miércoles, 5 de octubre de 2011

Cloud Computing: Una mirada diferente para tener en cuenta.


En una conferencia de Cloud que se desarrollo en NY hace unos meses atrás, algunos de los disertantes señalaron que la nube se está moviendo más allá de lo publicitario y comienza a dar algunos beneficios tangibles.

Pero el traslado a la nube también puede significar costos adicionales, algunos de los cuales podrían ser inesperados, de acuerdo con los ejecutivos de TI cuyas organizaciones han puesto en marcha servicios en la nube o lo están considerando

Si bien estos tipos de costos no necesariamente impiden que las empresas obtengan un valor real del negocio en las iniciativas de cloud computing, tendrán un impacto en el total de los costos y beneficios de los servicios cloud.

El movimiento y almacenamiento de datos

Mover grandes volúmenes de datos a los servicios cloud públicos y almacenarlos durante largos períodos de tiempo puede costar decenas de miles de dólares al año. Muchas empresas no se dan cuenta de los gastos correspondientes

"Un movimiento de una sola vez puede costar miles de dólares", señala Hernán Álvarez, director senior de TI y operaciones en WhitePages Inc., una compañía con sede en Seattle que proporciona información de contacto en línea para más de 200 millones de personas y 15 millones de negocios.

Gran parte de los gastos imprevistos del movimiento de los datos es por el ancho de banda -los proveedores de nubes podrían cobrar tasas de carga y descarga- y otros gastos, incluido el trabajo interno. "La gente piensa que no hay costos de mano de obra con la nube, pero a medida que escala hasta manejar la carga de trabajo, hay una complejidad de gestionar en un gran número de casos de nubes, al igual que la gestión de un gran número de servidores", indica Álvarez. Otro costo importante es el del almacenamiento de los datos en la nube a largo plazo. "Cuando se tiene en cuenta las tasas de crecimiento de datos, en los próximos tres años, el costo del ciclo de vida de los datos puede ser muy alto", agrega Álvarez. "Continuará pagando por ello todos los meses", cuando los datos se almacenen en la nube

Pero el costo del uso de la nube "es solo un costo inesperado si no comprendemos plenamente el modelo de nube", señala. "Si piensa acerca de las necesidades de capacidad y almacenamiento de las CPU y lo grafica, con el tiempo puede tener una idea bastante buena de lo que son los costos y si se puede hacer más rentable internamente

WhitePages exploraba usando la nube para hacer backup de datos, pero después de evaluar exhaustivamente ocho proveedores, la compañía determinó que sería demasiado caro -tanto como tres o cuatro veces lo que costaría mantenerlo internamente, comenta Álvarez. Así que la compañía optó por manejar el almacenamiento de datos a largo plazo internamente, en su nube privada.

En general, sin embargo, utilizar los servicios de nube pública para fines distintos al almacenamiento, elimina la necesidad de implementar y mantener las aplicaciones de forma interna. La compañía ha estado utilizando los servicios públicos de la nube por alrededor de dos años y ahora utiliza once diferentes aplicaciones basadas en la nube de los proveedores de servicios como Salesforce.com, SuccessFactors, ADP, WebEx y Yammer. Esto ha dado lugar a ahorros de costos que superan con creces a cualquiera de los gastos inesperados, indica Alvarez.

La integración de aplicaciones de múltiples proveedores

Pacific Coast Building Products, un proveedor de productos de construcción de California, quiere empezar a utilizar la computación en nube a lo grande, y ha evaluado los servicios de nube de varios proveedores. Pero la compañía ha limitado su uso cloud hasta ahora porque la economía aún no les alcanza, señala su CIO, MikeO'Dell. 

Una de las razones es la dificultad de integrar las aplicaciones de software de distintos proveedores en la nube, y el hecho de que el suministro de esta integración por sí sola, eleva el costo de la computación en nube para Pacific Coast.

