SISTEMA DE ARCHIVADO Y RESPALDO DE DATOS EN RED | ||
![]() |
||
![]() |
||
Identificador del artículo: FS-FBS-20140220-I01 Última verificación: 20 de febrero de 2014 Versión: 1.0 Protección de las conexiones de red en los sistemas de archivado de datosDurante cualquier tipo de transmisión de red, existe el riesgo de revelar datos confidenciales y la infraestructura de la red está expuesta a ataques. En el caso de las soluciones de copia de seguridad, el riesgo es mayor, porque durante el archivado se envían grandes cantidades de datos importantes para la empresa. Al atacar una solución de respaldo no segura, un atacante puede obtener acceso a información confidencial.El uso de soluciones de respaldo de datos sin la protección adecuada de la red puede dar lugar a la divulgación de datos confidenciales o facilitar un ataque y bloquear la posibilidad de realizar copias de seguridad. Un atacante puede obtener acceso a información confidencial estableciendo una conexión con computadoras archivadas, leyendo copias de seguridad almacenadas en un servidor de copia de seguridad o escuchando a escondidas las transmisiones. Sin embargo, un ataque DDoS puede provocar el bloqueo del servicio del servidor de copia de seguridad.Para mitigar estas amenazas, se deben aplicar las medidas de seguridad descritas en este artículo además de las medidas de seguridad integradas en la capa de aplicación, es decir, en la solución de copia de seguridad misma . La protección integrada en Ferro Backup System es:
AmenazasEn el caso de las conexiones de red, existen peligros como:
La segunda situación no es tan peligrosa (no permite el robo de datos), pero expone el sistema a un ataque DDoS. Tal amenaza ocurre cuando el atacante tiene acceso a la red donde se encuentra el servidor de respaldo. La tercera situación puede conducir a la divulgación de datos enviados entre la estación de trabajo y el servidor de respaldo. Eliminar esta amenaza es especialmente importante si la comunicación entre el cliente y el servidor se realiza a través de una red pública (por ejemplo, Internet) sin una red privada virtual (VPN). ProtecciónLa protección contra estas amenazas se puede implementar de muchas maneras. A continuación, presentamos la protección IPSec, que permite tanto la autenticación informática como el cifrado de transmisión.Los propósitos del uso de reglas IPSec en sistemas de copia de seguridad de datos:
Ferro Backup System se basa en la arquitectura cliente-servidor. El cliente (FBS Worker) se conecta al servidor de respaldo especificado (FBS Server) utilizando el protocolo TCP en el puerto 4531. Esta es la única conexión entre la estación de trabajo y el servidor de respaldo, por medio de la cual se realizan las tareas de respaldo y recuperación de datos. Las reglas que protegen esta conexión se enumeran a continuación. La siguiente configuración se puede realizar mediante el complemento Configuración de seguridad local (secpol.msc) o a través de GPO. Implementación de la seguridad en el servidor de respaldoEl objetivo es crear una regla IPSec que restrinja las conexiones entrantes al puerto TCP4531 solo a computadoras confiables y cifre toda la transmisión (opcional); las llamadas de computadoras no autenticadas serán rechazadas.
Implementación de seguridad en las estacionesEl objetivo es crear una regla IPSec que limitará las conexiones salientes al puerto TCP 4531 solo a un servidor de respaldo confiable y cifrará toda la transmisión (opcional); se bloquearán las conexiones a un servidor de respaldo no autenticado.
Las reglas de IPSec anteriores deben tratarse como ejemplos que pueden usarse en las pruebas. En un entorno de producción, es bueno especificar los rangos de direcciones IP especificando las máscaras adecuadas. También debe cambiar el método de autenticación de clave precompartida a certificados o Kerberos. Si las computadoras están en un dominio, Kerberos será el mejor método de autenticación. ResumenLa implementación de las protecciones IPSec descritas garantizará que las estaciones de trabajo solo se conecten a nuestro servidor de respaldo autenticado. Se bloquearán las conexiones al servidor de respaldo sustituido. Nuestro servidor de respaldo solo aceptará conexiones de estaciones de trabajo autenticadas y las conexiones de la computadora del atacante serán bloqueadas. Además, se puede encriptar toda la transmisión entre los clientes y el servidor.Literatura
[1] Copias de seguridad de datos en redes de área amplia (WAN)
[2] Seguridad de protocolo de Internet (IPSec) [3] Redes privadas virtuales [4] Administración del sistema de copia de seguridad |
||