SALVAGUARDAS

Seleccin Salvaguardas

Se busca internamente tener un proceso de respaldo de su informacin para el

cual cuenta con una serie de recursos o elementos de software y hardware que
interactan dentro del mismo. Dentro de este documento, se expondr tambin la
arquitectura y el procedimiento de generacin de las copias de respaldo de la
entidad as como los elementos que conforman el mismo.
Para la definicin de la Arquitectura se tuvieron en cuenta aspectos actuales de
la Infraestructura Tecnolgica como el almacenamiento (Storage) relacionado
con la SAN (Storage Area Network), los servidores que estn involucrados en el
proceso, las caractersticas y funcionalidades del producto de software CA
Arcserve Backup r12 SP1 La arquitectura en produccin en la entidad
trabajara en SAN y LAN.
Clases de Respaldo
Los mtodos disponibles de respaldo son Total, Diferencial e Incremental, estos
mtodos permiten obtener y establecer requerimientos de recursos de backup
(Tiempo y Medios).

Tareas de Restauracin
Mtodo

Full

Diferencial

Incremental

1 Restauracin

2
Restauraciones

>
2
Restauraciones

Restaurar
Archivo/Datos

1 Restauracin

1 Restauracin

1 Restauracin

Utilizacin
Medios
Backup

de
en

Mayor

Menor
Full

Menor que
diferencial

Ventana
Backup

de

Mayor Tiempo

Bueno

Restaurar
Sistema

que

el

el

Mejor

Por otra parte existen caractersticas de la herramienta que buscan mejorar los
tiempos de respaldo con la finalidad de obtener ventanas de respaldo ms
pequeas y que permitan la utilizacin mxima de los recursos de
almacenamiento.

Respaldo Total OFF LINE

El respaldo total de la base de datos OFF LINE, implica que el servicio de la
base de datos este abajo. Por consiguiente se requiere que el tiempo en el cual
se realiza este respaldo no impacte en el servicio hacia los usuarios.

Rosado Total ON LINE SQL Server

Este respaldo incluye todos los objetos de la base de datos. El respaldo en lnea
permite respaldar las bases de datos sin afectar el servicio, para ello se debe
tener en cuenta lo siguiente:

Se debe tener un usuario con los privilegios de SA

El servidor a respaldar debe tener instalado el agente de CA ARCSERVE
BACKUP para SQL Server

Respaldo Total ON LINE Exchange Server

Este respaldo incluye todos los objetos de la base de datos (Information Store)
y los buzones de los usuarios (Brick Level). El respaldo en lnea permite
respaldar las bases de datos de Exchange sin afectar el servicio, para ello se
debe tener en cuenta lo siguiente:

Se debe tener un usuario con los privilegios de Exchange Administrator

El servidor a respaldar debe tener instalado el agente de CA ARCSERVE
BACKUP para Microsoft Exchange Server

Respaldo Total ON LINE de Archivos Abiertos

Este respaldo incluye todos archivos que estn abiertos en el momento del
backup, exceptuando los archivos correspondientes a bases de datos y correo
electrnico, para ello se debe tener en cuenta lo siguiente:

El servidor a respaldar debe tener instalado el agente de CA ARCSERVE

BACKUP para archivos abiertos

Retencin
La retencin de la informacin es uno de los aspectos importantes en la
definicin de los esquemas de respaldo. La necesidad de almacenar
informacin histrica y el acuerdo con los usuarios permite establecer los
periodos de proteccin de informacin que requiere la organizacin.