Por ejemplo, la empresa utiliza Microsoft Exchange para el correo electrónico y la Unity Unified Messaging de Cisco para el correo de voz, y está interesado en el uso de ambas aplicaciones como servicios en la nube. "La integración entre estas aplicaciones en la nube, por lo menos la última vez que vimos, no estaba allí", comenta O'Dell. 

Sin la integración, los usuarios no serían capaces de aprovechar algunas de las capacidades que tienen ahora, como la eliminación automática de mensajes de voz en sus teléfonos cuando reciben los mensajes por correo electrónico.

El mismo tipo de problemas de integración existen con otras aplicaciones que son más grandes y más complejos, tales como ERP, agrega O'Dell. 

"Por el lado de SAP, poder ponerlo en la nube significa que tenemos que renunciar a las características o gastar mucho dinero en la integración", comenta O'Dell. "Tal vez es solo una cuestión de tecnología inmadura, pero la parte de integración es donde están los costos ocultos. Si no se fija en esto al empezar, puede que al final no esté tan feliz con la economía como pensaba estarlo". 

Las pruebas de software

No todas las aplicaciones están listas para la nube, y eso puede resultar en costos adicionales para los usuarios de la nube.
"Nos encontramos con algunos gastos que no esperábamos para probar y depurar la aplicación de un proveedor que no había sido ejecutada antes en una configuración cloud", señala Bill Thirsk, vicepresidente de TI y CIO en el Marist College, en Poughkeepsie, NY. 

El colegio estaba moviendo un sistema ERP a gran escala hacia una nube privada, utilizando servidores que aún no habían sido aprobados por el vendedor. Marist usa su nube privada para proporcionar servicios en línea tales como consultas de inscripción y facturación y pagos para estudiantes, profesores y organizaciones de investigación.

En total, Thirsk indica, "99%" de las actividades de migración del ERP del colegio salieron muy bien, y en general, ahorramos cientos de miles de dólares mediante una configuración cloud". Pero, explica, "la estabilización del sistema dentro de una nube que ya apoyaba a 900 servidores virtualizados fue todo un reto.

El gasto adicional era para "desenredar el laberinto de lo que las versiones de los sistemas operativos y bases de datos trabajarían", señala Thirsk. "Fue cuestión de cambiar algo de código. Pasó algún tiempo y esfuerzo para averiguar exactamente cuáles eran las líneas que debían ser cambiadas".  

Problemas de rendimiento

Algunas aplicaciones aún no pueden ser preparadas para aprovechar al máximo las capacidades de la computación en la nube, y esto en última instancia, puede elevar su precio.

"En nuestro caso, hemos hecho la suposición de que la programación ERP fue lo suficientemente sofisticada como para tomar ventaja de todos los procesadores, la memoria caché, dispositivos de almacenamiento y conexiones de red que ofrece la configuración de la nube", indica Thirsk.

Pero no fue así, y el colegio invirtió una "cantidad considerable" de tiempo de los desarrolladores de aplicaciones y sistemas para revisar el código de software. "Hasta ahora, hemos visto un aumento del 30% en el rendimiento, pero no fue gratis", agrega Thirsk.

Alquiler y servicios públicos

La nube puede presentar a los ejecutivos de TI gastos que normalmente no salen del presupuesto de tecnología. Estos costos inicialmente no pueden ser evidentes a las organizaciones de TI que están acostumbrados a tener sistemas internos alojados. 

"Hay, por supuesto, muchos costos asociados con el hospedaje de un sistema interno, pero no todos ellos; como la energía y la renta que se pagan fuera de mi presupuesto de TI", comenta Jonathan Alboum, CIO del departamento de agricultura, alimentos y servicio de nutrición (FNS) de los Estados Unidos. "En la nube, los gastos de infraestructura básica se cuecen en el costo total, por lo que ahora estoy pagando por cosas que antes no salían de mi presupuesto de TI".

FNS ha estado usando un servicio de nube de Amazon.com desde el verano del 2010 para una aplicación compatible con el programa de suplemento nutricional (SNAP) de la agencia, que solía ser conocida como estampillas de comida.

