Tradicionalmente en el mundo de las Redes de Almacenamiento (SAN) desde el punto de vista del protocolo Fibre Channel (FCP) las medidas de seguridad podian ser:

* Físicas: caso del Mapping, es decir la relación entre las diferentes LUNs de los DiskGroup definidos en el RAID hardware de las cabinas de discos de proposito general y los puertos de fibra del Storage Procesor de las mismas.

* Lógicas: caso del Masking, es decir la relación entre los WWPNs de las HBAs de los servidores con respecto a los LUNs (previamente mapeados en el Mapping) de las cabinas de discos; como desde el lado del Switch al realizar el Zonning, es decir la relación entre los distintos puertos de fibra de las cabinas y de los servidores ó mediante la relación de los WWPNs de las HBAs de los servidores y los WWPNs de los puertos de fibra de las cabinas.

Sin embargo, actualmente se esta produciendo un importante avance en la convergencia de las Redes de Almacenamiento al mundo TCP/IP, es decir al de las Redes de Datos. Este es el caso del protocolo Fibre Channel over Ethernet (FCoE) como de iSCSI. En el primer caso (debido a que se trata en todo momento de Ethernet) el equivalente al Zonning en el lado del Switch sería realizar el establecimiento de VLANs a Nivel II (MAC), es decir similar a la segmentación física de los dominios de broadcast tal y como se realiza a nivel físico en las Redes de Datos.

En el segundo caso, iSCSI funciona igualmente bajo Ethernet con lo cual la seguridad física se implementaría del mismo modo citado anteriormente para FCoE, en el lado del Switch. La diferencia aparece en el lado de las cabinas de discos de tipo iSCSI desde el punto de vista de la seguridad lógica. Es posible definir el Masking, es decir establecer una relación entre los IQNs de los Servidores y los LUNs que sirven las cabinas de discos y por otro lado posibilita igualmente el realizar autenticación CHAP unidireccional ó bidireccional (tanto en el lado del target como en el del initiator).

En esta ultima linea, adjunto los diferentes pantallazos de la realización de dichas medidas de seguridad en una SAN de tipo iSCSI, teniendo en cuenta la cabina de discos esta basada en ZFS como gestor de discos (RAID Z con doble paridad) y de volumenes dinamicos implementando de serie importantes funcionalidades como es el caso de ILM en cuanto al reparto de las caches de lectura y escritura, deduplicación en origen, replicación asincrona y thin provisioning al margen de otras ya citadas anteriormente en este blog.

Tal y como se puede apreciar, desde el punto de vista de los servidores (los cuales tienen acceso a los diferentes LUNs que sirve la cabina de discos iSCSI, de forma selectiva) se han realizado las pruebas con los sistemas operativos mas comunes y utilizados en este momento como es el caso de MS Windows 2008 Server R2, CentOS Linux 5.4, Sun Solaris 10u8 y OSX 10.4.11.

De forma similar se podrian implantar igualmente las medidas de seguridad lógica descritas en el caso concreto de entornos basados en la Virtualización de Servidores utilizando los hypervisores mas demandados en el mercado como es el caso de VMWare vSphere (ESX v3.5/4), Citrix XenServer (v5.0/5.5) y RHEV.

Al margen de la presentación de Virtualizacion de Servidores realizada el pasado mes Octubre, en el mercado propietario del sector de la Virtualización orientada a procesadores de consumo x86 y x64, existen productos que por su evolución o por su aparición representan innovación desde el punto de vista tecnologico:


* vSphere: En la ultima versión de VMWare ESX (no ESXi) se incorporan todas las funcionalidades conocidas con anterioridad como HA, DRS, VMotion, Storage VMotion, VCB junto con la esperada Fault Tolerance. Todo ello de forma integrada en la herramienta de gestión Virtual Center sin la necesidad de instalar ningun plugin externo añadido.

Del mismo modo incluye además las nuevas funcionalidades mucho menos conocidas y experimentadas pero no por ello menos relevantes como son: Agent Preupgrade, Linked Mode, Guided Consolidation, VCenter Heartbeat, Balloon-Driver y Transparent Memory Page Sharing.

Una caracteristica critica que no podemos olvidar es la compatibilidad y soporte con respecto a SRM intimamente relaccionado con la replicación (sincrona o asincrona) de las cabinas de almacenamiento SAN (FCP, iSCSI y NFS), muy importante en cuanto a la gestión automatizada de un DRP (Disaster Recovery Plan) dentro del mas completo BCP (Business Continuty Plan).

