301402_3_juanospina

8/10/2019 301402_3_JuanOspina

http://slidepdf.com/reader/full/3014023juanospina 1/14

MOMENTO FINAL DEL CURSO

JUAN CARLOS OSPINA REYESCódigo: 14297426

SISTEMAS OPERATIVOSGrupo: 301402_3

INSTITUCIÓN EDUCATIVA

Universidad Nacional Abierta y a Distancia – UNAD

BOGOTA – 30 NOVIEMBRE 2014

8/10/2019 301402_3_JuanOspina


MOMENTO FINAL DEL CURSO Página 2SISTEMAS OPERATIVOSCódigo 301402_3

CONTENIDO

INTRODUCCION ............................................................................................... 3 MOMENTO FINAL DEL CURSO ........................................................................ 4

Seguridad física .............................................................................................. 4 Protección del hardware.............................................................................. 5

Protección de los datos .................................................................................. 9

Eavesdropping ............................................................................................ 9

Copias de seguridad ................................................................................. 10 Soportes no electrónicos ........................................................................... 10

CONCLUSIONES ............................................................................................. 13 REFERENTES BIBLIOGRÁFICOS .................................................................. 14

8/10/2019 301402_3_JuanOspina



INTRODUCCION

Esta modalidad a distancia crea al estudiante un aprendizaje significativo, demanera autónoma, para mi es una experiencia enriquecedora ya que muestralas diferentes oportunidades para aprender a conocernos a nosotros mismos,intercambiar información, en la medida en que avanza el curso, realizar unaconstrucción participativa de cada uno de nuestros proyectos.

El desarrollo de esta actividad busca realizar una buena interacción del grupocolaborativo para conocerse unos a otros e identificar sus gustos,características, proyección y expectativas que se tienen al realizar este cursoacadémico.

Debido a que el uso de Internet se encuentra en aumento, cada vez máscompañías permiten a sus socios y proveedores acceder a sus sistemas deinformación. Por lo tanto, es fundamental saber qué recursos de la compañía

necesitan protección para así controlar el acceso al sistema y los derechos delos usuarios del sistema de información. Los mismos procedimientos se aplicancuando se permite el acceso a la compañía a través de Internet.

8/10/2019 301402_3_JuanOspina



MOMENTO FINAL DEL CURSO

Problema:

Después de realizado los momentos uno, dos y tres de la empresa dondeactualizamos la infraestructura tecnológica, solucionamos los problemas deproceso y actualización de los sistemas operativos tanto para cliente como paraservidor, surge un problema macro y está relacionado con requerir un sistemasrobusto de seguridad y protección ideal para un sistema operativo, teniendo encuenta que tienen que proteger el sistema operativo contra alguien o algo.

Producto:

EL grupo debe entregar un producto donde d describa el sistema de seguridady protección tanto físico como lógico para la empresa Suministros S.Adedicadas a la exportación de repuestos de vehículos.

Es importante que realicen un diseño físico de cómo quedaría el sistema deseguridad y protección para la empresa.

Seguridad física

Cuando hablamos de seguridad física nosreferimos a todos aquellos mecanismos --generalmente de prevención y detección--destinados a proteger físicamentecualquier recurso del sistema; estosrecursos son desde un simple tecladohasta una cinta de backup con toda lainformación que hay en el sistema,

pasando por la propia CPU de la máquina.Dependiendo del entorno y los sistemas aproteger esta seguridad será más o

menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.

A continuación mencionaremos algunos de los problemas de seguridad físicacon los que nos podemos enfrentar y las medidas que podemos tomar paraevitarlos o al menos minimizar su impacto.

8/10/2019 301402_3_JuanOspina



Protección del hardwareEl hardware esfrecuentemente elelemento más carode todo sistemainformático y portanto las medidasencaminadas aasegurar suintegridad son unaparte importante dela seguridad físicade cualquierorganización.

Problemas a los que nos enfrentamos:

Acceso físico

Desastres naturales

Alteraciones del entorno

A cc es o físi co

Si alguien que deseeatacar un sistema tieneacceso físico al mismotodo el resto de medidasde seguridad implantadasse convierten en inútiles.

De hecho, muchosataques son entoncestriviales, como porejemplo los dedenegación de servicio; siapagamos una máquinaque proporciona unservicio es evidente quenadie podrá utilizarlo.