El programa, llamado el SNAP Retailer Locator, proporciona un mapa en línea que ayuda a que las personas encuentren tiendas que acepten tarjetas de débito de SNAP. FNS ha optado por la nube para esta aplicación, ya que permitió un rápido lanzamiento del programa y fue de gran escalabilidad, entre otras razones.

Alboum comenta que él necesita asegurarse de que tiene fondos disponibles para cubrir los costos mensuales de nuevo. "En general, la nube es muy manejable y los resultados de los probables costos generales son más bajos para el gobierno", señala. "Pero es diferente de lo que tradicionalmente hemos vivido". 

No es una cuestión de servicio en la nube que cuesta más que si estuviera alojada en casa. "Pienso en esto como un problema de flujo de efectivo", agrega Alboum. "Si yo voy a pagar los gastos mensuales, tengo que tener el presupuesto disponible para cubrir los costos en el momento en que incurra en ellos. En el modelo más tradicional, compraría hardware y servicios asociados de una sola vez, cuando tuviera el presupuesto. El nuevo modelo es probablemente más barato, pero requiere un cambio en las prácticas presupuestarias". 

Los pilotos y los costos de instalación

Tenga en cuenta que los programas piloto libres de servicios en la nube pueden convertirse rápidamente en gastos. 

"Muchos proveedores ofrecen pilotos gratuitos, con diversos enfoques sobre cuándo estos pilotos se vuelven -automáticamente- en servicios de pago", señala Frank Ridder, vicepresidente de investigación de la firma de investigación Gartner. "Algunos planes piloto son muy cortos". 

Antes de emprender cualquier programa piloto, las organizaciones deben negociar todos los términos del contrato y los descuentos mínimos que implica, si el piloto tiene éxito, señala Ridder.

Los costos de nube

Los costes de instalación son otra área a tener en cuenta. "Los clientes a menudo son atraídos por el bajo precio del servicio en curso, y no ven el -a veces- alto costo de transición, el costo de integración, etc", señala Ridder. Para un servicio como el correo electrónico, estos costos pueden ser fácilmente de 10 a 30 dólares por asiento, explica.

Todavía muchas cosas acerca de la nube son relativamente nuevas, y los expertos dicen que las organizaciones que están evaluando los servicios en la nube deben mirar tanto los costos como los beneficios potenciales. En un informe sobre los servicios cloud en abril del 2011, Gartner señaló que los ejecutivos de TI "deben tomar medidas para gestionar los riesgos inherentes y gastos inesperados durante la revolución de servicios en la nube".

El abastecimiento y servicios en la nube son "inmaduros y están llenos de peligros potenciales", señala Ridder. "El cloud computing está conduciendo la discontinuidad que presenta grandes oportunidades y desafíos costosos. Las organizaciones necesitan entender estos cambios y desarrollar estrategias realistas de compras y contratos cloud que puedan reducir el riesgo".

Él dice que el ciclo de vida de los servicios de abastecimiento incluye cuatro elementos principales: estrategia de compras, selección de proveedores, contratación, y gestión y gobernabilidad.


"El ciclo de vida es un área crítica para planificar y gestionar, independientemente de si los recursos TI de las organizaciones vienen a través de recursos internos o externos", finaliza Ridder. 


Muchas gracias y espero que les haya interesado la nota tanto como a mi.

(¯`·._.·[TÜ®ÇO]·._.·´¯)

Fuente: CIOperu.pe   

sábado, 17 de septiembre de 2011

Google un Groso

Buenas, hace mucho que no escribo en mi blog, de terror, en fin. Leyendo un poco las noticias de IT en Internet encontré una noticia que quería compartir con Uds. la misma trata de como Google comparte con el mundo el consumo de energía y no solo eso sino que tienen un site que explica como trabajaron en los diferentes puntos referentes al consumo de energía.



Voy a citar una nota que leí en un Portal de Internet:


"...La empresa utilizó 2,26 millones de megawatt en 2010. Una cuarta parte de tal consumo eléctrico fue generado mediante recursos renovables como la energía eólica.