* XenServer: En la ultima versión exiten mejoras relevantes en cuanto a la Alta Disponibilidad de las agrupaciones de los distintos hypervisores (dom0) al mismo tiempo que la conocida Live Migration de las maquinas virtuales y la integración con los usuarios del Directorio Activo, todo ello administrado a través de la herramienta de gestión XenCenter.

Por otro lado, la funcionalidad de Continuidad de Negocio desde el punto de vista tecnologico requiere la adquisición de Protection Suite. Si bien en este caso no es necesaria la replicación (sincrona o asincrona) de las cabinas de almacenamiento entre los CDPs de producción y respaldo mediante arquitectura SAN extendida, esta herramienta realiza la replicación de ambos CPDs vía Ethernet a través de arquitectura LAN extendida ó WAN (teniendo en cuenta por supuesto su ancho de banda).

* RHEV: Esta nueva suite de Virtualización de Servidores está basada en la utilización de KVM y permite el uso tanto de RHEL como de la distribución del hypervisor "bare metal" todo ello gestionado desde la RHEV Manager de forma centralizada.

Desde el punto de vista de sus ventajas o beneficios, posibilita la Alta Disponibilidad de dichos hypervisores al mismo tiempo que la funcionalidad de Live Migration de las maquinas virtuales que albergan, permitiendo establecer para su automatización umbrales en cuanto al consumo de los recursos hardware de los mismos. Al igual que los anteriores productos citados anteriormente, la integración con soluciones de almacenamiento SAN (FCP, iSCSI y NFS) es un requerimiento para este cometido.

Existen otras soluciones dentro del mercado del software privativo las cuales ya están suponiendo el desafio de nuevos "players" en esta linea de la Virtualización del Datacenter como son el HyperV de Microsoft y xVM Ops Manager de Sun Microsystems.

Al margen de las conocidas utilidades de hardenning de sistemas UNIX/Linux como son CISscan, Titan, Jassp, Yassp, Bastille y demás citadas en la presentación de Seguridad en OpenSolaris; las cuales desde el punto de vista de auditoría permiten conocer a un nivel de test interno como de "seguro" (mejor dicho inseguro) se encuentra el sistema a bastionar... posteriormente siempre podemos recurrir al test externo con herramientas como Nmap (la version 5 es una maravilla ;-), Nemesis, Superscan, Zenmap, NetGrok, OpenVAS, Nessus (desde la version 3 aunque ya no goza de licencia GPL, aunque en la version 4 incorpora mejoras realmente potentes).

Todo esto enlaza directamente con las distintas etapas de un test de penetración de seguridad IT (Planificación, Reconocimiento, Descubrimiento y Ataque) el cual proporciona un buen inventario de los activos de información decubiertos de igual modo que sus vulnerabilidades en el momento de la realización de la prueba.

Una vez alcanzado esta primera fase de identificación y escaneo, posteriormente es posible centrar el tiro en un determinado servicio (como por ejemplo el servicio web: protocolo http (puerto tcp 80) y protocolo https (puerto tco 443)) a través de otras utilidades mas concretas como nikto o su version grafica Wikto y asi sucesivamente con el objetivo de identificar vulnerabilidades facilmente trasformables en amenazas debido a la existencia y ejecución de exploits que compromentan dicho activo de información.

El siguiente paso deberia ser medir el riesgo
que supondria explotar estas vulnerabilidades inherentes a los sistemas de información, convirtiendose entonces en amenazas de los mismos. El propósito es poder cuantificar la probabilidad de su ocurrencia al igual que su posible impacto. En una fase posterior finalmente deberiamos ser capaces de materializar todas las salvaguardas proactivas que lleguen a evitar en mayor o en menos medida el riesgo de exposición a esas amenazas de cada uno de los activos descubiertos, de igual modo que articular las contramedidas necesarias siempre que sea posible mitigar dicho riesgo de una forma mas reactiva.

Entre administradores de entornos de almacenamiento en fibra es conocido el problema que hay con la compatibilidad entre dispositivos de proveedores diferentes, por ejemplo, al añadir una cabina de discos  a una SAN y que no funcione con el failover (multipath) ya existente en el servidor porque no están en la matriz de interoperatividad de [...]

Redes Privadas Virtuales por Javier Andrés Alonso

A raiz de una consulta de mi amigo Máximo, aprovecho este post para exponer las alternativas en cuanto a soluciones de almacenamiento NAS (CIFS y NFS) y SAN (iSCSI) de tipo Open Source con respecto a otro otras de tipo propietario como pueden ser Dell EquaLogic y HP Lefthand.


En el mundo de las distribuciones Linux esta teniendo un gran apoyo y aceptación OpenFiler el cual incorpora entre otras ventajas la posibilidad de realizar Bonding entre sus diferentes interfaces de red.

En el ámbito de las distribuciones OpenSolaris, es de destacar las ventajas que incorporan tanto Open Storage (Sun Microsystems) y NexentaStor (Nexenta Systems) al incluir igualmente la funcionalidad de Link Aggregation (Nivel II) al mismo tiempo que IPMP (Nivel III) entre sus diferentes interfaces de red.


Al implementar ZFS como motor de almacenamiento interno (sistemas de ficheros al igual que gestor de discos), resulta realmente interesante al margen de todas las opciones de snapshots, clones (tercera copia), replicación asincrona, "thin provisioning" y deduplicación a nivel de bloque como funcionalidades de serie, la capacidad de poder realizar la distribución de las distintas caches de lectura y escritura en diferentes discos (SATA, SAS, SSD e incluso memorias Flash) como se puede apreciar facilmente en siguiente ilustración:

En adelante trasmitiré en este mismo blog varios post con respecto a soluciones de almacenamniento SAN igualmente de tipo Open Source, pero esta vez 100% basadas en FCP (Fibre Channel Protocol) tanto a nivel de Target como Initiator.

Emulex recientemente sacó al mercado sus nuevas tajetas Oneconnect Universal CNAs ( Adaptadores universales que convergen protocolos de red ). De esta forma una PCI Express da soporte a distintos estándares/protocolos de red  como TCP/IP,iSCSI, FCoE de forma integrada en un solo chip. Se añade a esta nueva creación el lanzamiento de un producto software llamado [...]

Se trata del error hardware más frecuente en cualquier tipo de servidor/ordenador o dispositivo dedicado de almacenamiento: Fallos de disco duro con errores de escritura Lo aconsejable en estos casos sería hacer un backup del disco que presenta problemas y sustituirlo. Con la frecuencia que estos errores se presentan, provocadas por factores de entorno (humedad, temperatura, vibraciones, [...]

El pasado miercoles 21 de Octubre celebraremos en MadridOnRails el evento tecnológico "Virtualización y Cloud Computing".

En esta ocasión asistí como ponente de la parte de "Virtualización de Servidores" con enfoque Open Source al mismo tiempo que mi colega Diego Parrilla hizo lo propio en el parte de "Cloud Computing".

PONENCIAS
http://eventos.madridonrails.com/eventos-divulgativos/23-qvirtualizacion-y-cloud-computingq.html

Virtualizacion De ServidoresView more documents from vfernandezg.
MadridOnRails - De la Virtualización al Cloud Computing: Cómo implantar una Nube Privada con código abiertoView more presentations from abiquodocs.

A continuación, os presento la culminación de un proyecto que lleva varios años gestándose y ha exigido muchas horas de dedicación y esfuerzo, pero creo que el resultado ha merecido la pena. El proyecto La instalación ha sido llevada a cabo en un sótano de unos 80 m2. Al adquirir la casa, el sótano se encontraba con paredes y [...]

El Kaiboer K100 es un clon del archi-conocido Popcorn A110, también denominado NMT (Networked Media Tank). En este sentido, a todos los aparatos clónicos del Popcorn se les considera parte de la plataforma hardware NMT, compartiendo su firmware con muy leves diferencias entre fabricantes. De hecho, en la mayoría de los casos es posible instalar en [...]

El apartado de software me sugiere dos preguntas básicas: ¿Qué necesito? ¿Qué software proporciona la solución a mis necesidades? Desde el principio tenía claro lo que necesitaba. Después de analizarlo, la conclusión fué que el único sistema que cumplía al 100% mis espectativas era Linux en alguna de sus variantes. Mis conocimientos y experiencia en Linux son bastante limitados [...]

Características técnicas del Intel SS4200-EHW Expansible hasta 4 TB. Esta es la teoría, ya que en el momento en que se publicaron las especificaciones no existían discos mayores a 1TB. En la práctica, pienso que no debería haber problemas con discos de mayor capacidad. De hecho, hace unos días vi que se vendía en eBay [...]

¿Qué es un NAS? NAS (Network Attached Storage) La idea del proyecto se remonta a octubre de 2007. Se trataba de montar un sistema de almacenamiento centralizado para mi nueva casa. Para ello, equipamos la casa con tomas de red Gigabit en todas las habitaciones. Se ha utilizado cable Categoría 6 UTP comprado en Cablematic y tomas Ethernet [...]

La distribución Belenix no lleva por defecto en su instalador vía Live CD o USB un gestor de paquetes tipo IPS como en Indiana que ya viene integrado en su sistema. Para tener esta distribución actualizada o poder instalar cualquier aplicación de forma cómoda desde sus repositorios oficiales se necesita instalar la herramienta spkg (gestor [...]