Diferència entre revisions de la pàgina «UF1-NF1. Informació i dades»

De Wiki IES Marianao. Departament Informàtica
Dreceres ràpides: navegació, cerca
(Transmetre dades xifrades)
(Còpies de seguretat)
 
(Hi ha 40 revisions intermèdies del mateix usuari que no es mostren)
Línia 6: Línia 6:
  
  
=== Xifratge. Criptografia ===
+
=== Xifratge. Criptografia (Confidencialitat i Integritat) ===
  
 
La criptografia consisteix en modificar un text (informació, dades) usant un algorisme, aquest algorisme també permet recuperar el text inicial. El text inicial es converteix en un text xifrat (criptograma). Es tracta d'aconseguir que la informació només sigui accessible als usuaris autoritzats.
 
La criptografia consisteix en modificar un text (informació, dades) usant un algorisme, aquest algorisme també permet recuperar el text inicial. El text inicial es converteix en un text xifrat (criptograma). Es tracta d'aconseguir que la informació només sigui accessible als usuaris autoritzats.
Línia 32: Línia 32:
  
  
 +
Així doncs, aquesta tècnica s'usa principalment per a l'emmagatzematge xifrat. Informació a la que només té accés un únic usuari (qui té la clau).
  
 
Exemples d'algorismes són:
 
Exemples d'algorismes són:
Línia 39: Línia 40:
 
*AES (Advanced Encryption Standard), clau de 128, 192 o 256 bits.
 
*AES (Advanced Encryption Standard), clau de 128, 192 o 256 bits.
 
*IDEA (International Data Encryption Algorithm), clau de 128.
 
*IDEA (International Data Encryption Algorithm), clau de 128.
 
  
 
==== Criptografia asimètrica (de clau pública) ====
 
==== Criptografia asimètrica (de clau pública) ====
Línia 54: Línia 54:
  
 
Els inconvenients principals són:
 
Els inconvenients principals són:
* La lentitud
+
* La lentitud (1/1000 estimació)
 
* La clau és més gran
 
* La clau és més gran
 
* El missatge també ocupa més
 
* El missatge també ocupa més
Línia 62: Línia 62:
 
* RSA (Rivest, Shamir y Adleman)
 
* RSA (Rivest, Shamir y Adleman)
 
* DSA (Digital Signature Algorithm)
 
* DSA (Digital Signature Algorithm)
 
  
 
==== Criptografia Híbrida ====
 
==== Criptografia Híbrida ====
Línia 76: Línia 75:
  
  
 +
Existeixen diferents possibilitats alhora de xifrar la informació emmagatzemada en el sistema de fitxers.
  
http://acacha.org/mediawiki/index.php/Criptografia
+
* '''Eines''' de xifratge que ofereixen les pròpies '''aplicacions''', Paquets d'office o Compressors per exemple. En general aquests xifratges són febles.
  
http://acacha.org/mediawiki/index.php/Criptografia_de_clau_p%C3%BAblica._PKI
+
Per exemple
  
http://acacha.org/mediawiki/index.php/Xifrar_el_sistema_de_fitxers
+
http://rarcrack.sourceforge.net/
  
 +
Els documents OpenOffice també es poden encriptar (desar amb contrasenya).
  
 +
* '''Eines específiques''' de xifratge que permeten codificar fitxers i directoris. Inconvenients són que cal indicar la clau cada vegada que es vol accedir a la informació, si es vol compartir cal compartir també la clau. Inclús un pot pensar que si xifra tot el seu directori d'usuari està segur, però molta informació es guarda en altres ubicacions, directoris temporals, cachés, etc...
  
The simple solution to these problems is file encryption. But this solution is flawed for several reasons:
+
http://www.truecrypt.org/
  
Encryption within programs is generally weak to the point of uselessness due to U.S. export regulations.
 
  
Encryption outside programs requires explicit actions to decrypt and to re-encrypt. This problem may be manageable if a file needs to be accessed only by a single user, but it's a much more difficult problem if several people need to share access.
+
* Xifrar '''tot el el Sistema de Fitxers'''. Aquests mecanisme permet que el xifratge sigui transparent a l'usuari, mentre que la informació del disk està codificada, qualsevol que accedeixi físicament al disc no podrà obtenir-ne informació. El SO és l'encarregat del procés de codificació - decodificació entre usuari i hardware.
  
Explicit encryption requires sharing the password, and the more people who have the password, the more likely it becomes that someone will jot it down in an obvious location.
 
  
Explicit encryption may enable a disgruntled employee to encrypt the files with a different password.
+
https://help.ubuntu.com/community/EncryptedFilesystemHowto
  
Decrypting a file increases the risk that unencrypted versions will remain on the disk or on backup media.
+
http://tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/
Our solution is to encrypt the entire file system. User programs see a regular file system—perhaps even a file system that natively supports encryption. An attacker who can only see the physical disk sees garble.
 
  
This approach is not perfect. Most notably, some implementations could leave decrypted data visible in the disk cache. That is a minor problem with the cache in core (if an attacker has compromised root, you have more serious problems), but a major problem if these pages get written to swap.
+
Atenció als apartats
 +
* How many bits should the key used by the algorithm have?
 +
* So How Do I Encrypt My Home Directory?
  
On the other hand, the kernel ensures that disk sectors are decrypted during reads and re-encrypted during writes. The impact on users is minimal. In one practical scenario, a “responsible individual” will mount the encrypted file system in the morning. (This requires the encryption key.) In the evening, the last person to leave could unmount the file system, or it could be automatically unmounted by a cron job.
 
  
 +
Els sistemes Windows (NTFS) permeten el xifratge a través del servei EFS (Encrypting File System). Aquesta funcionalitat és transparent a l'usuari.
  