 Las emisiones generadas directa o indirectamente por las actividades de Google corresponden a 1,46 millones de toneladas métricas de CO2. Google asegura que este volumen habría sido el doble si la empresa no hubiera instaurado medidas de ahorro energético. La empresa compra además bonos de carbón, lo que neutraliza su balance energético.

La publicación Financial Times escribe que, anteriormente, Google calificaba de secreto comercial sus estadísticas de consumo de energía, por lo que no las ha publicado.

Anteriormente, Jonathan Koomey, ingeniero y catedrático de la Universidad de Stanford, ha señalado que Google es una de las empresas con un consumo energético más eficiente del mundo. Koomey ha estimado que Google opera un millón de servidores, equivalentes al 3% del total de centros de datos en todo el mundo. Aún así, su consumo eléctrico equivale al 1% de los datacenters ..."

Por otro lado les dejo el site al que hice mención que creo Google:

Google Green



Muchas gracias y espero que les haya gustado la información, sinceramente pienso que muchos gobiernos deberían imitar algunas acciones de esto gigante de IT, ya que no deja de sorprender. 

(¯`·._.·[TÜ®ÇO]·._.·´¯)

Fuente: www.diarioti.com

miércoles, 9 de febrero de 2011

Lo harías ?

Quien no pensó esto en algún momento ? jajajaja


=> Lo harías ? <=



(¯`·._.·[TÜ®ÇO]·._.·´¯)

martes, 8 de febrero de 2011

SSH sin Clave


Muchas veces necesitamos realizar conexiones entre equipos en el mundo de los Unix o Linux y estas conexiones necesitamos que sean seguras pero a la vez que nos permitan conectarnos sin claves. En lo personal esto me sirvio para realizar sincronizaciones, backups, conexiones entre balanceadores, etc realmente es muy práctico y util.

Para logra esto debemos aplicar un procedimiento de claves públicas y privadas para luego intercambiarlas entre los hosts que necesitamos conectar. Como resultado obtendremos la conexión sin tipear la contraseña.


El procedimiento hay que aplicarlo por usuario, por lo que habrá que repetir el mismo tantas veces como usuarios tengamos, en ambos hosts.

Esta es la teoría, ya que en la practica solo basta con generar un par de claves y repartirlas en los usuarios que sean necesarios ;)

Terminologia:


Client: Quien iniciara la conexión.
Server: Quien recibirá la conexión.



Procedimiento:

Pasos en el Client:

ssh-keygen -t rsa                                       
scp $HOME/.ssh/id_rsa.pub user@server:/tmp
                                                                      

Pasos en el Server:

cat /tmp/id_rsa.pub >> $HOME/.ssh/authorized_keys
rm -f /tmp/id_rsa.pub
chmod 0600 $HOME/.ssh/authorized_keys

Hecho esto ya estamos en condiciones de conectarnos sin clave entre los equipos.

ssh user@server                                          

TIP: Existe otra manera/algoritmo para realizar la firma mas alla del RSA que es el DSA. Realmente son solo diferentes manera de encriptar y la diferencia muy básica es que el DSA es mas veloz para generar la clave mientras que el RSA es mas veloz para verificarla.

Espero que sirva ...

(¯`·._.·[TÜ®ÇO]·._.·´¯)

domingo, 6 de febrero de 2011

La necesidad de evadirse, el punto en común entre la adicción al trabajo y el hábito de posponer tareas

Esta es una nota que leí en un portal y me pareció interesante compartir con quienes alguna vez pasaron por esta situación y también para aquellos que aún no la vivieron, ya que creo que para estos últimos será más productiva.
En lo personal me toco pasar por la misma y no es agradable. Es por ello que cuando leía la nota me sentí bastante identificado, que no es bueno :) pero es lo que hay, uno aprende todos los días un poquito y de todos.
De todas formas creo que lo bueno es tratar de lograr un equilibrio, sin duda la vida misma es ello y todos sabemos que la vida en si es un gran misterio y nadie tiene la formula exacta de la felicidad, en fin no los aburro mas y espero disfruten la nota.

En una vereda, los workaholics. En la otra, quienes buscan postergar de manera indefinida sus obligaciones. Estas conductas, que parecen tan antagónicas, en realidad tienen el mismo eje conductor. Los riesgos de la búsqueda constante del placer y el de no saber qué hacer con el tiempo libre

 

Por Alicia Vidal
Está claro que la vida laboral suele generar tensiones. Algunas personas las toleran en mayor medida, otras les escapan y hay quienes, contrariamente, se vuelven trabajo-dependientes.
En estos últimos casos, aunque resulte difícil de creer, tanto los workalcoholics -adictos al trabajo- como los procastinadores -aquellos que viven posponiendo sus obligaciones- tienen un parámetro en común: ambos buscan evadirse.
En un caso, la evasión pasa por sumergirse de lleno en las actividades laborales evitando involucrarse en una vida social plena. En el segundo, este mecanismo se pone en práctica recurriendo a algo placentero.
¿Son conductas contrapuestas realmente? "La procrastinación o posposición, es la acción o hábito de postergar actividades que deben atenderse, sustituyéndolas por otras situaciones más irrelevantes y agradables", define Wikipedia.
Así, en contraposición al clásico "no dejes para mañana lo que puedas hacer hoy", los procastinadores son afectos a la postergación eterna de sus obligaciones. Sin embargo, este escape hacia otra tarea más reconfortante, en realidad, esconde una patología que, incluso, puede conducir a cuadros depresivos.

Pero no siempre lo que se pospone es el quehacer laboral. También puede tratarse de una decisión importante para la persona y, justamente al revés, el trabajo termina resultando un buen aliado.
De esta forma, quienes toman esta actitud buscan evitar tensiones y estrés y hasta encuentran en ello una autojustificación.

En líneas generales, existe una asociación entre lo que "hay que hacer" y aquello que es "desagradable" y, por lo tanto, se deja de lado.
Si bien puede resultar difícil de admitir, los expertos aseguran que, de algún modo, todos tienen ciertas esferas de procastinación.
Pero el problema surge cuando esa conducta se generaliza e invade diferentes territorios de la vida cotidiana, generando cierto estado de parálisis decisoria.