8/10/2019 301402_3_JuanOspina



Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datospodemos copiar los ficheros o robar directamente los discos que los contienen.

Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar elcontrol total del mismo, por ejemplo reiniciándolo con un disco de recuperaciónque nos permita cambiar las claves de los usuarios.

Este último tipo de ataque es un ejemplo claro de que la seguridadde todos los equipos es importante, generalmente si se controla el PC de unusuario autorizado de la red es mucho más sencillo atacar otros equipos de lamisma.

Para evitar todo este tipo de problemas deberemos implantar mecanismosde prevención (control de acceso a los recursos) y de detección (si unmecanismo de prevención falla o no existe debemos al menos detectar losaccesos no autorizados cuanto antes).

Para la prevención hay soluciones para todos los gustos y de todos losprecios:

analizadores de retina, tarjetas inteligentes, videocámaras, vigilantes jurados,

En muchos casos es suficiente con controlar el acceso a las salas y cerrarsiempre con llave los despachos o salas donde hay equipos informáticos y notener cableadas las tomas de red que estén accesibles.

Para la detección de accesos se emplean medios técnicos, como cámaras devigilancia de circuito cerrado o alarmas, aunque en muchos entornos essuficiente con qué las personas que utilizan los sistemas se conozcan entre si ysepan quien tiene y no tiene acceso a las distintas salas y equipos, de modoque les resulte sencillo detectar a personas desconocidas o a personas

conocidas que se encuentran en sitios no adecuados.

8/10/2019 301402_3_JuanOspina



D e s a s t r e s n a t u r a l e s

Además de los posibles problemas causados por ataques realizados porpersonas, es importante tener en cuenta que también los desastresnaturales pueden tener muy graves consecuencias, sobre todo si no loscontemplamos en nuestra política de seguridad y su implantación.

Algunos desastres naturales a tener en cuenta:

Terremotos y vibraciones Tormentas eléctricas Inundaciones y humedad Incendios y humos

Los terremotos son el desastre natural menos probable en la mayoría deorganismos ubicados en España, por lo que no se harán grandes inversionesen prevenirlos, aunque hay varias cosas que se pueden hacer sin undesembolso elevado y que son útiles para prevenir problemas causados porpequeñas vibraciones:

No situar equipos en sitios altos para evitar caídas, No colocar elementos móviles sobre los equipos para evitar que caigan

sobre ellos, Separar los equipos de las ventanas para evitar que caigan por ellas o

qué objetos lanzados desde el exterior los dañen,

Utilizar fijaciones para elementos críticos, Colocar los equipos sobre plataformas de goma para que esta absorbalas vibraciones,

A l t e r a c i o n e s d e l e n t o r n o

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones queafecten a nuestros sistemas que tendremos que conocer e intentar controlar.

Deberemos contemplar problemas que pueden afectar el régimen defuncionamiento habitual de las máquinas como la alimentación eléctrica, elruido eléctrico producido por los equipos o los cambios bruscos detemperatura.

Electricidad

Quizás los problemas derivados del entorno de trabajo más frecuentes son losrelacionados con el sistema eléctrico que alimenta nuestros equipos;cortocircuitos, picos de tensión, cortes de flujo ...

8/10/2019 301402_3_JuanOspina



Para corregir los problemas con las subidas de tensión podremos instalartomas de tierra o filtros reguladores de tensión.

Para los cortes podemos emplear Sistemas de Alimentación

Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo decorriente constante, evitando las subidas y bajadas de tensión. Estos equiposdisponen de baterias que permiten mantener varios minutos los aparatosconectados a ellos, permitiendo que los sistemas se apaguen de formaordenada (generalmente disponen de algún mecanísmo para comunicarse conlos servidores y avisarlos de que ha caido la línea o de que se ha restauradodespués de una caida).

Por último indicar que además de los problemas del sistema eléctrico tambiéndebemos preocuparnos de la corriente estática, que puede dañar los equipos.Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores ytener cuidado de no tocar componentes metálicos, evitar que el ambiente estéexcesivamente seco, etc.

Ruido eléctrico

El ruido eléctrico suele ser generado por motores o por maquinaria pesada,pero también puede serlo por otros ordenadores o por multitud de aparatos, yse transmite a través del espacio o de líneas eléctricas cercanas a nuestrainstalación.

