1 (mirroring)
Tiene redundancia. Se duplican todos
los datos de una unidad en otra, con
esto se asegura la integridad en los
datos y la tolerancia a fallos.
Solución costosa ya que las unidades se
deben añadir en pares.
NIVELES DE RAID
Tomado de: WIKIPEDIA
Enlace: https://es.wikipedia.org/wiki/RAID
45. Al menos tres discos y sólo uno tienen
datos.
NIVELES DE RAID
RAID 3 y 4
Si uno de estos discos se daña o falla el
sistema es capaz de recuperarlo
usando la información de los otros.
El nivel RAID 3 actualmente no se usa
Acceso independiente con un disco
dedicado a la paridad.
Tomado de: WIKIPEDIA
Enlace: https://es.wikipedia.org/wiki/RAID
Tomado de: Institución Universitaria escolme
alex.avila1976/presentacion-raid
46. Sistema de información más usado
y con mucha redundancia.
RAID 5
NIVELES DE RAID
Ofrece tolerancia a fallos y optimiza
la capacidad del sistema.
Información con pariedad
distribuida en todos los discos.
Mínimo tres (3) se necesita para
implementar este sistema.
Tomado de: RAID Tolerancia a Fallos
Enlace: http://docencia.ac.upc.es/FIBCASO/
seminaris/2q0102/T3.ppt
Tomado de: Institución Universitaria escolme
Enlace: https://es.slideshare.net/alex.
avila1976/presentacion-raid
47. Ofrece dos niveles de
redundancia.
NIVELES DE RAID
RAID 6
Contiene dos bloques de
paridad.
Ofrece tolerancia alta a los
fallos y las caídas de disco.
Costo de implementación es
muy alto.
Tomado de: WIKIPEDIA
Enlace: https://es.wikipedia.org/wiki/RAID
Tomado de: RAID Tolerancia a Fallos
Enlace: http://docencia.ac.upc.es/FIBCASO/
seminaris/2q0102/T3.ppt
49. ¿QUE ES UN SISTEMA
TOLERANTE A FALLOS?
Se fundamenta en el concepto de redundancia:
Tomado de: Melodi Moreno
Enlace: https://prezi.com/bwjzgjaeuiqc/tolerancia-a-fallos/
Asegura la disponibilidad de los equipos, datos
y los servicios de manera confiable y sin
interrupción.
Duplicación del software y hardware para que
actúen de manera redundantes y cooperativa,
(activa-activa o activa-pasiva).
50. Tomado de: Armando Lazarte Aranaga
Enlace: http://armlaz.tripod.com/armandolazarte/stf.htm#
Fiabilidad: Continuidad de servicio.
ATRIBUTOS DE UN SISTEMA
TOLERANTE A FALLOS
Disponibilidad: Porcentaje de tiempo en que el
servicio está disponible para su uso.
Resguardo: Evita consecuencias catastróficas.
Seguridad: Protección contra intrusos.
52. 1950 y 1960: Inicia en plena revolución tecnológica.
1969: Proyecto ARPANET crea la primera red de
computadoras basadas en clúster.
HISTORIA
DEL
CLÚSTER
Tomado de: WIKIPEDIA
Enlace: https://es.wikipedia.org/
wiki/Cl%C3%BAster_(inform%C
3%A1tica)
1977: Primer clúster ARCnet, desarrollado por
Datapoint, obtuvo éxito en 1984 con la creación
sistema operativo VAX/VMS (fiabilidad de data).
1994: Desarrollo un clúster (Tándem Himalaya) de
alta disponibilidad.
1995: Beowulf invento un clúster para una granja
de computación (producto básico de la red).
1990: El término «cluster» fue acuñado por Porter
en su estudio sobre la ventaja competitiva de las
naciones en Himalaya.
54. CONCLUSIONES
Los sistemas tolerantes a fallos pueden ser de la mejor
calidad, pero siempre habrá problemas y fallas que los hará
vulnerables, uno de esos principales problemas es la
intervención humana.
El sistema de almacenamiento RAID ofrece una buena
solución guardar datos de forma fiable y segura.
La tecnología RAID permite mejorar el tiempo de
funcionamiento, así como el rendimiento de ciertas
aplicaciones.
Los clúster alternativa para aplicaciones gran capacidad de
procesamiento, porque ofrece alta disponibilidad.
55. Bibliografía
Administración de sistemas Operativos en la Red
Enlace: https://asorufps.wikispaces.com/Software+de+Servidor
Los servidores
Enlace: https://youtu.be/AsJWIxh84No
¿Qué es un servidor web y qué soluciones de software existen?
Enlace: https://www.1and1.mx/digitalguide/servidores/know-how/servidor-web-
definicion-historia-y-programas/
Desarrollo de Aplicaciones Web II - Sesión 08: Sesiones y Cookies
Enlace: https://es.slideshare.net/difagram/desarrollo-de-aplicaciones-web-ii-sesin-08-
sesiones-y-cookies
Seguridad en Redes Inalámbricas
Enlace: http://www.convosenlaweb.gob.ar/media/1226625/seguridadwifi.pdf
¿Qué ocurre cuándo te conectas a una red WiFi pública?
Enlace: http://www.ticbeat.com/seguridad/que-ocurre-cuando-te-conectas-a-una-
red-wifi-publica/
56. Bibliografía
Wikipedia. La Enciclopedia Libre.
Enlace: https://es.wikipedia.org/wiki/Alta_disponibilidad#Conceptos_relacionados
Ramos, Danny. Alta Disponibilidad. Emaze.
Enlace: https://www.emaze.com/@ALFRZQLF/Alta-Disponibilidad
IBM® Knowledge Center. Alta Disponibilidad.
Enlace:
https://www.ibm.com/support/knowledgecenter/es/SSLKT6_7.6.0/com.ibm.mbs.doc/gp_highava
il/c_overview_ha.html
Ramos, Danny. Alta Disponibilidad. Emaze.
Enlace: https://www.emaze.com/@ALFRZQLF/Alta-Disponibilidad
Wikipedia Enciclopedia
Enlace: https://es.wikipedia.org/wiki/Alta_disponibilidad#C.C3.A1lculos_porcentuales
Emreson Process Managenment.
Enlace:
http://www2.emersonprocess.com/siteadmincenter/PM%20Central%20Web%20Documents/B
usSch-OEE_102es.pdf
57. Bibliografía
¿En qué consiste la configuración de discos duros en RAID?
Enlace: https://hipertextual.com/archivo/2014/01/que-es-raid-discos-duros/
Wikipedia: Red de Área de Almacenamiento:
http://es.wikipedia.org/wiki/Storage_Area_Network]
Wikipedia: Network Attached Storage:
[http://es.wikipedia.org/wiki/Networkattached_storage]
Sistemas RAID Conceptos básicos
http://www.eslared.org.ve/walc2012/material/track5/sistemas_RAID.pdf
Historia Clúster (informático)
https://es.wikipedia.org/wiki/Cl%C3%BAster_(inform%C3%A1tica)#Historia
Otros enlaces