 +
http://www.evidalia.es/trucos/index_v2-290-10.html
  
https://help.ubuntu.com/community/EncryptedFilesystemHowto
 
  
Apartats
+
A Linux també existeixen eines integrades en els navegadors d'arxius que permeten xifrar carpetes o fitxer de manera ràpida i senzilla.
How many bits should the key used by the algorithm have?
 
  
So How Do I Encrypt My Home Directory?
+
http://www.liberiangeek.net/2010/10/create-encrypted-files-folders-ubuntu-10-0410-10-maverick-meerkat-seahorse/
  
NTFS
 
  
 +
Altres eines són: cryptkeeper, EncFS, Crypt Manager
  
L’encriptació sobre sistemes de fitxers NTFS funciona a partir de l’execució
+
==== Transmetre dades xifrades ====
del servei EFS (encriptació del sistema de fitxers), CryptoAPI (una API
 
d’encriptació de Microsoft) i una llibreria en temps d’execució del sistema
 
de fitxers encriptat (FSRTL).
 
El sistema de fitxers encriptat encripta els fitxers mitjançant una clau simètrica
 
(clau d’encriptació de fitxer), que implica que es fan servir claus
 
semblants tant per a l’encriptació com per a la desencriptació, la qual cosa
 
permet l’encriptació i la desencriptació de grans quantitats de dades en
 
menys temps que en el cas que féssim servir claus asimètriques.
 
La clau simètrica que es fa servir per encriptar el fitxer s’encripta mitjançant
 
una clau pública, que està associada amb l’usuari que ha encriptat el
 
fitxer, i aquestes dades encriptades es desen en un flux de dades alternatiu
 
associat al fitxer encriptat.
 
Per tal de desencriptar el fitxer, el sistema de fitxers fa servir una clau privada
 
de l’usuari, per tal de desencriptar la clau simètrica que està desada en la
 
capçalera de l’arxiu. Després, fa servir la clau simètrica per desencriptar el fitxer.
 
Com que això es fa en el nivell del sistema de fitxers, és transparent a
 
l’usuari, és a dir, aquest no ha de controlar ni conèixer el funcionament
 
d’aquest procés. A més a més, en cas que l’usuari perdi l’accés a la clau, el sistema
 
de fitxers encriptat suporta més claus d’encriptació, de manera que encara
 
es poden recuperar les dades emmagatzemades.
 
  
  
  
UNIX
+
'''SSL i TLS'''
  
 +
Secure Sockets Layer (SSL) i Transport Layer Security (TLS) són una parella de protocols de xifratge de comunicacions de xarxa. TLS és el successor de SSL.
  
Encriptar les dades crítiques del sistema. Es pot encriptar un fitxer, un
+
Aquests protocols funcionen entre la capa de transport i aplicació (Pila [[UF1-NF1._Model_TCP/IP | TCP/IP]]), xifrant els segments generats per les aplicacions. Així del nivell de xarxa fins al nivell físic tota la informació està xifrada i així es transmet. El procés de codificació / decodificació només té lloc en emissor / receptor respectivament.
conjunt de fitxers, directoris o un disc dur sencer, per evitar que altres
 
persones no autoritzades puguin accedir a la informació que hi ha en el
 
disc. Es poden triar diferents algorismes d’encriptació, però el més popular
 
és l’AES, que es fa servir en organismes governamentals. En un
 
sistema basat en UNIX, això es pot fer mitjançant l’especificació d’un
 
conjunt de paràmetres a l’hora de muntar el sistema de fitxers arrel si
 
encriptem el sistema de fitxers sencer, o bé fent servir eines específiques
 
per encriptar un conjunt d’arxius i/o directoris. També hi ha la
 
possibilitat de fer servir sistemes de fitxers específics optimitzats per
 
a l’encriptació de totes les dades del sistema
 
  
 +
El funcionament bàsic comença amb la negociació entre client i servidor (protocols que suporten els dos per exemple), després intercanvien claus publiques (clau pública '''asimètrica'''), amb la clau pública del servidor el client xifra un número que servirà per codificar (clau privada '''simètrica''') les dades transmeses.
  
  
 +
Addicionalment donat que el servidor gestiona les claus, aquest també pot garantir la seva identitat (identificació i autenticació). En alguns casos el servidor pot demanar també identificació al client i aquest li envia la seva clau pública o certificat digital. ( [[UF2-NF1._Atacs_i_contramesures_en_sistemes_personals#Seguretat_en_la_connexi.C3.B3_amb_xarxes_p.C3.BAbliques | Seguretat en la connexió amb xarxes públiques]])
  
  
 +
Aquests protocols s'integren a d'altres protocols d'aplicació per integrar-ne seguretat, mail (pop3, imap, smtp), navegació (http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure https).
  
Encriptar Carpetas Ubuntut
 
  
Instalamos ecryptfs:
+
'''SSH (Secure SHell)'''
$ sudo apt-get install ecryptfs-utils
 
Configuramos:
 
$ ecryptfs-setup-private
 
  
Leer más:  http://www.laconsolablog.com/2008/10/29/carpeta-encriptada-en-ubuntu-810/#ixzz1UuYP6zaa
 
Under Creative Commons License: Attribution Share Alike
 
  
 +
Fa referència tant al protocol com al programa, i inicialment serveix per a connexions remotes segures (terminal remota) en contraposició a '''telnet'''. També permet copiar fitxers (SCP -> Secure Copy i SFTP -> SSH File Transfer Protocol) inclús executar aplicacions gràfiques (paràmetre -X).
  
 +
Treballa a través del port 22 TCP. Utilitza xifratge asimètric RSA. El programa SSH està integrat en els intèrprets de comandes de Linux, existeixen clients per a Sistemes Windows com [http://www.chiark.greenend.org.uk/%7Esgtatham/putty PuTTY]. La implementació lliure OpenSSH és l'estàndard de facto.
  
Re: nautilus encrypt folder
+
[[Fitxer: ssh01.png]]
  
Go to «Applications -> Accessories -> Passwords and Encryption Keys» and create a PGP-key.
 
http://www.liberiangeek.net/2010/10/create-encrypted-files-folders-ubuntu-10-0410-10-maverick-meerkat-seahorse/
 
  
 +
[[Fitxer: ssh02.png]]
  
Altres: truecrypt, cryptkeeper. EncFS, Crypt Manager, cipher.exe
+
El client es connecta al servidor usant un dels comptes d'usuari d'aquest i manté els mateixos privilegis. Una vegada connectat es pot fer qualsevol comanda del sistema operatiu, el protocol es treballa a base de comandes, per exemple
  
 +
<pre>
 +
$ssh hostname // Connexió amb el mateix usuari / password local
 +
$ssh username@hostname // Connexió amb un usuari concret
 +
$ssh -p port username@hostname  // Connexió a un port diferent
 +
// Copiar des de el servidor a la màquina local
 +
$scp usuari@adreça_servidor:ruta_fitxer_origen ruta_fitxer_local
 +
// Copiar des de la màquina local al servidor
 +
$scp ruta_fitxer_local usuari@adreça_servidor:ruta_fitxer_desti
 +
$ssh -X username@hostname aplicacio // Executar aplicació gràfica al servidor
 +
$exit
 +
</pre>
  
http://en.wikipedia.org/wiki/Password_cracking
 
  
==== Transmetre dades xifrades ====
+
'''Tunneling protocol'''
  
  
Tunnels TLS, SSL (A nivell de xarxa), IP Sec (A nivell de xarxa)
+
S'anonema ''tunneling'' quan un protocol encapsula les dades d'un altre. Algunes aplicacions i protocols no integren l'ús de protocols segurs (xifrats) i en aquests casos es poden fer servir tècniques de ''tunneling'' per transportar  la informació. Les VPN's també utilitzen aquest mecanisme.
  
  
A nivell aplicació
+
Exemples:
 
+
*Nivell d'aplicació (Orientat a connexió, fluxe)
Protocols SSH, SFTP, HTTPS, RTP, alguns protocols de VoIP
+
**Tunnels TLS, SSL: aplicacions com [http://www.stunnel.org/ Stunnel], OpenVPN
 
+
**Túnels SSH,
No segurs Telnet, FTP, HTTP
+
*Nivell de xarxa, Internet (Orientat a datagrama)
 +
**IP Sec (Internet Protocol Security). El xifratge es produeix a nivell de xarxa i s'aplica a cadascun dels paquets (datagrames). L'avantatge principal és que és totalment transparent per a les aplicacions, no cal configurar-les. Té dos modes d'operació possible depenent de l'ús que se'n vulgui fer http://en.wikipedia.org/wiki/IPsec#Modes_of_operation.
 +
  
 +
http://docs.cs.byu.edu/general/ssh_tunnels.html#sending-ssh-through-the-tunnel
  
Xarxes Wi-Fi
+
http://www.makeuseof.com/tag/how-to-tunnel-traffic-with-ssh/
  
WEP WPA
+
http://linuxgazette.net/107/odonovan.html
  
http://www.monografias.com/trabajos18/protocolo-wep/protocolo-wep.shtml
+
http://www.bl.physik.uni-muenchen.de/rechner/h_ssltunnel.html
  
 +
http://www.freebsd.org/doc/es/books/handbook/ipsec.html
  
http://sectools.org/crackers.html
+
http://es.wikipedia.org/wiki/OpenVPN#Comparaci.C3.B3n_entre_OpenVPN_e_IPsec_VPN
  
=== Mitjans d'emmagatzematge ===
+
=== Mitjans d'emmagatzematge (Integritat i Disponibilitat) ===
  
Enregistren informació de manera permanent
+
Els dispositius d'emmagatzematge permeten enregistrar la informació de manera permanent. Es poden classificar per exemple:
  
 
Segons el tipus
 
Segons el tipus
Línia 215: Línia 198:
 
* Terciaris: Cintes.
 
* Terciaris: Cintes.
 
* Fora de línia: Memòries externes
 
* Fora de línia: Memòries externes
* En xarxa o distribuïts:
+
* En xarxa o distribuïts.
  
  
===== Sistemes de fitxers =====
+
==== Polítiques d'emmagatzematge.====
  
Indicar si admeten encriptació o no
 
  
 +
La informació és valuosa i sempre es troba emmagatzemada físicament a un o varis llocs (replicada). Perdre aquesta informació o l'accés temporalment pot suposar un cost important en diners i temps.
  
* FAT: No
+
Alhora garantir l'accés autoritzat a la informació també és un factor a tenir en compte.
* NTFS: Si
 
* EXT2 i 3
 
* REISERFS
 
*
 
* En xarxa: NFS, SMB
 
  
  
=====  Sistemes d'emmagatzematge en xarxa =====
+
[[ Fitxer: riscos.gif ]]
  
, NAS (network attached storage)
 
  
===== Sistemes d'emmagatzematge Redundant =====
+
Unes normes alhora de decidir com i on s'emmagatzema la informació:
 +
* Confiable, minimitzar els riscos. Bons equipaments, en bon estat, revisions, controls, monitoratge.
 +
* Còpies en ubicació remota, o com a mínim allunyada de la ubicació principal.
 +
* Sistemes de recuperació ràpids.
 +
* Definir normes i protocols corporatius respecte l'emmagatzematge d'informació (en local, en xarxa, en dispositius externs, les còpies de seguretat)
  
RAID
 
  
Els sistemes d’emmagatzematge redundant s’implementen mitjançant el
 
que s’anomena RAID (redundant array of independent/inexpensive disk)
 
  
Quan múltiples discos físics formen part d’un RAID, el sistema operatiu
+
A vegades també és necessari eliminar la informació completament del disc. Esborrar fitxers o directoris de la manera convencional no esborra les dades físicament dels discs, només la informació per accedir-hi, l'espai que ocupava es marca com lliure. Així es relativament fàcil recuperar dades esborrades mentre sigui recentment.
els veu com un de sol.
 