Para prevenir los problemas que puede causar el ruido eléctrico lo más baratoes intentar no situar el hardware cerca de los elementos que pueden causar elruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtoso apantallar las cajas de los equipos.

Temperaturas extremas

No hace falta ser un genio para comprender que las temperaturas extremas, yasea un calor excesivo o un frio intenso, perjudican gravemente a todos losequipos. En general es recomendable que los equipos operen entre 10 y 32grados Celsius. Para controlar la temperatura emplearemos aparatos de aireacondicionado.

8/10/2019 301402_3_JuanOspina



Protección de los datos

Además proteger el hardware nuestra política de seguridad debe incluirmedidas de protección de los datos, ya que en realidad la mayoría de ataquestienen como objetivo la obtención de información, no la destrucción del mediofísico que la contiene.

En los puntos siguientes mencionaremos los problemas de seguridad queafectan a la transmisión y almacenamiento de datos, proponiendo medidaspara reducir el riesgo.

EavesdroppingLa interceptación o eavesdropping, también conocida por ''passive wiretapping''es un proceso mediante el cual un agente capta información que va dirigida aél; esta captación puede realizarse por muchísimos medios: sniffing en redesethernet o inalámbricas (un dispositivo se pone en modo promiscuo y analizatodo el tráfico que pasa por la red), capturando radiaciones electromagnéticas(muy caro, pero permite detectar teclas pulsadas, contenidos de pantallas, ...),etc.

El problema de este tipo de ataque es que en principio es completamentepasivo y en general difícil de detectar mientras se produce, de forma que unatacante puede capturar información privilegiada y claves que puede emplearpara atacar de modo activo.

Para evitar que funcionen los sniffer existen diversas soluciones, aunque alfinal la única realmente útil es cifrar toda la información que viaja por la red (seaa través de cables o por el aire). En principio para conseguir esto se deberíanemplear versiones seguras de los protocolos de uso común, siempre y cuandoqueramos proteger la información. Hoy en día casi todos los protocolosbasados en TCP permiten usar una versión cifrada mendiante el uso del TLS.

8/10/2019 301402_3_JuanOspina



Copias de seguridadEs evidente que es necesario establecer una política adecuada de copias deseguridad en cualquier organización; al igual que sucede con el resto deequipos y sistemas, los medios donde residen estas copias tendrán que estarprotegidos físicamente; de hecho quizás deberíamos de emplear medidas másfuertes, ya que en realidad es fácil que en una sola cinta haya copias de lainformación contenida en varios servidores.

Lo primero que debemos pensar es dónde se almacenan los dispositivos dondese realizan las copias. Un error muy habitual es almacenarlos en lugares muycercanos a la sala de operaciones, cuando no en la misma sala; esto, que enprincipio puede parecer correcto (y cómodo si necesitamos restaurar unosarchivos) puede convertirse en un problema serio si se produce cualquier tipo

de desastre (como p. ej. un incendio). Hay que pensar que en general elhardware se puede volver a comprar, pero una pérdida de información puedeser ireemplazable.

Así pues, lo más recomendable es guardar las copias en una zona alejada dela sala de operaciones; lo que se suele recomendar es disponer de variosniveles de copia, una que se almacena en una caja de seguridad en un lugaralejado y que se renueva con una periodicidad alta y otras de uso frecuenteque se almacenan en lugares más próximos (aunque a poder ser lejos de lasala donde se encuentran los equipos copiados).

Soportes no electrónicosOtro elemento importante en la protección de la información son los elementosno electrónicos que se emplean para transmitirla, fundamentalmente el papel.Es importante que en las organizaciones que se maneje informaciónconfidencial se controlen los sistemas que permiten exportarla tanto en formatoelectrónico como en no electrónico (impresoras, plotters, faxes, teletipos, ...).

Cualquier dispositivo por el que pueda salir información de nuestro sistema hade estar situado en un lugar de acceso restringido; también es conveniente que

sea de acceso restringido el lugar donde los usuarios recogen los documentosque lanzan a estos dispositivos.

Además de esto es recomendable disponer de trituradoras de papel paradestruir todos los papeles o documentos que se quieran destruir, ya queevitaremos que un posible atacante pueda obtener información rebuscando ennuestra basura.