CA Arcserve Backup permite que el usuario defina la retencin, defina los pool
de medios, estimar el periodo de almacenamiento de los histricos, la
utilizacin de medios y la clase de rotacin (sobre escritura o append) que se
va a utilizar.

a. Esquema de Rotacin estndar. El esquema de rotacin estndar utiliza un

solo pool de medios, en este se controlan las cintas semanales y mensuales.
b. Esquema de Rotacin GFS (GFS = Abuelo, Padre, Hijo). Esta clase de
rotacin utiliza tres (3) pool de medios (Diario, Semanal y Mensual), Esta
rotacin permite mejor control de entrada y salida de medios as como la
retencin de la informacin.
CA Arcserve Backup incluye seis (6) esquemas de rotacin por defecto GFS
y permite definir esquemas de rotacin propios. Los esquemas predefinidos
para GFS son:

a.
b.
c.
d.
e.
f.

5-Day
7-Day
5-Day
7-Day
5-Day
7-Day

Weekly Full with GFS enabled.

Full with GFS enabled.
Incremental/Full on Friday with GFS enabled.
Incremental/Full on Friday with GFS enabled.
Differential/Full on Friday with GFS enabled.
Differential/Full on Friday with GFS enabled.

Arquitectura de la solucin de copias de respaldo

Para facilitar la comprensin de la arquitectura en operacin, a continuacin
se describe de manera general cada uno de los componentes y el flujo de la
informacin en dicha Arquitectura con CA Arcserve Backup R12 SP1.

Dominio: El dominio de CA Arcserve Backup es grupo lgico de

servidores que permiten la administracin de forma centralizada con el
mismo usuario. La agrupacin de servidores puede contener servidores
de diversas plataformas. Cada dominio tiene un nombre y se asigna un
servidor primario y un servidor secundario que permiten la validacin de
los usuarios y da funcionalidad de tolerancia a fallas. El servidor primario
se sincroniza con el servidor secundario.

Manager: Permite administrar, configurar, generar las tareas de respaldo

y recuperacin, administrar la base de datos la cual es MSDE o Microsoft
SQL Server de acuerdo al ambiente y el detalle de informacin a
registrar, generar reportes entre otras. Los componentes principales en
el manager son:

Tape Engine: Responsable de la comunicacin y control con los

dispositivos de almacenamiento
Database Engine: Registra todas las operaciones realizadas con CA
Arcserve Backup, mantiene el histrico de archivos, directorios,
drives y maquinas que CA Arcserve Backup ha respaldado o copiado,
incluyendo el estado de las tareas procesadas y utilizacin de los
medios.

Job Engine: Procesa las tareas programadas.

Opcin de Librera TLO: La opcin de librera de Tapes permite la

administracin de la librera fsica de cintas desde la configuracin,
inventario, ingreso o retiro de cintas, lectura, creacin de grupos entre
otras en libreras que tengan 2 o ms drives.

Opcin de SAN: La opcin Storage Area Network (SAN) habilita a los

servidores de CA Arcserve Backup para compartir una o ms libreras

sobre una red de almacenamiento de alta velocidad, permitiendo que el

respaldo realizado hacia la librera por cada servidor sea local.

Servidor Primario de Windows: Es el servidor que inicializa las

libreras compartidas y es el responsable de controlar la utilizacin,
deteccin de cambios en el estado de los dispositivos en el ambiente
Windows.

Servidor Distribuido o Secundario: Son los servidores de CA Arcserve

Backup que estn asignados al servidor primario y conectado a la red de
almacenamiento en SAN, compartiendo la librera.

Agente para SQL: El agente de Microsoft SQL Server permite realizar el

respaldo de las bases de datos en lnea, manteniendo el servicio a los
usuarios. El agente permite realizar el respaldo a objetos especficos,
(Bases de Datos).

Consola de Administracin: Es la interface de Administracin de CA

Arcserve Backup y permite:

Ver la informacin de la base de datos

Programar requerimientos de respaldo o restauracin y acciones
Ver el status de las tareas programas
Configurar los grupos, dispositivos
Generar alarmas
Generar reportes

Flujo de la informacin: A continuacin se describe el flujo de

informacin entre los diferentes elementos para la ejecucin de copias de
respaldo sobre los servidores a travs de los agentes, y el funcionamiento
de la estructura de CA ARCSERVE BACKUP en ambiente LAN.