  
  
L’objectiu del RAID consisteix a dividir i replicar la informació entre
+
Existeixen programes que permeten esborrar (realment) les dades del disc.
diferents discos durs i, a part d’incrementar la fiabilitat de la
 
transferència, també en pot augmentar la velocitat.
 
  
 +
Recuperació
 +
*[[Media : restoration.rar | Restorarion]]. Molt senzill, recupera arxius esborrats (Windows)
 +
* ddrecue. (Linux)
 +
* Mondo Rescue. (Linux)
 +
* [http://www.piriform.com/recuva Recuva]. (Windows)
 +
* [http://www.cgsecurity.org/wiki/TestDisk TestDisk]. (Multiplataforma)
 +
* R-Linux
 +
* [http://www.webupd8.org/2009/03/recover-deleted-files-in-ubuntu-debian.html Scalpel i Foremost]. (Linux)
 +
* [http://www.symantec.com/connect/articles/data-recovery-linux-and-ext3 Tutorial recuperació linux]
  
  
 +
Esborrat
 +
* [http://www.heidi.ie/eraser Eraser] (Windows)
 +
* DeleteOnClick. integrat Explorer (Windows)
 +
* Comanda shred. (Linux)
 +
* Secure-delete. (Linux)
  
 +
http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in-linux/
  
*Redundància
 
** Replicació de la informació en varis discs (mirroring)
 
** Addició d'informació de paritat
 
  
Si falla un disc no hi ha pèrdua de dades
+
Dos dels mecanismes principals per garantir la integritat i la disponibilitat de la informació són:
 +
*RAID
 +
*Còpies de seguretat
  
RAID es divideix en nivells
+
==== Sistemes d'emmagatzematge Redundant ====
  
RAID 0. Stripping
+
RAID. Els sistemes d’emmagatzematge redundant anomenats RAID (redundant array of independent/inexpensive disk), consisteixen en múltiples discos físics que el sistema operatiu veu com un de sol.
...
 
  
 +
El RAID divideix i replica la informació entre aquests discs augmentant la integritat (Errors en les dades), la tolerància a fallades (Trencaments físics dels dispositius), el rendiment (velocitat d'accés) i la capacitat. Respecte a consideracions de seguretat només interessen les dues primeres característiques.
  
 +
Les principals tècniques del RAID són:
 +
* Striping. Divideix la informació en varis discs. Millora el rendiment però no té tolerància a errors.
 +
* Mirroring. La informació es replica ''idèntica'' en varis discs. Si un disc falla existeix una còpia idèntica per recuperar la informació. Es desaprofita  capacitat d'emmagatzematge.
 +
* Parity. Par de la capacitat d'emmagatzematge s'utilitza per informació de paritat que permet la correcció d'errors en temps d'execució i en cas de fallada d'un dels discs.
  
  
Inconvenients
+
Nivells de RAID comuns:
 +
 
 +
*RAID 0 (Striping)
 +
*RAID 1 (Mirroring)
 +
*RAID 5 (Distributed parity). La informació de paritat es distribueix entre tots els discs.
 +
 
 +
 
 +
Els inconvenients
 
* Augmenta el temps de procés de la informació
 
* Augmenta el temps de procés de la informació
 
* No substitueixen la necessitat de fer còpies de seguretat
 
* No substitueixen la necessitat de fer còpies de seguretat
Línia 275: Línia 275:
  
  
 +
RAID Software (Ubuntu)
  
Hi ha utilitats com Without a Trace
+
https://help.ubuntu.com/community/Installation/SoftwareRAID
o Zero Trace (programari gratuït)
 
que esborren tota la informació
 
residual del disc dur.
 
  
==== Polítiques d'emmagatzematge.====
+
http://www.guia-ubuntu.org/index.php?title=Crear_una_Software_RAID
  
 +
==== Còpies de seguretat ====
  
  
 +
Les còpies de seguretat són còpies addicionals de la informació del sistema informàtic. L'objectiu és poder restaurar aquesta informació en cas pèrdua. Són indispensables i alhora pot ser que no es facin servir mai.
  
 +
Alhora de planificar les còpies de seguretat els requeriments són molt importants, no es pot tenir guardada tota la informació en qualsevol instant, així cal arribar a un equilibri i assumir que part de la informació es pot perdre. A tenir en compte:
  
 +
*Rendiment. El procés de còpia de seguretat en general consumeix bastant recursos del sistema.
 +
*Cost: maquinari, programari i feina de gestió.
 +
*Finestra temporal. En quin moment s'executa. Cal minimitzar l'impacte a usuari, escollint els moments de menor utilització del sistema.
 +
*Altres consideracions com per exemple si es distribuiex per xarxa ja que en farà un ús intensiu.
  
==== Còpies de seguretat i imatges de suport.====
 
 
 
En informàtica, les còpies de seguretat consisteixen en la creació de
 
còpies addicionals de les dades importants del sistema informàtic.
 
 
 
l’objectiu del qual és restaurar les dades copiades del sistema informàtic
 
després d’un desastre, o bé restaurar un nombre determinat de
 
fitxers en cas que s’hagin esborrat accidentalment o s’hagin corromput.
 