8/10/2019 301402_3_JuanOspina



Factor de diseño Criterios

Seguridad –autenticación sólida de los clientes inalámbricos. –control de acceso que solamente permita el acceso de red a clientesautorizados. –cifrado eficaz del tráfico de red inalámbrica. –administración segura de las claves de cifrado. –resistencia a ataques de denegación de servicio.

Escalabilidad Diseño básico con escalabilidad ascendente y descendente para abarcarun amplio espectro de tamaños de organización

–Número mínimo/máximo deusuarios admitidos

–de 0 a 15000 (o más) usuarios de WLAN. –de 0 a 15000 (o más) usuarios de certificados.

–Número de sitios admitidos –múltiples sitios grandes, con controladores de dominio de autenticación

locales y servicio de autenticación de Internet (IAS, Internet Authentication Service) de Microsoft, admitidos con resistencia a erroresde red de área extensa (WAN, Wide Area Network). –múltiples sitios pequeños admitidos sin resistencia a errores de WAN.

Reutilización de componentes (usode la infraestructura existente)

Utilización de Active Directory, servicios de red y clientes con MicrosoftWindows® XP

Reutilización de componentes(capacidad de uso por parte deaplicaciones futuras)

–compatibilidad con otras aplicaciones de acceso a la red (acceso a redpor cable 802.1X y VPN) mediante la infraestructura de autenticación. –compatibilidad con una amplia variedad de aplicaciones, como elsistema de archivos cifrados (EFS, Encrypting File System) y VPN,mediante PKI.

Disponibilidad Resistencia a errores de componentes individuales o de vínculo de red

Extensibilidad –extensible para admitir capacidad y normas futuras (por ejemplo,802.11i, WPA y 802.11a para WLAN). –infraestructura de servicios de Certificate Server extensible para admitirla mayoría de los usos comunes de certificados de claves públicas(correo electrónico seguro, inicio de sesión con tarjeta inteligente, firmade código y Seguridad de servicio Web, entre otros).

Capacidad de administración Integración con las soluciones de administración corporativa existentes(incluye la supervisión del sistema y del servicio, la creación de copias deseguridad, la administración de la configuración, etc.)

Estructura de la organización de TI Favorece las TI centralizadas (departamento con un mínimo de cincoempleados y, normalmente, con 20 o 30 empleados de TI)

Cumplimiento de las normas Cumplimiento de los principales estándares actuales y oferta de una rutade migración clara a futuras normas importantes

8/10/2019 301402_3_JuanOspina



8/10/2019 301402_3_JuanOspina



CONCLUSIONES

Con el desarrollo de esta actividad se logró un aprendizaje muy vital de cómoadministrar los recursos de un sistema operativos con el fin de plantearsoluciones a problemas de la vida cotidiana que serán de soporte a las nuevasexperiencias como Ingeniero de Sistemas.

La seguridad informática, es el área de la informática que se enfoca en la

protección de la infraestructura computacional y todo lo relacionado con esta(incluyendo la información contenida). Para ello existen una serie deestándares, protocolos, métodos, reglas, herramientas y leyes concebidaspara minimizar los posibles riesgos a la infraestructura o a la información. Laseguridad informática comprende software, bases de datos, metadatos,archivos y todo lo que la organización valore (activo) y signifique un riesgo siésta llega a manos de otras personas. Este tipo de información se conocecomo información privilegiada o confidencial.

8/10/2019 301402_3_JuanOspina



REFERENTES BIBLIOGRÁFICOS

Campus virtual, curso SISTEMAS OPERATIVOS. Modulo trabajo académico a distancia, universidad nacional abierta y a

distancia – UNAD. Bogotá http://es.kioskea.net/contents/622-introduccion-a-la-seguridad-

informatica http://manglar.uninorte.edu.co/jspui/bitstream/10584/2217/1/Sistemas%2

0de%20gesti%C3%B3n%20empresarial%20-%20Norma%20ANSI.pdf

http://es.kioskea.net/contents/622-introduccion-a-la-seguridad-informatica





http://manglar.uninorte.edu.co/jspui/bitstream/10584/2217/1/Sistemas%20de%20gesti%C3%B3n%20empresarial%20-%20Norma%20ANSI.pdf









301402_3_juanospina

Documents