Figura No 1. FLUJO DE INFORMACIN

CA Arcserve Servidor
Primario

1. Consulta y
Configuracin

Consola
Administracin
Central
Configuracin
Dispositivos

2. Verificacin
3.
Autoriza
Ejecucin
4. Enva
solicitud de
respaldo
CA Arcserve Servidor
Distribuido

Creacin de Jobs

Conexin
fibra

6. Envo de
Informacin a la librera

5. Activacin de
Agente

Los servidores Windows que estn involucrados en la solucin de respaldo por

LAN deben tener como mnimo el siguiente componente de CA Arcserve
Backup instalado: CA ARCSERVE BACKUP Client Agent for Windows.

Los servidores Windows que estn involucrados en la solucin de respaldo y

comparten el dispositivo de almacenamiento (respaldo via SAN), en este caso
la librera de cintas, deben tener los siguientes componentes de CA Arcserve
Backup instalados:

CA Arcserve Backup Manager Con este componente se instala el

agente de sistema operativo y la opcin de administracin de la librera.
CA Arcserve Backup SAN
CA Arcserve Backup TLO
CA Arcserve Backup DRO

Agente de Microsoft SQL Server si se requiere

Agente de Microsoft Exchange Server si requiere

Agente de Archivos Abiertos si requiere

Los servidores de CA Arcserve Backup en SAN estn constituidos por un

servidor primario y un nmero de servidores distribuidos. El servidor primario
puede ser cualquier servidor que est conectado en la SAN, sin embargo se
recomienda que este servidor sea un servidor diferente a los servidores de
produccin, para este caso en particular el servidor primario de CA Arcserve
Backup est en Windows.

El servidor primario tiene la funcin de controlar el flujo de informacin entre el

grupo de servidores que componen la SAN, previniendo conflictos cuando dos o
ms servidores utilizan un dispositivo o medio al mismo tiempo y los datos que
son enviados desde los servidores que tienen el Agente para Sistema
Operativo. Cuando una tarea esta lista para ejecutarse, el dispositivo y el slot
correspondiente al medio son reservados, en este punto el dispositivo (unidad
de tape) no estar disponible para otra tarea enviada por cualquier servidor de
la SAN o la LAN.

Las tareas de copias de respaldo, recuperacin, etc., son, posteriormente los

datos pasan directamente a la librera a travs de la conexin de fibra. Es
importante tener en cuenta que las tareas esperan por su ejecucin mientras
que una unidad de tape esta disponible.

Arquitectura de la solucin de copias de respaldo: La arquitectura en

operacin para las copias de respaldo de los servidores Windows

La estructura para las copias de respaldo est constituida por ocho (2)
servidores de produccin de aplicaciones y un servidor de administracin de CA
Arcserve Backup, que actuar como servidor primario de la solucin. As mismo
se conecta a una librera de cintas con una capacidad inicial de dos (2)
unidades de tape SDLT 160 / 320 y veintisis (26) slots. Adems tiene
configurada una librera virtual de cintas HP VSL6200 donde se tienen

presentadas dos (2) libreras virtuales HP MSL 6060 con 4 unidades LTO3 400 /
800 GB cada una de ellas.

Se debe tener en cuenta que de este punto en adelante se hablar de estas

tres libreras (HP MSL6026 con 2 unidades SDLT 160/320 y 2 HP MSL6060 con 4
unidades LTO3 400/800GB cada una) de forma independiente. No se har
referencia si el respaldo ir a VTL o a la librera fsica debido a que para el
sistema operativo y Arcserve las libreras las detecta como fsicas. Por ltimo
se conectarn 2 unidades externas LTO3 marca IBM con interfaz SAS en el
servidor SDSGESTION01 para poder tomar copia de las cintas de la VTL a cintas
reales de tal forma que se puedan enviar a entidades de custodia externas a la
entidad.