 
 
Els requeriments pel que fa als sistemes d’emmagatzematge per desar les còpies
 
de seguretat poden ser molt importants, tot i que també va en funció de
 
l’usuari i de les seves necessitats concretes.
 
  
 +
Recomanacions
 +
*Discriminar les dades prescindibles, importants i indispensables.
 +
*Ubicar les còpies lluny de les dades.
 +
*Automatitzar el procés.
 +
*Establir estratègies de control: Monitoratge i validació.
  
Seguretat de les dades: a més a més de preservar les dades dels usuaris
 
del sistema informàtic, també les hem de protegir d’accessos no autoritzats
 
d’altres persones. Les còpies de seguretat s’han de portar a terme
 
de manera que, en cas que els fitxers originals tinguin assignats uns
 
permisos determinats, es mantinguin. Això es pot fer mitjançant l’encriptació
 
i utilitzant una política adequada per a la manipulació dels suports
 
físics en què hem fet la còpia de seguretat.
 
  
===== Classificació de còpies de seguretat =====
+
A més a més de preservar les còpies d’accessos no autoritzats. Això es pot fer mitjançant xifratge i/o implementant protocols respecte la manipulació dels suports físics en resideixen les còpies.
  
  
En relació a la periodicitat
+
Es poden classificar els sistemes de còpies de seguretat de múltiples maneres. Per exemple
*No estructurades (Asíncrones)
 
  
*Periòdiques
+
*En relació a la periodicitat
**Completes
+
**Asíncrones
**Incrementals
+
**Periòdiques
 +
***Completes. Tot
 +
***Incrementals. Només els arxius canviats des de la darrera còpia (Inicia sempre la primera vegada completa). Per restaurar calen totes les còpies
 +
***Diferencials. Tots els arxius canviats des de la darrera còpia total, per la restauració només cal la còpia total i la darrera diferencial.
 +
**Contínues
 +
*** Desen els canvis del Sistema de Fitxers (A escala física no lògica). Permet restaurar sistema a un estat anterior. Journal?? Punts de restauració??
  
*Contínues
 
** Desen els canvis del Sistema de Fitxers (A escala física no lògica). Permet restaurar sistema a un estat anterior. Journal?? Punts de restauració??
 
  
 +
*En relació a les dades que es guarden
 +
**Còpia de Fitxers
 +
**Còpia parcial de fitxers. Només còpia la part dels fitxers modificada
 +
**Identificació dels canvis
 +
**Mirror. Manté els mateixos fitxers a origen i destí (Eliminar objectes esborrats)
 +
**Imatges del sistema de fitxers. Clonezilla, Ghost, etc...
  
En relació a la ubicació
+
*En relació a la ubicació
*En línia. Local. Disc dur intern
+
**En línia. Local. Disc dur intern
*Fora de línia. Emmagatzematge extern
+
**Fora de línia. Emmagatzematge extern
*En xarxa: Local ubicació llunyana de les dades originals, Internet. Bacula, Amanda
+
**En xarxa: Local o ubicació llunyana de les dades originals, Internet, SMTP (Correu). [[Bacula]], Amanda
*Centre de recuperació de desastres. (Data center) Protecció molt alta en cas de desastre.
+
**En centres de recuperació de desastres. (Data center) Protecció molt alta en cas de desastre.
  
 
Les ubicacions anteriors incrementen el temps de recuperació, però disminueixen la probabilitat de pèrdua de la informació
 
Les ubicacions anteriors incrementen el temps de recuperació, però disminueixen la probabilitat de pèrdua de la informació
  
 
+
A més els sistemes de còpies de seguretat poden proporcionar altres funcionalitats addicionals com:
En relació a les dades que es guarden
 
*Còpia de Fitxers
 
*Còpia parcial de fitxers. Només la part dels fitxers modificada
 
*Identificació dels canvis
 
*Imatges del sistema de fitxers. Clonezilla, Ghost, etc...
 
 
 
 
 
 
===== Funcionalitats addicionals =====
 
  
 
*Compressió
 
*Compressió
 
*Encriptació
 
*Encriptació
*Multiplexació: Vàries còpies al mateix mitjà
+
*Multiplexació (Vàries còpies de diferents clients al mateix lloc)
*Refactorització??
+
*Notificació
  
  
 +
http://en.wikipedia.org/wiki/List_of_backup_software
  
===== Planificació =====
 
  
 +
Esquemes habituals de còpia en xarxa
  
A tenir en compte
+
 
*Finestra temporal. Quan s'executa. Poc impacte usuari, utilització del sistema baix
+
Programari en els clients, a una unitat en xarxa centralitzada
*Rendiment del sistema mentre fa la còpia baixa
+
* La unitat pot HW - NAS (LaCie, D-Link, Western Digital ....). Permeten connectar múltiples disks, raid, extracció en calent, sistema de fitxers en xarxa (SMB), interface de xarxa
*Cost: maquinari, programari i feina de gestió.
+
* La unitat pot SW, un servidor d'arxius (SAMBA, NFS...)
*Xarxa: Si es distribueixen a través de la xarxa pot fer-ne un ús intensiu
+
* Cobian, syncBack
  
  
Recomanacions
+
Programari centralitzat en un servidor comunica amb els clients
*Discriminar les dades prescindibles, importants i indispensables
+
* La localització física on es guarden les dades pot ser externa (ni en client ni en servidor)
*Ubicar les còpies lluny de les dades
+
* L'administració és centralitzada, control d'errors, monitoratge, programació de còpies, restauració
*Automatitzar el procés
+
* Amanda, [[Bacula]], BackupPC
*Establir estratègies de control: Monitoratge i validació
 

Revisió de 11:09, 28 set 2013

tornar M11 - Seguretat i alta_disponibilitat


Informació i dades

Xifratge. Criptografia (Confidencialitat i Integritat)

La criptografia consisteix en modificar un text (informació, dades) usant un algorisme, aquest algorisme també permet recuperar el text inicial. El text inicial es converteix en un text xifrat (criptograma). Es tracta d'aconseguir que la informació només sigui accessible als usuaris autoritzats.