Según el especialista en la materia, Ignacio Lirio, "un procastinador sabe con más o menos precisión qué debe hacer y cuándo, pero no lo hace".
Y esto, básicamente, tiene que ver con un problema de motivación, relacionado con el estilo de vida laboral que impone una competencia frenética.
Es en este contexto donde, muchas veces, surge la necesidad de la evasión.
"La mente procastinadora activa una serie de mecanismos inconscientes de evitación que, posteriormente, la mente consciente se encargará de traducirlos en sentimientos y pensamientos de culpa, frustración o, en la mayoría de los casos, también en autojustificación".
La adicción al trabajoEn el medio español Expansión, Ivonne Vargas Hernández, abordó la problemática de la evasión desde la óptica de la adicción al trabajo y cómo ésta se convierte en una patología peligrosa.
"¿Experimentas culpabilidad si no estás en contacto con temas de tu oficina?, ¿sientes que en cualquier rato libre deberías adelantar tareas pendientes? Ambos comportamientos pueden ser una alerta de adicción al trabajo", afirmó la analista.
El aspecto visible de Erika Robledo, de 34 años, era el de una publicista dedicada, que había alcanzado una buena percepción económica por el desempeño demostrado en su empresa.
La faceta oculta era la de una mujer que gastaba gran parte de su ingreso en visitar médicos alópatas y naturistas para soportar el estrés de jornadas laborales de 15 horas, casi a diario.
"Llegué a recurrir a acupunturistas varias veces a la semana, les pedía que me recibieran a las 7 de la mañana para después ir al trabajo. En más de una ocasión, tomé pastillas para dormir y el límite fue cuando uno de los médicos me dijo: tus enfermedades son producto de tu estrés incontrolable", comentó la publicitaria.
Desde entonces, Erika decidió empezar a buscar otro empleo y a bajar su ritmo laboral, pero el desafío no fue sencillo.
"Es difícil deshacerse del hábito de no tomar una llamada del jefe, o llevarse trabajo a casa, aunque sean días de descanso. Produce ansiedad saber cómo podrían calificar tu desempeño si actúas de esa manera", confesó.
Aunque no existen cifras exactas sobre la adicción al trabajo, se calcula que más del 20% de la población empleada en el mundo presenta este problema, según información publicada por la escuela de psicología de la Universidad Anáhuac del Norte de México.
El perfil de los workaholicLos adictos al trabajo son personas que actúan de forma compulsiva y suelen escapar de ciertas situaciones personales, refugiándose en la oficina.
La psicóloga Julieta González Noriega explicó que existen características peculiares de quienes padecen este cuadro.
Según la experta, estas personas se aferran al trabajo de manera "excesiva".
No les basta con dedicar muchas horas a la semana a sus tareas pendientes, sino que optan por aceptar cualquier otro proyecto que se les asigne, aunque ello implique dedicarle fines de semana y días festivos.
"Es gente que está simultáneamente en varios asuntos, sin importar si los disfrutan; parece que viven a contrarreloj. Tienen escaso o nulo tiempo para otras actividades, como convivir con amigos, y se sienten culpables, por ejemplo, si dedican una parte de su fin de semana a una cosa diferente, como leer un libro en lugar de resolver algún pendiente de la oficina", indicó González Noriega.
En tanto, la especialista de la escuela de piscología de la Anáhuac, Alejandra Guitart, remarcó que a estas personas les resulta difícil delegar responsabilidades, son desconfiados y su círculo de amistades y hobbies se centran en compañeros de trabajo o en contactos que les aporten algún beneficio profesional.
Además, indicó que tienen miedo al tiempo libre, porque les parece una pérdida de tiempo y no saben en qué ocuparse.
Se puede decir que los adictos al trabajo rondan entre los 35 a 45 años y tienen una incesante necesidad de controlar todo, según refiere una investigación publicada en la revista Psicothema.
Las dos caras de un problema
Un procastinador se aferra a los placeres para evadirse de sus obligaciones. Un adicto al trabajo se "atrinchera" en sus ocupaciones laborales.
Sin embargo, tienen un patrón en común: ambos se están evadiendo.
Con respecto a los workaholic, González Noriega sostuvo: "A veces, su conducta pasa desapercibida, pues culturalmente es bien visto que la gente se dedique con ahínco a sus tareas laborales" y, en contraposición, destacó que "esto es lo opuesto a lo que sucede con el procastinador, que se dedica a evadir sus obligaciones, porque, en ese caso, no está bien visto" por la sociedad.

Aunque el término workaholic ha existido siempre, fue a partir de los años ochenta cuando las personas con esas características comenzaron a ser catalogadas como "enfermos", por las repercusiones que esta conducta tiene en la vida personal y en la salud, señaló Guitart.
Y remarcó que "no se debe catalogar como workaholic a quienes trabajan más de 8 horas al día, por necesidad económica o profesional, de manera temporal".
"La adicción es diferente. En este caso, la persona escapa de aspectos que desconoce cómo controlar y busca en el trabajo su opción para seguir adelante", aclaró.
Por otra parte, González Noriega puntualizó que "la gente en esta situación, generalmente, se desempeña en actividades con tareas que les permiten potenciar su creatividad, aprender, desarrollarse y estar en contacto con muchas personas".
"Para los workaholic, esto termina por convertirse en una especie de droga", afirmó.
De esta forma, convergen dos adicciones: el perfeccionismo y exigencia con la entrega de tareas, "porque quieren tener el control de algo y destacarse en ello" y, por otro lado, la obsesión por crecer y tener proyección, "por lo cual buscan cualquier actividad que esté ligada a su mundo laboral; es decir, el lugar donde se han destacado", indicó la especialista.
En un principio, las compañías que contrataban a una persona adicta al trabajo estaban muy satisfechas. Sin embargo recientes estudios demuestran que esto no es del todo favorable. Según Guitart, "el problema radica en que si bien suelen parecer muy rendidores y productivos, a largo plazo el ritmo laboral que llevan, tan prolongado y sin control, los hace caer en errores o bien, no pueden cumplir con las fechas y las metas establecidas".
Eso es "sólo una cara del conflicto", advirtió González Noriega. "A ello se agrega que terminan siendo un elemento controversial en las empresas, porque obligan a otros -principalmente si el workaholic es el jefe- a mantener la misma dinámica que ellos, por lo que se crean problemas entre los integrantes del equipo", remarcó.
Los expertos también destacaron los inconvenientes de salud y sociales que llegan a padecer estas personas.
"Son muy propensos a males gastrointestinales, cardíacos, y sufren de ansiedad, cambio de carácter inesperado y problemas para dormir. El extremo pueden ser las adicciones a sustancias como el alcohol y las drogas", indicó Fernando Hernández, médico de la Benemérita Universidad Autónoma de Puebla.
Es por estas razones que González Noriega, concluyó que el control de este tipo de problemas corresponde no sólo al trabajador, sino también a la cultura corporativa, que debe promover entre sus trabajadores el desarrollo, a través de otro tipo de actividades extra curriculares y sociales que aporten valor a su desempeño.