Mdulos Instalados por Servidor

Los prerrequisitos para el inicio de la implantacin son:

1. Tener habilitado y funcionando correctamente el Servidor Primario de
la SAN en plataforma Windows.
2. Validacin de cuadro de dispositivos y firmware con base en los
certificados por CA Arcserve Backup r12 SP1.
3. Unidades de tape conectadas a los servidores y reconocidas por el
sistema operativo.
4. Creacin de usuario BACKUP- en el dominio SDS con los permisos y
privilegios: Actuar como parte del sistema operativo, iniciar sesin
como un servicio, iniciar sesin localmente adems debe pertenecer
al grupo administradores, operadores de copia de seguridad y
administradores de dominio.
5. Conexin va IP verificada entre los servidores que componen la
solucin.
6. Licencia de CA Arcserve Backup r12 disponible.

7. Medios de CA Arcserve Backup r12 SP1para instalacin disponibles.

Configuracin del Servidor Primario

Como se indic el servidor primario para esta solucin , los requerimientos

mnimos de este servidor son:
1. Nmero de Procesadores
2. Memoria disponible :

:
2
2 Gb

3. Conexin a la librera va fibra de un (1) GBit

Las opciones que se instalaron en este servidor son:
1.
2.
3.
4.

CA
CA
CA
CA

Arcserve
Arcserve
Arcserve
Arcserve

Backup
Backup
Backup
Backup

Manager (instala la opcin de librera)

SAN
TLO
OFA (Archivos Abiertos)

Este servidor tambin es el soporte para respaldar archivos planos de otros

servidores de los cuales este servidor vea los file system correspondientes
usando el agente para sistema operativo en estos servidores, permitiendo
hacer el respaldo de forma local desde este servidor y liberando los recursos
del servidor de produccin. La configuracin de CA Arcserve Backup sobre este
servidor contiene los siguientes elementos:

1. Nombre de Dominio: Enterprise

2. Servidor de Dominio Primario
: SDSGESTION01
3. Ruta de instalacin CA Arcserve Backup: E:\
4.
Base de datos en el Servidor Primario: SQL Server
5.
BD en Servidores Distribuidos Remota
6. Centralizacin de Bd: SI, toda la informacin se encuentra remota en
el
servidor primario
7. Configuracin de librera (se recomienda ejecutar este proceso por la
opcin automtica).
8. Asignacin de treinta (30) Slots para Windows
9. Limpieza de Unidades por HW
10.Asignar un password desde el comienzo al usuario CAROOT.
Las operaciones de inventario sobre la librera, import / export (ingresar o
retirar cartuchos de cinta), creacin de usuarios, creacin de grupos entre otros
se realizar desde el servidor primario.

Los servicios de CA Arcserve Backup deben ser iniciados inicialmente en el

servidor primario en Windows, y por ltimo en cada uno de los distribuidos, el
administrador debe garantizar que la inicializacin de la librera desde CA
Arcserve Backup finalice correctamente. Una vez se termine este proceso, se
iniciaran los servicios en cada uno de los servidores distribuidos de Windows de
uno en uno. Para apagar los servidores enmarcados dentro de la solucin de
respaldos se debe seguir el proceso mencionado antes de forma inversa.

Firewalls para aplicaciones web

En el entorno de host en concreto, el monitoreo de Capa-7 podra tomar la

forma de un firewall para aplicaciones de web, que se centran especficamente
en los ataques de nivel de aplicacin dirigidos a servicios web y aplicaciones.

Adems de protegerse contra los ataques de web tradicionales, como cross-site

scripting e inyeccin SQL, estos dispositivos tienen la capacidad de
comprender el comportamiento tradicional de los clientes (es decir, los
usuarios que interactan con el sitio), y puede rastrear y prevenir el
comportamiento que se desva de la norma. Los firewalls para aplicaciones web
estn disponibles como mdulos acoplables a los chasis de firewall
tradicionales para compensar cualquier dficit de rendimiento de monitoreo de
trfico aadido a la Capa-7.

Esto no quiere decir que un firewall para aplicaciones web pueda reemplazar el
firewall tradicional en un entorno hospedado; la segmentacin tradicional de
los diferentes niveles sigue siendo crucial.
Implementaciones de firewalls virtuales

Este enfoque se puede extender tambin a plataformas virtuales hospedadas.

Sin entrar en detalles (este tema merece un artculo para l solo), la
segregacin de plataformas virtuales requiere que la separacin de los firewalls
sea implementada en el hipervisor, controlando as el acceso a diferentes
instancias virtuales en la misma plataforma fsica.

Esta implementacin de seguridad de VM a VM puede ser aumentada an ms

con una combinacin de firewalls para aplicaciones web y tradicionales. En las
implementaciones de este tipo, el firewall tradicional todava tiene un papel
que jugar, aunque a un nivel ms amplio, aplicando la separacin/proteccin
entre granjas de servidores virtuales. La proteccin de Capa-7 puede ser
implementada en los segmentos que sean considerados sensibles o crticos
para el negocio.

En conclusin, dado el panorama de las amenazas, el diseo de un host seguro

o de un entorno corporativo debera incluir la ampliacin de la defensa
especfica de la red de los firewalls tradicionales con una combinacin de
proteccin basada en red y en el host que se centre en la capa de aplicacin: El
tener slo un dispositivo de capa 3 hace que la proteccin de partes crticas de
la red ya no sea suficiente.
Es entonces cuando hablamos de los Intrusion Detection Systems o Sistemas
de Deteccin de Intrusos (de ahora en adelante me referir a ellos como IDS).

Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones

intentadas en un sistema o en una red, considerando intrusin a toda actividad
no autorizada o no que no debera ocurrir en ese sistema. Segn esta
definicin, muchos podran pensar que ese trabajo ya se realiza mediante los
cortafuegos o firewalls. Pero ahora veremos las diferencias entre los dos
componentes y como un IDS es un buen complemento de los cortafuegos.

La principal diferencia, es que un cortafuegos es una herramienta basada en la

aplicacin de un sistema de restricciones y excepciones sujeta a muchos tipos
de ataques, desde los ataques tunneling(saltos de barrera) a los ataques
basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten su
paso o los bloquean por medio de una tabla de decisiones basadas en el
protocolo de red utilizado. Las reglas verifican contra una base de datos que
determina si est permitido un protocolo determinado y permite o no el paso
del paquete basndose en atributos tales como las direcciones de origen y de
destino, el nmero de puerto, etc... Esto se convierte en un problema cuando
un atacante enmascara el trfico que debera ser analizado por el cortafuegos
o utiliza un programa para comunicarse directamente con una aplicacin
remota. Estos aspectos se escapan a las funcionalidades previstas en el diseo
inicial de los cortafuegos. Es aqu donde entran los IDS, ya que estos son
capaces de detectar cuando ocurren estos fallos
Efecto de las salvaguardas
Se busca con los salvaguardas disminuir o minimizar el riesgo de prdida de
informacin as mismo el riesgo de intrusin a la red y poder tener proteccin
en los mbitos de intranet y extranet como tener un sistema que permita
presentar contingencia con la informacin que se usa dentro de la empresa y
que es de carcter sensible y se usa para poder tener continuidad del negocio.
Para esto se determin que el efecto se puede visualizar en una disminucin
del trfico de la red y un anlisis de los ataques provenientes del exterior,
tambin se puede hacer un esquema o manual del manejo de trfico y uso de
la red.

Implementara un sistema de manejo de archivos lo cual ayudara o contribuir

a que los empleados manejen un solo repositorio el cual se auto replique para
evitar prdidas de informacin.