Normalment l'algorisme de xifrat es basa en una clau. Per a més informació http://es.wikipedia.org/wiki/Criptograf%C3%ADa.

Les tècniques de xifratge es fan servir en dos contexts diferents:

  • Emmagatzematge
  • Transmissió

En els sistemes d'informació s'utilitzen dos tipus de xifratge principalment:

  • Criptografia simètrica (de clau privada)
  • Criptografia asimètrica (de clau pública)

Els atacs als sistemes de xifratge amb clau es basen en tècniques de força bruta, comprovar totes les possibles combinacions fins trobar la clau, així en gran mesura la mida de la clau té relació directa amb la fortalesa del mètode de xifratge. Tot i això la longitud de la clau no serveix per comparar algorismes simètric i asimètrics, donat que les claus d'aquest últim són més grans.


Criptografia simètrica (de clau privada)

Els sistemes de clau simètrica, l'emissor i el receptor comparteixen una única clau. Aquesta clau ha de ser privada donat que qualsevol que hi tingui accés també pot accedir a la informació.

Els inconvenients principals són:

  • La transferència de la clau és crítica, si és interceptada es compromet la informació
  • Es necessita una clau per cada parella emissor i receptor, si el grup que s'ha de comunicar és gran es complica el procés


Així doncs, aquesta tècnica s'usa principalment per a l'emmagatzematge xifrat. Informació a la que només té accés un únic usuari (qui té la clau).

Exemples d'algorismes són:

  • DES (data encryption standard), clau de 65 bits, considerat feble actualment.
  • 3DES (Triple DES), clau de 112 bits.
  • BlowFish
  • AES (Advanced Encryption Standard), clau de 128, 192 o 256 bits.
  • IDEA (International Data Encryption Algorithm), clau de 128.

Criptografia asimètrica (de clau pública)

En aquests sistemes existeixen 2 claus, una és pública i l'altre és privada, cada parella de claus pertanyen al mateix usuari, només que ell pot compartir la pública amb altres usuaris amb qui es vulgui comunicar.


  • Usant les claus del receptor (destinatari). L'emissor xifra el missatge amb a clau pública del destinatari, només aquest té accés a la clau privada i per tant al missatge (Confidencialitat).
  • Usant les claus de l'emissor (remitent). Usa la seva clau privada per xifrar el missatge, qualsevol que tingui la clau pública pot desxifrar-lo, però es garanteix la identitat de l'emissor donat que és l'únic que té la clau privada. (identificació i autenticació). Aquesta és la base de la firma electrònica.


Els inconvenients principals són:

  • La lentitud (1/1000 estimació)
  • La clau és més gran
  • El missatge també ocupa més


Exemples d'algorismes són:

  • RSA (Rivest, Shamir y Adleman)
  • DSA (Digital Signature Algorithm)

Criptografia Híbrida

Donats els inconvenients del xifratge asimètric, alguns sistemes de transmissió de la informació que implementen seguretat utilitzen un sistema híbrid.


  • Informació codificada amb xifratge simètric (clau privada)
  • Intercanvi de claus privades amb xifratge asimètric.


Emmagatzemar dades xifrades

Existeixen diferents possibilitats alhora de xifrar la informació emmagatzemada en el sistema de fitxers.

  • Eines de xifratge que ofereixen les pròpies aplicacions, Paquets d'office o Compressors per exemple. En general aquests xifratges són febles.

Per exemple

http://rarcrack.sourceforge.net/

Els documents OpenOffice també es poden encriptar (desar amb contrasenya).

  • Eines específiques de xifratge que permeten codificar fitxers i directoris. Inconvenients són que cal indicar la clau cada vegada que es vol accedir a la informació, si es vol compartir cal compartir també la clau. Inclús un pot pensar que si xifra tot el seu directori d'usuari està segur, però molta informació es guarda en altres ubicacions, directoris temporals, cachés, etc...

http://www.truecrypt.org/


  • Xifrar tot el el Sistema de Fitxers. Aquests mecanisme permet que el xifratge sigui transparent a l'usuari, mentre que la informació del disk està codificada, qualsevol que accedeixi físicament al disc no podrà obtenir-ne informació. El SO és l'encarregat del procés de codificació - decodificació entre usuari i hardware.


https://help.ubuntu.com/community/EncryptedFilesystemHowto

http://tldp.org/HOWTO/Encrypted-Root-Filesystem-HOWTO/

Atenció als apartats

  • How many bits should the key used by the algorithm have?
  • So How Do I Encrypt My Home Directory?


Els sistemes Windows (NTFS) permeten el xifratge a través del servei EFS (Encrypting File System). Aquesta funcionalitat és transparent a l'usuari.

http://www.evidalia.es/trucos/index_v2-290-10.html


A Linux també existeixen eines integrades en els navegadors d'arxius que permeten xifrar carpetes o fitxer de manera ràpida i senzilla.

http://www.liberiangeek.net/2010/10/create-encrypted-files-folders-ubuntu-10-0410-10-maverick-meerkat-seahorse/


Altres eines són: cryptkeeper, EncFS, Crypt Manager

Transmetre dades xifrades

SSL i TLS

Secure Sockets Layer (SSL) i Transport Layer Security (TLS) són una parella de protocols de xifratge de comunicacions de xarxa. TLS és el successor de SSL.

Aquests protocols funcionen entre la capa de transport i aplicació (Pila TCP/IP), xifrant els segments generats per les aplicacions. Així del nivell de xarxa fins al nivell físic tota la informació està xifrada i així es transmet. El procés de codificació / decodificació només té lloc en emissor / receptor respectivament.

El funcionament bàsic comença amb la negociació entre client i servidor (protocols que suporten els dos per exemple), després intercanvien claus publiques (clau pública asimètrica), amb la clau pública del servidor el client xifra un número que servirà per codificar (clau privada simètrica) les dades transmeses.


Addicionalment donat que el servidor gestiona les claus, aquest també pot garantir la seva identitat (identificació i autenticació). En alguns casos el servidor pot demanar també identificació al client i aquest li envia la seva clau pública o certificat digital. ( Seguretat en la connexió amb xarxes públiques)


Aquests protocols s'integren a d'altres protocols d'aplicació per integrar-ne seguretat, mail (pop3, imap, smtp), navegació (http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure https).


SSH (Secure SHell)


Fa referència tant al protocol com al programa, i inicialment serveix per a connexions remotes segures (terminal remota) en contraposició a telnet. També permet copiar fitxers (SCP -> Secure Copy i SFTP -> SSH File Transfer Protocol) inclús executar aplicacions gràfiques (paràmetre -X).

Treballa a través del port 22 TCP. Utilitza xifratge asimètric RSA. El programa SSH està integrat en els intèrprets de comandes de Linux, existeixen clients per a Sistemes Windows com PuTTY. La implementació lliure OpenSSH és l'estàndard de facto.

Ssh01.png


Ssh02.png

El client es connecta al servidor usant un dels comptes d'usuari d'aquest i manté els mateixos privilegis. Una vegada connectat es pot fer qualsevol comanda del sistema operatiu, el protocol es treballa a base de comandes, per exemple 

$ssh hostname // Connexió amb el mateix usuari / password local
$ssh username@hostname // Connexió amb un usuari concret
$ssh -p port username@hostname  // Connexió a un port diferent
// Copiar des de el servidor a la màquina local
$scp usuari@adreça_servidor:ruta_fitxer_origen ruta_fitxer_local
// Copiar des de la màquina local al servidor
$scp ruta_fitxer_local usuari@adreça_servidor:ruta_fitxer_desti
$ssh -X username@hostname aplicacio // Executar aplicació gràfica al servidor
$exit


Tunneling protocol


S'anonema tunneling quan un protocol encapsula les dades d'un altre. Algunes aplicacions i protocols no integren l'ús de protocols segurs (xifrats) i en aquests casos es poden fer servir tècniques de tunneling per transportar la informació. Les VPN's també utilitzen aquest mecanisme.


Exemples:

  • Nivell d'aplicació (Orientat a connexió, fluxe)
    • Tunnels TLS, SSL: aplicacions com Stunnel, OpenVPN
    • Túnels SSH,
  • Nivell de xarxa, Internet (Orientat a datagrama)
    • IP Sec (Internet Protocol Security). El xifratge es produeix a nivell de xarxa i s'aplica a cadascun dels paquets (datagrames). L'avantatge principal és que és totalment transparent per a les aplicacions, no cal configurar-les. Té dos modes d'operació possible depenent de l'ús que se'n vulgui fer http://en.wikipedia.org/wiki/IPsec#Modes_of_operation.


http://docs.cs.byu.edu/general/ssh_tunnels.html#sending-ssh-through-the-tunnel

http://www.makeuseof.com/tag/how-to-tunnel-traffic-with-ssh/

http://linuxgazette.net/107/odonovan.html

http://www.bl.physik.uni-muenchen.de/rechner/h_ssltunnel.html

http://www.freebsd.org/doc/es/books/handbook/ipsec.html

http://es.wikipedia.org/wiki/OpenVPN#Comparaci.C3.B3n_entre_OpenVPN_e_IPsec_VPN

Mitjans d'emmagatzematge (Integritat i Disponibilitat)

Els dispositius d'emmagatzematge permeten enregistrar la informació de manera permanent. Es poden classificar per exemple:

Segons el tipus

  • Òptics: CD, DVD, Blu-Ray
  • Magnètics: Cintes, Discs Durs, Memòries

Segons la ubicació

  • Secundaris: HD, CD
  • Terciaris: Cintes.
  • Fora de línia: Memòries externes
  • En xarxa o distribuïts.


==== Polítiques d'emmagatzematge.====


La informació és valuosa i sempre es troba emmagatzemada físicament a un o varis llocs (replicada). Perdre aquesta informació o l'accés temporalment pot suposar un cost important en diners i temps.

Alhora garantir l'accés autoritzat a la informació també és un factor a tenir en compte.


Riscos.gif


Unes normes alhora de decidir com i on s'emmagatzema la informació:

  • Confiable, minimitzar els riscos. Bons equipaments, en bon estat, revisions, controls, monitoratge.
  • Còpies en ubicació remota, o com a mínim allunyada de la ubicació principal.
  • Sistemes de recuperació ràpids.
  • Definir normes i protocols corporatius respecte l'emmagatzematge d'informació (en local, en xarxa, en dispositius externs, les còpies de seguretat)


A vegades també és necessari eliminar la informació completament del disc. Esborrar fitxers o directoris de la manera convencional no esborra les dades físicament dels discs, només la informació per accedir-hi, l'espai que ocupava es marca com lliure. Així es relativament fàcil recuperar dades esborrades mentre sigui recentment.


Existeixen programes que permeten esborrar (realment) les dades del disc.

Recuperació


Esborrat

  • Eraser (Windows)
  • DeleteOnClick. integrat Explorer (Windows)
  • Comanda shred. (Linux)
  • Secure-delete. (Linux)

http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in-linux/


Dos dels mecanismes principals per garantir la integritat i la disponibilitat de la informació són:

  • RAID
  • Còpies de seguretat

Sistemes d'emmagatzematge Redundant

RAID. Els sistemes d’emmagatzematge redundant anomenats RAID (redundant array of independent/inexpensive disk), consisteixen en múltiples discos físics que el sistema operatiu veu com un de sol.

El RAID divideix i replica la informació entre aquests discs augmentant la integritat (Errors en les dades), la tolerància a fallades (Trencaments físics dels dispositius), el rendiment (velocitat d'accés) i la capacitat. Respecte a consideracions de seguretat només interessen les dues primeres característiques.

Les principals tècniques del RAID són:

  • Striping. Divideix la informació en varis discs. Millora el rendiment però no té tolerància a errors.
  • Mirroring. La informació es replica idèntica en varis discs. Si un disc falla existeix una còpia idèntica per recuperar la informació. Es desaprofita capacitat d'emmagatzematge.
  • Parity. Par de la capacitat d'emmagatzematge s'utilitza per informació de paritat que permet la correcció d'errors en temps d'execució i en cas de fallada d'un dels discs.


Nivells de RAID comuns:

  • RAID 0 (Striping)
  • RAID 1 (Mirroring)
  • RAID 5 (Distributed parity). La informació de paritat es distribueix entre tots els discs.


Els inconvenients

  • Augmenta el temps de procés de la informació
  • No substitueixen la necessitat de fer còpies de seguretat
  • El hardware (HD) ha de ser similar
  • Pot ser costós


RAID Software (Ubuntu)

https://help.ubuntu.com/community/Installation/SoftwareRAID

http://www.guia-ubuntu.org/index.php?title=Crear_una_Software_RAID

Còpies de seguretat

Les còpies de seguretat són còpies addicionals de la informació del sistema informàtic. L'objectiu és poder restaurar aquesta informació en cas pèrdua. Són indispensables i alhora pot ser que no es facin servir mai.

Alhora de planificar les còpies de seguretat els requeriments són molt importants, no es pot tenir guardada tota la informació en qualsevol instant, així cal arribar a un equilibri i assumir que part de la informació es pot perdre. A tenir en compte:

  • Rendiment. El procés de còpia de seguretat en general consumeix bastant recursos del sistema.
  • Cost: maquinari, programari i feina de gestió.
  • Finestra temporal. En quin moment s'executa. Cal minimitzar l'impacte a usuari, escollint els moments de menor utilització del sistema.
  • Altres consideracions com per exemple si es distribuiex per xarxa ja que en farà un ús intensiu.


Recomanacions

  • Discriminar les dades prescindibles, importants i indispensables.
  • Ubicar les còpies lluny de les dades.
  • Automatitzar el procés.
  • Establir estratègies de control: Monitoratge i validació.


A més a més de preservar les còpies d’accessos no autoritzats. Això es pot fer mitjançant xifratge i/o implementant protocols respecte la manipulació dels suports físics en resideixen les còpies.


Es poden classificar els sistemes de còpies de seguretat de múltiples maneres. Per exemple

  • En relació a la periodicitat
    • Asíncrones
    • Periòdiques
      • Completes. Tot
      • Incrementals. Només els arxius canviats des de la darrera còpia (Inicia sempre la primera vegada completa). Per restaurar calen totes les còpies
      • Diferencials. Tots els arxius canviats des de la darrera còpia total, per la restauració només cal la còpia total i la darrera diferencial.
    • Contínues
      • Desen els canvis del Sistema de Fitxers (A escala física no lògica). Permet restaurar sistema a un estat anterior. Journal?? Punts de restauració??


  • En relació a les dades que es guarden
    • Còpia de Fitxers
    • Còpia parcial de fitxers. Només còpia la part dels fitxers modificada
    • Identificació dels canvis
    • Mirror. Manté els mateixos fitxers a origen i destí (Eliminar objectes esborrats)
    • Imatges del sistema de fitxers. Clonezilla, Ghost, etc...
  • En relació a la ubicació
    • En línia. Local. Disc dur intern
    • Fora de línia. Emmagatzematge extern
    • En xarxa: Local o ubicació llunyana de les dades originals, Internet, SMTP (Correu). Bacula, Amanda
    • En centres de recuperació de desastres. (Data center) Protecció molt alta en cas de desastre.

Les ubicacions anteriors incrementen el temps de recuperació, però disminueixen la probabilitat de pèrdua de la informació

A més els sistemes de còpies de seguretat poden proporcionar altres funcionalitats addicionals com:

  • Compressió
  • Encriptació
  • Multiplexació (Vàries còpies de diferents clients al mateix lloc)
  • Notificació


http://en.wikipedia.org/wiki/List_of_backup_software


Esquemes habituals de còpia en xarxa


Programari en els clients, a una unitat en xarxa centralitzada

  • La unitat pot HW - NAS (LaCie, D-Link, Western Digital ....). Permeten connectar múltiples disks, raid, extracció en calent, sistema de fitxers en xarxa (SMB), interface de xarxa
  • La unitat pot SW, un servidor d'arxius (SAMBA, NFS...)
  • Cobian, syncBack


Programari centralitzat en un servidor comunica amb els clients

  • La localització física on es guarden les dades pot ser externa (ni en client ni en servidor)
  • L'administració és centralitzada, control d'errors, monitoratge, programació de còpies, restauració
  • Amanda, Bacula, BackupPC
Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF1-NF1._Informació_i_dades&oldid=1583»