Fuente: http://www.iprofesional.com 




Espero que sirva ...

(¯`·._.·[TÜ®ÇO]·._.·´¯)

viernes, 4 de febrero de 2011

Algo mas a la hora de hablar de Seguridad




La intención de esta entrada es poner en palabras lo que los sysadmin de seguridad hacen en el día a día, ya que muchas veces se los ve como policias a la hora de habilitar alguna rule en el FW o de preguntar demasiado para cuando hay que habilitar el acceso de un proveedor a la red corporativa, ya sea cerrando un tunel VPN desde el exterior o simplemente habilitarlo a una red de producción protegida.

Es por eso que si leemos esta entrada nos daremos cuenta de lo bien que hacen en consultar y cuales son sus motivos, mas allá que son un poquito malos/vigilantes :D


Conocer lo que necesitamos proteger es el primer paso a la hora de establecer normas de seguridad. Es muy  importante de quien se debe proteger cada punto de nuestra red, es decir de que tipo de usuarios, dado que las uno puede tomar diferentes alternativas a la hora de aplicar medidas de seguridad.


Algunas preguntas importantes y basicas a la hora de definir una politica de seguridad podrian ser las siguientes:

  1.  ¿Qué proteger?. Todos los elementos de la red interna.
  2.  ¿De quién ?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior.
  3. ¿Cómo nos protegemos?. Está orientada a establecer el nivel control y respuesta deseado en la organización. Podemos alinearnos a alguno de estos  estrategias:
    • Se permite cualquier servicio excepto aquellos expresamente prohibidos.
    • Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio. 
  4. Conoci y me toco aplicar alguna de estas estrategias, mejor no dar nombres :D pero el que lea la nota y es de mi amistad sabra por quien lo digo ;) ....
    • Paranoica: tenemos control pero no permitimos nada.
    • Prudente: tenemos control y conocemos todo lo que pasa en nuestra red.
    • Permisiva: tenemos control pero dejamos muchas cosas abiertas.
    • Promiscua: no sabemos que esta pasando en nuestra red practicamente.
Siguiendo en como que debemos proteger y de quienes podemos acotar algunas cosas como por ejemplo las que están debajo:


Muchas politicas se aplican en función de los distintos usuarios y su ubicación:
  1. Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones. Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido.
  2. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para consultar servicios de la red interna.
Cuando los usuarios son externos, como ejemplo proveedores que necesitan acceder a nuestra red corporativa para realizar algún tipo de trabajo particular es importante tratar de asegurarse de tener un procedimiento que permita el acceso de los mismos durante un lapso de tiempo determinado y fijando a que recurso de nuestra red necesitan acceder de manera de tener un control real de estos accesos, de lo contrario de alguna manera nos estamos generando un expuesto nosotros mismos y luego podrian venir los dolores de cabeza.

Para lo cual sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo que sean necesarias.

Espero que sirva ...

(¯`·._.·[TÜ®ÇO]·._.·´¯)

Las 10 reglas inmutables de la seguridad

Este es un blog que leí en Segu-Info que me parecio muy simple y resume muy bien la seguridad en si misma, es por ello que lo queria compartir con Uds.

 
Para los que trabajamos con amenazas, vulnerabilidades y riesgo todos los días estas 10 reglas de la seguridad son ampliamente conocidas pero para aquellos que no están familiarizados con el ambiente algunas de ellas pueden parecer extrañas.
  1. Ley # 1: Si un intruso puede convencerlo para ejecutar un programa en su computadora, no es más su equipo
  2. Ley # 2: Si un intruso puede alterar el sistema operativo de su computadora, no es más su equipo
  3. Ley # 3: Si un intruso tiene acceso físico sin restricción a su computadora, no es más su equipo
  4. Ley # 4: Si permite que alguien cargue archivos a su sitio web, no es más su sitio web
  5. Ley # 5: Las contraseñas débiles triunfan sobre la seguridad fuerte
  6. Ley # 6: Un equipo es tan fuerte como confiable sea el administrador
  7. Ley # 7: Los datos cifrados son tan seguros como la clave de descifrado
  8. Ley # 8: Un antivirus desactualizado es sólo ligeramente mejor que ningún antivirus
  9. Ley # 9: El anonimato absoluto no es práctico, ni en la vida real ni en la web
  10. Ley # 10: La tecnología no es una panacea
Fuente: http://www.segu-info.com.ar


Espero que sirva ...

(¯`·._.·[TÜ®ÇO]·._.·´¯)

martes, 1 de febrero de 2011

Habilitar Mysql acceso remoto

Hace un tiempo un conocido tuvo problemas para dejar que su motor de Mysql deje accederse remoto por otros host, motivo por el cual decidi hacer una pequeña guía que en lo personal me sirvio cuando lo necesite.

Va el paso a paso:

Paso # 1: Ingresar a través de ssh

En primer lugar, entrar a través de SSH al servidor remoto de bases de datos MySQL

Paso # 2: Habilitar Networking

Una vez conectado necesitas editar el archivo de configuración my.cfg.

En CentOS el archivo se encuentra en /etc/my.cnf

# vi /etc/my.cnf

Paso # 3: Una vez abierto el archivo, busca la línea que diga [mysqld]

Comentar la línea skip-networking o bien quitarla y añadir la siguiente línea

bind-address = SU-SERVER-IP

Por ejemplo, si tu servidor MySQL es 172.19.32.2 entonces quedaria algo similar a esto:

[Mysqld]
user = mysql
pid-file = /var/run/mysqld/ mysqld.pid
socket = /var/run/mysqld/mysqld
port = 3306
basedir = /usr
datadir = /var/lib/ mysql
tmpdir = /tmp
idioma = /usr/share/mysql/english
bind-address = 172.19.32.2

# Skip-networking

Cuando,
bind-address: dirección IP de bind.
skip-networking: no hagas caso de las conexiones TCP/IP en absoluto. Toda interacción con mysqld debe hacerse a través de conectores Unix. Esta opción es muy recomendable para los sistemas donde sólo se permiten las solicitudes locales. Ya que se necesita para permitir la conexión remota de esta línea hay que extraerla del archivo o ponerlo en estado de observación.

Paso # 4 Guardar y cerrar el archivo y restartear el servicio.

/etc/init.d/mysql restart


Paso # 5 Dar acceso a la dirección IP remota

mysql-u root-p mysql

Dar acceso a la nueva base de datos

Si queres agregar una nueva base de datos llamada cga para los usuarios y la IP remota es 172.19.70.11, entonces tenes que escribir los siguientes comandos en mysql:

mysql> CREATE DATABASE CGA;

mysql> GRANT ALL ON cga .* theuser A @ '172 .19.70.11 identificados por 'contraseña';

Espero que sirva ...

(¯`·._.·[TÜ®ÇO]·._.·´¯)