Copias de seguridad externas cifradas con VeraCrypt Parte 1

Cada vez es mas importante tener una buena política de copias de seguridad, especialmente con la cantidad de información que los usuarios manejan y la importancia que tienen los sistemas informáticos dentro de las empresas.

Seguramente en la tuya tendrás un sistema de política de copias de seguridad que define el procedimiento a seguir para hacer las copias de seguridad y que básicamente puede incluir estos puntos:

  • Se debe de contar con un procedimiento actualizado y en constante revisión para asegurar el respaldo de los sistemas operativos y de la información que los usuarios manejan, para poder recuperar los servicios básicos alcanzando un objetivo con el menor Tiempo de Recuperación (RTO) posible. Este RTO es el período de tiempo en el que la organización pueda operar a un nivel mínimo operacional aceptable.(en muchos casos muy por debajo de las operaciones normales), es decir la cantidad de tiempo necesaria desde el momento de la interrupción hasta el momento en el que los procesos puedan funcionar a nivel de servicio para que el impacto financiero y operacional sea aceptable.
  • Se debe determinar el medio y las herramientas correctas para realizar las copias de seguridad, basándose en análisis de volúmenes de datos utilizados y con necesidad de respaldo, tiempos de lectura/escritura, tipo de Backup a realizar, tecnología, dispositivos, criticidad de los datos a recuperar, y como no establecer un RPO que defina la antigüedad de los datos que queremos recuperar, ademas de cualquier otra valoración exclusiva del negocio o de la empresa donde se defina la política de Backup.
  • El almacenamiento de las copias de seguridad debería de realizarse en locales diferentes de donde reside la información primaria. A veces esto es complicado por ubicación o depende de terceros, pero lo que se recomienda es tener un armario ignífugo para guardar dentro las copias diarias que van rotando. De este modo se evita la pérdida si el desastre alcanza todo el edificio o local o se minimiza el impacto dentro de unos parámetros como podría ser un incendio.
  • Verificar, periódicamente, la integridad de los respaldos que se están almacenando es un ¡¡Must do!!. No hay que esperar hasta el momento en que se necesita recuperar algo para darse cuenta de que están incompletos, dañados, mal almacenados, etc. Se entiende que a veces es complicado poder restaurar los sistemas por falta de recursos para ello, por ejemplo si hacemos copias de seguridad de maquinas virtuales, pero al menos debemos comprobar la integridad de los datos con la propia herramienta de Backup.
  • También seria bueno tener un proceso de respuestas ante las incidencias para asegurar y revisar que en caso de desastre se realizan los pasos adecuados y se informa a las personas necesarias para solucionarlo. De poco sirve tener un plan de recuperación si luego nadie sabe a quien avisar o se conocen los criterios de escalado de incidencias.
  • No podemos olvidar cumplir las leyes, si, aunque la información sea nuestra debemos cumplir con las leyes para garantizar la privacidad de la información que se respalda en los medios de almacenamiento. Por ejemplo, la información debe ir cifrada  o bien el medio donde se almacene debería de estarlo para evitar que terceras personas sin autorización puedan acceder a la información.
  • Otra de los grandes olvidados es el borrado, cuando cambiamos de dispositivo físico de almacenamiento, ¿borramos los datos como es debido? Estoy seguro que no, lo digo por que no basta con formatear un disco, es muy pero que muy fácil recuperar esa información si cae en otras manos, hoy por hoy, no hace falta ser un experto para recuperar datos de un disco duro, así que se debe de contar con un procedimiento para borrar físicamente la información de los medios de almacenamiento antes de desecharlos, que defina como debe ser ese borrado y establezca una serie de pasos para asegurar la destrucción correcta de los datos y su imposibilidad de ser recuperados.

Estas y muchas otras opciones se deben tener en cuenta a la hora de asegurar los datos de la compañía, y por eso hoy, voy a explicaros mi caso de uso, sobre una de las partes del proceso de Backup de mi propia política de seguridad.

Dentro del procedimiento, he establecido hacer una copia de todos los datos (ficheros unicamente) que se tienen en la red interna y esa copia, sera semanal, un día a la semana, con una rotación de 15 días fuera de la empresa para asegurarnos de que en el peor de los casos toda la información esta disponible fuera de la empresa,  me refiero solo a documentos (docs, xls, dwg, etc…) no hablo de servidores, sistemas operativos etc, mas o menos eso se puede restaurar relativamente “rápido” aunque sea instalando desde cero, pero que una empresa pierda todos sus ficheros seria catastrófico.

Esa copia se realiza en 2 discos duros externos conectados por USB 3.0 que se rotan cada 15 días para salir fuera de la oficina y mientras uno de ellos se almacena en un armario ignífugo el otro esta fuera de la empresa,  es decir todas las semanas hay un disco fuera de la empresa y un disco en el armario ignífugo, y cada 15 días esos discos se intercambian, para que la copia mas reciente este siempre fuera de la empresa.

Si queréis aplicarlo a vuestro negocio podéis cambiar el intervalo dependiendo de la criticidad de los datos o del volumen de los mismo, pero insisto, tener un armario ignífugo es lo mínimo que debe tenerse.

Después de esta larguísima introducción el proceso se explicara en 2 partes  :

Como preparar los discos de tal manera que estén cifrados para evitar el acceso a los datos que contienen.

Configurar el servidor para que al conectar los discos USB 3.0 se  monten automáticamente y que una vez realizada la copia de seguridad se desmonte el volumen también automáticamente, asi podremos desconectar el disco USB físicamente sin tener que entrar en el sistema operativo.

Así agilizamos los procesos de conexión y conexionan física de los discos.

Expliquemos pues la primera parte….

Debemos tener el software de cifrado de discos, en este caso utilizo Veracrypt, este software podríamos decir, que es el heredero directo del antiguo TrueCrypt, el proyecto es open-source y esta muy activo. Comenzamos con al explicación, primero instalamos el VeraCrypt en el equipo donde conectaremos el disco USB 3.0 y donde estará el software de copias de seguridad.

Tras la instalación conectaremos nuestro disco duro USB 3.0 al equipo y nos aparecerá la unidad normal y corriente. En mi caso utilizo un disco Seagate Backup plus slim de 2 TB, que es mas fácil de manejar y como luego ira guardado en una funda rígida estará protegido de golpes.

veracrypt (1)

Una vez conectado el disco arrancamos la aplicación y empezamos el proceso de Cifrado.

Vamos al Menu Volumes→Create New volume

veracrypt (2)

Desde ahí seleccionamos → Encrypt a non-systemapartition/drive (cifrar un disco o una partición no de sistema, es decir, que no sea la de arranque), pulsamos en Next.veracrypt (3)Seleccionamos Volumen Estándar y pulsamos en Next

veracrypt (4)en la siguiente pantalla, pulsamos en Select Device y Marcamos nuestra unidad externa (CUIDADO, asegúrate de que efectivamente es el disco externo, no vaya a ser que la líes y borres otro disco, ya que se perderá toda la información que contenga)

veracrypt (5)

veracrypt (6)Después pulsamos en Next y en la siguiente ventana marcaremos la opción (Encrypt partition in Place), que cifrara todo el disco duro.

veracrypt (7)

Aceptaremos el mensaje de advertencia…..

 

veracrypt (8)Y seleccionamos el modo de cifrado que mas nos guste:

veracrypt (9) veracrypt (10)Despues pulsaremos en Next, para continuar con la configuración y en la siguiente ventana nos pedirá la contraseña de cifrado.

veracrypt (11b)Para esta contraseña os recomiendo utilizar el servicio online de generador de contraseñas, que nos ayudara a ver lo segura que es la contraseña que utilizamos por ejemplo: 3#j7Dq8aUtF6ñX!d$5Wp (por cierto no utilices esta contraseña para nada personal, ya que una vez que esta aquí publicada podría ser rastreada y por lo tanto vulnerable, esto es solo un ejemplo)

passwordpassword2Siguiendo con la instalación… veremos este mensaje si utilizamos una contraseña de menos de 20 caracteres pero para el uso que le vamos a dar con que tenga una longitud superior a 8 caracteres seria suficiente.veracrypt (12)Una variación del ejemplo anterior 3#j7Dq8ñ$, se tardaría casi el mismo tiempo en descifrar…, pulsamos en YES y continuamos con el proceso de cifrado.

veracrypt (13)Ahora debemos generar entropia, moviendo el ratón abriendo y cerrando ventanas de manera aleatoria para mejorar la fuerza del cifrado.

Por ultimo queda marcar el modo de borrado del disco de destino, en este caso como esta vacío seleccionamos none, que ademas es el mas rápido.

veracrypt (14)

veracrypt (15)

Aceptamos el aviso de que todos los datos serán borrados  y ademas irrecuperables…

veracrypt (16)

Y después nos tomamos con paciencia el proceso de cifrado….2 TB tarda bastante en cifrar…

veracrypt (17)

Una vez haya terminado con el cifrado del disco nos mostrara 2 mensajes de adventencia:

1º El primero explica brevemente como montar la unidad y que debemos utilziar la contraseña que pusimos al principio del proceso.

menaje1_veracrypt

2ºUna explicacion de por que la unidad tienes dos letras de volumen diferente.menajes2_veracrypt

Bien hasta aqui ya tenemos preparado nuestro disco cifrado para poder realizar las copias de seguridad y sacarlas fuera de la empresa. Ademas evitaremos que alguien acceda a la información que contiene.

Articulo parte 2, como montar y desmontar el volumen cifrado de manera automática antes y después de cada Backup.

Alfonso López

Alfonso López

Instagram

MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

También te podría gustar...

1 respuesta

  1. 10 Febrero, 2016

    […] Continuando con el articulo anterior, hoy toca configurar el servidor que ejecuta el Backup y al que se conectan los discos USB 3.0 para que monte automáticamente el volumen cifrado antes de cada Backup y que lo desmonte después de cada Backup. […]

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies