RedIRIS - Actualidad boletín número 57

Red de Sensores Antivirus de la Comunidad Académica (RESACA)

Durante algún tiempo el Grupo de Coordinación IRIS-MAIL debatió el tema de uno de los problemas más graves que afectan al correo electrónico: los virus y otros problemas de la misma familia; troyanos, hoaxes, etc. Las únicas soluciones ante este problema eran las alertas y actualizaciones de los antivirus personales. RedIRIS organizó un modesto servicio de alerta que estaba fundamentado en la disponibilidad de personal que estuviera informado sobre la aparición de nuevos virus.

El debate era interesante pero estéril ya que nunca se vislumbró ninguna solución definitiva. A principios de este año desde RedIRIS se apostó definitivamente por la instalación de antivirus conectados a las estafetas centrales de cada universidad. La idea era evaluar la carga de máquinas, tiempos de respuesta, diseño, etc. cuando se usaba ese antivirus. RedIRIS solicitó una licencia de 1 año, ya que se trata de un producto comercial y se organizó un Proyecto Piloto entre seis universidades con una serie de objetivos concretos.

Durante el periodo de pruebas se diseñó un sistema que permitía ofrecer un valor añadido a la ya exitosa protección de virus en las estafetas de las universidades. Este valor añadido consistía basicamente en que cada 24 horas se recolectaban datos y se procesaban estadísticas del tráfico de correo y de los virus interceptados en cada una de las universidades (sensores). Una vez procesadas se extraían unas estadísticas que nos indicarían el nivel de incidencias de los virus en la comunidad académica española, y además nos permitirían alertar ­en intervalos muy cortos­ de la aparición de nuevos virus hasta ahora desconocidos. Estas estadísticas no sólo reflejan el número de virus interceptados sino el porcentaje de sensores que los ha interceptado con el fin de evitar falsas alarmas que pudieran producirse en alguno de los sensores.

Este sistema nos independiza de alertas internacionales que puede que no tengan incidencias en la comunidad academica española. Es un diseño simple, económico, versátil y sin necesidad de grandes desarrollos, sustentado en uno de los valores más valiosos y exclusivos de la Comunidad RedIRIS: la coordinación.

El punto final al desarrollo de esta red de sensores fue la colaboración con el Centro de Alerta Temprana de Virus del MCYT (CAT) a los que RESACA les parecía un valor añadido a su servicio prestándose de inmediato a colaborar con nosotros. La labor del CAT en este Proyecto ha sido el desarrollo de las páginas Web de las estadísticas diarias generadas por RESACA y la generación de los gráficos históricos.

Actualmente hay 13 Instituciones que actúan de sensores en esta red y esperamos que se unan muchas más lo que daría una mayor fiabilidad a los datos extraidos. El actual intervalo de 24 h para recoger y generar estadísticas puede ser modificado, si se considera conveniente, con la colaboración de todos los sensores.

Los datos de RESACA están disponibles en:

Guia de Expertos de RedIRIS: Una apuesta por la difusion cientifica

Es un hecho constatado que la ciencia no consigue formar parte de la cultura de este país. "El Plan Nacional de Investigación Científica y Desarrollo e Innovación Tecnológica 2000-2003 tiene como una de sus premisas fundamentales la necesidad de hacer más fluida e intensa la relación entre el ámbito científico y tecnológico y el conjunto de la sociedad española". Con estas palabras arranca un documento en el que se diseña ­en el marco del nuevo Plan Nacional­, una acción estratégica titulada "Divulgación de la ciencia y la tecnología", cuya finalidad es el fomento de las actividades de difusión cultural de la ciencia y la tecnología implicando decididamente a los centros de investigación y a los propios investigadores. El hecho de que el Plan Nacional incluya entre sus objetivos la transmisión de los avances científicos y tecnológicos al gran público supone una iniciativa de considerable importancia.

Estos motivos son los que han animado a RedIRIS a poner en marcha en colaboración con el Laboratorio de Comunicación Multimedia de la Universidad de Navarra la iniciativa de una "Guía de Expertos de RedIRIS".

La Guía de Expertos nace con estos objetivos del Plan Nacional y está diseñada como un canal de comunicación entre los medios y los científicos expertos españoles. Pretende dotar a los periodistas de una plataforma en Internet que facilite el contacto con especialistas para documentar informaciones de contenido científico, tecnológico y humanístico. Y al mismo tiempo permite a los expertos dados de alta distribuir información a los medios de comunicación que pudiera ser de su interés.

Desde mayo en que se inauguró la Guía hay más de 120 periodistas inscritos pertenecientes a un amplio espectro de medios de comunicación y otros tantos expertos en diversas áreas temáticas. Todas las inscripciones son moderadas y tanto periodistas como expertos deben adjuntar sus acreditaciones y méritos. La valoración de cada uno de ellos se hace a través de un Comité organizado desde la propia RedIRIS a través de los administradores de listas. RedIRIS no se responsabiliza del nivel científico y/o académico de los expertos ni de la opinión que emitan.

La primera versión de esta Guía de Expertos está funcionando mediante un sistema de listas de distribución de correo electrónico ligadas entre sí. La idea es ir mejorando las funcionalidades ­ actualmente se está trabajando en una nueva versión­. La definitiva estará basada en bases de datos tipo LDAP, lo que permitirá una mayor concreción a la hora de localizar el experto adecuado. La idea es que un futuro esta Guía se pueda convertir en un directorio nacional de investigadores. Valga esta noticia para divulgar esta Guía y animar a colectivos de investigadores a participar e inscribirse en ella.

Comprobador de listas negras de correo electrónico

Todos somos conscientes del grave problema que el spam representa para el correo electrónico en Internet. En los últimos años han ido apareciendo iniciativas para luchar contra este problema, bien a través de las denuncias de los receptores como es SpamCop o a través de legislaciones europeas y nacionales, configura- dores automáticos de sendmail como el de RedIRIS, filtros en el puerto SMTP (25) de una institución y por último a través del uso de "listas negras".

Las listas negras son bases de datos de máquinas servidores de correo electrónico que no están correctamente protegidas y las utilizan los spammers para inyectar un flujo masivo de correo generalmente publicitario. Las máquinas incorporadas en estas listas se consideran poco fiables y sus responsables deben configurarlas adecuadamente para una vez superadas una serie de pruebas poder salir de dichas listas donde se entra a través de alguna denuncia.

Estas bases de datos son accesibles desde cualquier programa que haga de encaminador de correo haciendo búsquedas de resolución inversa en determinadas zonas de DNS. Es decir actúan como filtros en la transacción SMTP. Si se establece una conexión contra una estafeta configurada así desde una máquina incorporada en estas listas la conexión será cancelada y se enviará el correspondiente aviso al emisor.

Los servidores de correo de RedIRIS responsables del dominio .rediris.es como por ejemplo el del servidor de listas listserv.rediris.es hacen uso de estas listas negras lo que ocasiona que algunos usuarios tengan problemas para enviar correo: suscribirse, contribuir a la lista etc. Les aconsejamos que se pongan en contacto con los responsables del servicio de su proveedor para que corrijan el problema. Constituye una labor ardua para RedIRIS pero ya se han conseguido configurar adecuadamente muchos servidores de correo para salir de estas listas negras. De algún modo el uso de estas listas lejos de ser un medida represiva es proactiva a la hora de avisar y colaborar con los responsables de cualquier proveedor para la correcta configuración de los servidores.

DOCENCIA-NET

Siempre hemos dicho que las reuniones celebradas hasta la fecha habían servido para mostrarnos el interés que estaba despertando la aplicación de las comunicaciones a la actividad docente. Desde su creación, la actividad de Docencia-net había demostrado que no estábamos en condiciones de establecer un sistema de colaboración, ya que muchos estaban empezando y no tenían los elementos necesarios para compartir, cooperar y acordar modos comunes de actuación.

Sin embargo, el panorama empieza a cambiar. En la última reunión de los Grupos de Trabajo ya se empezaron a ver frutos de la cooperación entre técnicos de distintas universidades. El Informe realizado, gracias a los datos aportados por distintos miembros de la lista Docencia-net entre ellos Francisco Martínez (Universidad de Jaén) sobre Servicios Informáticos para docencia en las universidades españolas no pretende ser un profundo y exhaustivo análisis de la forma en que cada universidad lleva el tema de aulas de informática, tan sólo intenta dar una idea general del panorama actual en un campo donde prácticamente no hay nada publicado que pueda servir como referencia técnica.

El documento presentado en la reunión se apoyaba en pocos pero importantes pilares:

• Personal en las Aulas de Informática
• Servidores
• Puestos de usuarios
• Cuentas de usuarios
• Funcionamiento de aulas de docencia
• Funcionamiento de aulas de libre acceso

Nueva Red Tematica de Farmacologia y Toxicologia

Novedades en el Servicio FTP

Los cambios que se han producido en relación con el Servicio FTP son numerosos, y aún no han concluido en el momento de escribir estas líneas. De una parte se ha procedido a la migración por completo del Servicio de FTP anónimo a una nueva máquina siguiendo las siguientes etapas:

• Instalación del software en la nueva máquina (Sun Ultra Enterprise 450) y del nuevo array SunStor T3.
• Configuración de los demonios ftpd y httpd en la nueva máquina.
• La información en el array de discos actual (A5000 con capacidad para 300 Gigabytes) se trasvasa al nuevo T3.
• Puesta en marcha del Servicio FTP en la nueva máquina. Desconexión de la máquina que venía prestando el servicio hasta ahora.
• El array A5000 se instala sobre la nueva máquina, quedando el nuevo servicio con una capacidad de 600 Gb.

Con la nueva configuración, al tener mayor capacidad de alojamiento, se harán réplicas de distintos sitios que sólo están accesibles por HTTP, configurando un host virtual para cada sitio replicado.

La disponibilidad de los contenidos del servidor por HTTP seguirá prestándose, debido al gran número de accesos que tiene en la actualidad.

Actualmente las réplicas se están realizando con las utilidades fmirror y rsync. Para réplicas de web se utilizará también wget cuando sea necesario.

El servicio ftpsearch ha sido reemplazado por FemFind, otro motor de búsqueda de características similares. El motivo del cambio es la falta de actualizaciones de la distribución GPL de ftpsearch desde 1998 y la dificultad para compilarlo con el software actual.

Reflector de VRVS en RedIRIS

A principios del mes de marzo se ha instalado en RedIRIS un reflector del sistema Virtual Rooms Videoconferencing System (VRVS).

VRVS es un sistema de videoconferencia y trabajo colaborativo sobre redes IP orientado a web. El sistema ha sido desarrollado por la Universidad de Caltech (California) en colaboración con el CERN.

Usando VRVS, personas de diferentes lugares del mundo pueden reunirse y participar en videoconferencias multipunto MBONE, H.323 o MPEG2. Durante las reuniones, los participantes pueden ver/oirse entre sí y hacer uso de diferentes herramientas de trabajo colaborativo (compartir sus escritorios, difundir cualquier herramienta local, participar en una sala de texto-conferencia, etc)

El reflector instalado es un software que interconecta a los usuarios que están en una Sala Virtual (Virtual Room) a través de un túnel IP permanente.

Los reflectores y sus enlaces forman un conjunto de subredes a través de las cuales se envían los flujos de medios (audio, video o datos). Los participantes desde cualquier sitio se unen a una videconferencia (en una o varias habitaciones) conectándose a su reflector más cercano. En el caso de la comunidad académica tenemos el situado en RedIRIS y el IFCA (Instituto de Física de Cantabria) tiene uno propio. Para hacer un uso eficaz del ancho de banda, los paquetes (los flujos de audio, video y datos) se envían sólo a través de los túneles entre los enlaces de ambos reflectores, si hay participantes en la misma habitación virtual en ambos lados. Además, la topología de reflectores se diseña teniendo en cuenta tanto el ancho de banda disponible como la geografía, para optimizar los caminos de conexión. En el proceso de registro el usuario final se asocia a su reflector más cercano.

Videoconferencia en la Red Academica

Durante el pasado mes de junio se envió por la lista de PERs y la de coordinación sobre multimedia IRIS-MMEDIA una encuesta sobre el uso de la videconferencia en la comunidad académica.

El objeto de dicha encuesta era conocer el estado de desarrollo de los servicios de videoconferencia dentro de la comunidad desde varios puntos de vista como son las infraestructuras y recursos humanos. Esto constituirá un paso previo a la elaboración de un documento que sirva de referencia y que será presentado durante las Jornadas Técnicas del próximo mes de octubre.

Grupo de trabajo sobre deteccion de intrusos en la red

Los sistemas de detección de intrusos en red referencia, usando OpenSSL y ficheros locales, analizan el tráfico que circula por la red para el almacenamiento de las claves y intentando detectar patrones que caracterizan certificados, pero puede modificarse fácilmente el inicio de un ataque contra un equipo o para dar soporte a cualquier dispositivo.

En la actualidad estos sistemas se basan en reglas que caracterizan un ataque, estas reglas tienen que ser actualizadas con nuevos patrones de manera similar a los sistemas antivirus, aunque algunos disponen de determinadas reglas heurísticas para detectar la presencia de tráfico extraño en la red.

Hasta hace algún tiempo el elevado coste de equipos que pudieran procesar en tiempo real el tráfico de un segmento de red impedía que estos sistemas fueran de uso común, sin embargo con el aumento de potencia de las equipos, en la actualidad es posible llegar a procesar el tráfico generado en un segmento de red en una estación de trabajo.

Para potenciar la implantación de este tipo de sistemas en las instituciones afiliadas y poder coordinar las alertas de seguridad que se van detectando se ha puesto en marcha una lista de distribución, GTI-SDIR desde donde se intentarán coordinar todas estas actividades.

Librería PKCS11 bajo licencia GNU

La Universidad de Murcia ha puesto como Software bajo licencia GNU una librería para el manejo de objetos criptográficos PKCS11. PKCS11 es el estándar empleado para que los programas se comuniquen con los dispositivos de almacenamiento de claves, como por ejemplo las tarjetas inteligentes y poder realizar de una forma segura las operaciones criptográficas (verificación, encriptación, firma, ...) sin que la clave privada tenga que ser leída en el equipo.

Esta librería no incluye soporte para un modelo específico de tarjeta inteligente, sino que está pensada como una implementación de referencia, usando OpenSSL y ficheros locales, para el almacenamiento de las claves y certificados, pero puede modificarse fácilmente para dar soporte a cualquier dispositivo.

Visita de CN-CERT a RedIRIS

El pasado 11 de junio recibimos la visita del CNCERT/CC, equipo de atención de incidentes de seguridad del Gobierno Chino operado por la Red nacional China y el Centro de Administración de Seguridad de la Información del Grupo Asesor nacional de Asuntos de Información. Esta visita, incluida dentro de una ronda de visitas programadas por dicho equipo a diferentes CSIRT europeos, tenía como objetivos primordiales un acercamiento en temas de coordinación y futuras colaboraciones, así como un conocimiento más profundo de los servicios que ofrecemos y las problemáticas que se nos presentan, puesto que el CNCERT/CC es un equipo de relativa nueva creación (mediados del año 2000), especialmente interesado en la experiencia que otros equipos de seguridad han ganado a lo largo de sus años de operación.

La visita fue muy satisfactoria y giró fundamen- talmente en torno a la forma de operación de IRIS-CERT, no descartándose nuevas reuniones y colaboraciones en un futuro.

( chelo [dot] malagon [at] rediris.es)

IRIS-CERT equipo de nivel 2 en el TI de TERENA

Proyecto PAPI

RedIRIS está desarrollando un proyecto llamado PAPI (Puntos de Acceso a Proveedores de Información), que surgió como respuesta a una problemática muy común en organizaciones con acceso a proveedores de información vía web. El proyecto partió de una reunión, organizada por RedIRIS tomando la iniciativa de Miguel Jiménez (Director de la Biblioteca de la UAM). Dicha reunión tuvo lugar entre varios consorcios públicos de bibliotecas y los principales proveedores de información de la red académica. En ella RedIRIS presentó una primera solución al problema, apoyada por varios de los consorcios de bibliotecas y por la totalidad de los proveedores de información allí reunidos. Esta solución fue evolucionando hasta llegar al actual diseño e implementación del sistema. Hay que destacar la favorable acogida de la iniciativa en diversos foros internacionales.

El problema

La manera actual en que los proveedores de información realizan el control de acceso a sus servidores web es usando filtros por la dirección IP origen de las consultas. Este sistema introduce una serie de problemas que hacen necesario su cambio a otro más eficaz:

• Difícil gestión: Cada vez que una organiza ción tiene nuevas direcciones IP debe informar al proveedor para que las autorice.
• Acceso de usuarios móviles: Usuarios que se encuentren fuera de su organización no pueden acceder, ya que la dirección IP origen de las consultas no se engloba dentro de las de su organización.
• Utilización de dispositivos que enmascaran la dirección IP origen de las consultas: Dentro de estos dispositivos se encuentran los proxies (dispositivos que funcionan como intermediarios en la transacción), ampliamente utilizados y que suponen un gran problema en este tipo de control de acceso, ya que enmascaran el origen de las consultas y el número de usuarios que las realizan.

Principales requisitos para una solución

1) El sistema no debe permitir el acceso a usuarios no autorizados.

2) El sistema de control de acceso a los servicios ofertados por los proveedores de información debe ser independiente de la dirección IP con la que se acceda.

3) Un usuario debe autentificarse frente a un servidor de autentificación gestionado por la organización y que le permitirá un acceso por un tiempo establecido. No teniendo, en condiciones normales, que volver a autentificarse para ninguno de los servicios autorizados.

4) Un usuario obtendrá acceso, mediante una autentificación, a todos los servicios que le sean permitidos.

5) El sistema de autentificación en el servidor de autentificación (SA) debe ser lo más flexible posible, para que cada organización pueda adaptar su propio proceso de autentificación.

6) Los proveedores de información podrán realizar un control de acceso a su servidor en función de algunas propiedades "públicas" del acceso.

7) El sistema debe ser lo más transparente posible para el usuario.

8) El sistema debe permitir movilidad a los usuarios.

9) El cliente accede a los servidores del proveedor de información mediante un navegador web Netscape o MS-Explorer.

10) Privacidad en el acceso a servicios. No podrá identificarse unívocamente al usuario que lo está realizando, aunque sí se deberá poder diferenciar entre accesos de distintos usuarios.

La solución se basa en la utilización de claves temporales, y dos elementos que agilizan la gestión y utilización de dicha tecnología:

• Servidor de Autentificación: Permite a un usuario autentificarse mediante un procedimiento adaptable a cada organización (login y password, tarjeta inteligente, cuentas POP, etc.). y una vez la autentificación es satisfactoria, hacer que el usuario reciba una serie de claves temporales que le permitan tener acceso (vía web) a todos aquellos recursos para los cuales está autorizado durante un periodo de tiempo que es configurable por parte de la organización.
• Punto de Acceso: Realiza el control de acceso vía web a un recurso (ej: servidor web de un proveedor de información), a través de las claves temporales que un usuario posee. Además, incorpora funcionalidades de filtrado por diferentes campos (usuario, organización, ...), control de copia de claves entre usuarios, contabilidad de acceso, etc.

Nuevo grupo de trabajo IRIS-SYSADMIN

En los Grupos de Trabajo celebrados en Madrid el pasado mes de mayo, el equipo de Sistemas de RedIRIS propuso a los representantes de la comunidad de RedIRIS allí presentes la creación de un grupo de trabajo que pudiera tratar todos los temas referentes a los diferentes sistemas (hardware y software) sobre los que corren todas las aplicaciones existentes en los distintos centros afiliados.

El objetivo de la propuesta es la creación de un foro de discusión, propuestas y puesta en común de experiencias en todo el campo de los Sistemas (instalación y configuración, optimiza- ción, hardware, alta disponibilidad, clustering, almacenamiento, ...) tanto a nivel hardware como a nivel de sistema operativo y software relacionado, sin centrarse en un entorno o plataforma especifica, sino abierto a cualquier tipo de plataforma usada dentro de la comunidad de RedIRIS.

Actualidad de Red

Los pasados 9 y 10 de mayo, se celebraron en Madrid las XI Reuniones de Coordinación de los Grupos de Trabajo de RedIRIS.

El grupo IRIS-RED se dividió en tres partes. Se presentó la evolución que ha tenido la red en cuanto a volumen de tráfico y enlaces. Así, el tráfico medio cursado por la red durante el mes de abril de 2001 fue de 2076 Gbytes/día, un 236% superior al cursado durante el mismo mes del año pasado.

Estado de la red piloto IPv6

La principal novedad respecto a IPv6 es que ahora RedIRIS dispone de direccionamiento propio, asignado por el registro europeo (RIPE). Hasta ahora se estaba utilizando el prefijo asignado por el 6bone ­prefijo temporal debido al carácter experimental de la red­, sin embargo ya disponemos de un prefijo de RIPE asignado a RedIRIS, de manera permanente.

Dicho prefijo es el 2001:0720::/35 es decir, 35 bits fijos. De estos 35 bits, hay 6 reservados para en un futuro poder pasar a un prefijo de 29 bits, un /29. Actualmente estamos realizando la distribución del prefijo así como los formularios de petición de direcciones.

PAM 2001

RIPE 39

En la primera semana de mayo tuvo lugar en Bolonia la trigésimo novena reunión de RIPE. En los diferentes grupos de trabajo el tema de discusión fue el mismo: el aumento desmesurado que está teniendo lugar en las rutas en Internet durante los últimos meses (~100.000), la mayor parte de ellas de rango /25 o inferior. De hecho, el crecimiento ha sido exponencial, al igual que el de los sistemas autónomos: Se calcula que para el 2005 estarán todos asignados. Este fenómeno se debe a que las diferentes organizaciones que hasta ahora se conectaban a un solo proveedor para tener salida a Internet, se están conectando a diferentes proveedores. Esto implica tener un direccionamiento propio asignado por un Registro Regional de Internet (RIR) que no puede ser agregado en las tablas de routing del proveedor. Debido a esto los RIR están endureciendo sus políticas de asignación de direccionamiento y por otro lado los proveedores también lo están haciendo con sus políticas de routing: es decir, filtran los rangos inferiores al tamaño que consideran adecuado, quedando estas redes desconectadas de gran parte de la Internet.

Reunion del TAC (Technical Advisory Council) de TERENA

El pasado 14 de mayo, coincidiendo como es habitual con el inicio de la Conferencia Anual de TERENA (TNC), se celebró la reunión del TAC, a la que asisten representantes de las redes nacionales pertenecientes a TERENA. La tarea del TAC es aconsejar a los órganos directivos de TERENA acerca de nuevos aspectos tecnológicos y proponer las áreas de interés prioritarias que definirán la acción de TERENA.

Durante la reunión se presentaron y discutieron aspectos relativos a dos tecnologías que se prevé tendrán un impacto significativo a corto plazo: grids y movilidad.

En el primer caso, se analizaron los grids en las tres aplicaciones que actualmente se prevén: cálculo masivo, acceso a grandes volúmenes de datos y constitución de comunidades virtuales. La discusión se centró en la necesidad de desarrollar middleware específico para este tipo de estructuras y en las diferentes iniciativas existentes tanto en Europa como a nivel mundial.

En el caso de las redes móviles, el sentir generalizado era que van a constituir un elemento cada vez más importante en las redes académicas, aunque el establecimiento de las mismas depende de la rapidez con la que los operadores de red ofrezcan estos servicios. TERENA se comprometió a organizar un "workshop" sobre este tema en noviembre, con el objeto de identificar las implicaciones de la disponibilidad de estas tecnologías en el entorno de las redes académicas, y las nuevas expectativas que ofrecen.

Por último, el TAC emitió su recomendación para mantener las áreas de interés actuales:

• Niveles de red: IPv6, VPNs, MPLS,...
• Videoconferencia y streaming.
• Distribución, indexación y búsqueda de contenidos.
• Middleware
• Calidad de servicio, incluyendo DiffServ.

Para más información:

TERENA Middleware

Este año el "middleware" fue el protagonista dentro del área de aplicaciones, en la conferencia internacional que TERENA organizó en Antalya (Turquía). Se presentaron iniciativas y proyectos en los que se trataron los problemas y aspectos hoy en día más importantes del middleware en Internet.

Dentro de este contexto, se habló de middleware como lo que está entre el "Upperware" (aplicaciones) y el "Underware" (infraestructura de Internet), y como áreas en las que se está trabajando actualmente, se destacaron:

• Seguridad: PKI, certificados, autentificación y autorización.
• Servicios de directorio LDAP
• Sistemas de computación distribuida (GRIDs)

a) Seguridad

Dentro de este apartado se trataron aspectos relativos a autentificación y autorización (AA), infraestructuras de clave pública y certificación. Se presentaron dos proyectos:

• PAPI: Como ya hemos comentado se desarrolla dentro de RedIRIS, y se basa en el empleo de dos elementos que le dan flexibilidad: servidores de autentificación locales a las organizaciones de los usuarios (permiten utilizar métodos de autentificación propios de esa organización), y puntos de acceso como elemento de autorización a la hora de acceder a un recurso protegido. Todo este sistema, se basa en "tokens" de intercambio encriptados y resulta transparente a los usuarios. Actualmente existe una distribución en RedIRIS, y funcionan varios pilotos en diversos centros.
  
• Shibboleth: Proyecto desarrollado dentro de Internet2. Su diseño se basa en una serie de elementos que realizan la autentificación y la autorización a la hora de acceder a un recurso restringido. Para ello, intercambian de manera segura, información sobre el usuario que está accediendo, tales como: qué usuario accede, con qué privilegios, a qué recursos tiene acceso, etc. Tienen planeado el desarrollo de un prototipo en poco tiempo, y una demostración para el próximo otoño.

En referencia a la infraestructura de clave pública se presentó el proyecto EuroPKI, como autoridad de certificación a nivel de la Unión Europea. Se describieron los pasos del proyecto a lo largo de los últimos años, la estructura actual, los próximos miembros, los desarrollos que se están realizando, las ventajas de tener una autoridad de certificación común para Europa, y las aplicaciones más inmediatas.

Como proyecto de PKI a nivel de EEUU, se presentó la "US Federal PKI". Servirá como nexo de unión para las autoridades de certificación americanas y se basa en el empleo de "Bridge CA". Esta tecnología (en desarrollo) permitirá unir autoridades de certificación de manera "horizontal", frente al sistema "vertical" utilizado por la jerarquías de CAs. Dentro de estas conferencias, se discutió ampliamente si era mejor opción utilizar un modelo de "Bridges" o un modelo jerárquico basado en una CA raíz. Finalmente, se llegó a un acuerdo para estudiar por una parte esta nueva tecnología más a fondo, y por otro lado, la utilización de ambos modelos de manera conjunta (Bridges que unan CAs raíz).

b) Directorio

Uno de los temas más destacados en esta área fueron las limitaciones que presentan los modelos actualmente en uso para almacenar y acceder a certificados usando LDAP:

• el sistema de conversión del certificado a formato ASCII que realiza el LDAPv2 hace que falle la firma del mismo.
• encontrar un conjunto mínimo de atributos para almacenar certificados y que faciliten su búsqueda en el directorio
• la recuperación del certificado correcto cuando un usuario tiene varios almacenados

Otro aspecto importante en el establecimiento de directorios LDAP es la necesidad de coordinar los contenidos de los mismos, dado que se está pasando de un modelo dotado de una raíz común centralizada (X.500) al modelo de servidores completamente distribuidos (LDAP). En este sentido, se presentaron y discutieron propuestas para crear servidores de índices LDAP que se basan en recorrer los objetos de cada servidor LDAP, extrayendo un conjunto determinado de propiedades, fragmentando en "tokens" sus valores, y enviando esta información, junto con sus referencias, al servidor de indexación. A la hora de responder a una consulta, el servidor de indexación devuelve una lista de referencias a los servidores que contienen objetos que satisfagan las condiciones de la consulta. Estas referencias serán utilizadas para acceder a los servidores y obtener los objetos buscados.

Esta solución, presenta problemas como por ejemplo decidir qué conjunto de atributos se indexan, la dificultad de indexar ciertos atributos, o implicar un trabajo de gestión adicional en los servidores. Aún así, es una solución a tener en cuenta ya que se adapta a servidores bajo esquemas distintos y limita el número de servidores a buscar, evitando problemas de escalabilidad.

Como elemento esencial a la hora de integrar directorios dentro del ámbito académico se presentó el objeto eduPerson (desarrollado en Internet2), que define una serie de atributos comunes necesarios para aplicaciones interinstitucionales. Las redes europeas están estudiando una iniciativa similar, adaptando las características de eduPerson a la idiosincrasia de nuestros entornos académicos.

c) GRIDs

A nivel de sistemas distribuidos para almacenamiento y computación, se presenta- ron proyectos concretos como la "EVN" (European Very long baseline interferometry Network). Se basa en una red de radioteles- copios a lo ancho de toda Europa y que mediante un procesamiento conjunto (interferometría) de la información recibida, permite multiplicar el rendimiento de los radiotelescopios en varias órdenes de magnitud. Gracias a la nueva red GÉANT y a los sistemas de cálculo y almacenamiento distribuidos, permitirá a este sistema trabajar de manera conjunta.

Otro de los proyectos que se presentaron fue UNICORE (Uniform Interface to Computing Resources) que desarrolla un software para compartir recursos distribuidos de manera fácil y segura, y EUROGRID que formará una red europea de recursos distribuidos basado en tecnología UNICORE. Está previsto que EUROGRID trabaje en campos tales como: biología (simulación de biomoléculas), meteorología (modelos de predicción) y aeronáutica (simulación de aeronaves).

( rodrigo [dot] castro [at] rediris.es)
( diego [dot] l)

3ª reunion del TF-CSIRT de TERENA

En esta ocasión la reunión se celebró en Lubiana (Eslovenia) los pasados días 31 de mayo y 1 de junio y estuvo organizada por SI-CERT (Equipo de Atención de Incidentes de Seguridad de ARNES, Red Académica y de Investigación Eslovena). Como viene siendo habitual, el primer día se dedicó a seminarios de interés general y el segundo, a la reunión del Task Force propiamente dicha.

De los temas tratados cabe destacar el intercambio de posturas y presentación de los distintos módulos que contendrán los cursos de formación. Serán impartidos por miembros del Task Force e irán dirigidos al nuevo personal de los CSIRTs. Se centran en diversos aspectos de operación de un CSIRT (características operacionales, comerciales, legales, etc.). Posiblemente, estos cursos se impartan el próximo otoño, una vez se presente el material definitivo en la próxima reunión del Task Force que se celebrará en Manchester los próximos días 27 y 28 de septiembre.

En cuanto al Grupo de Trabajo para el establecimiento de una definición común y una taxonomía de incidentes de seguridad que pueda ser utilizada por todos los equipos, y que tiene como objetivo promover estándares comunes y procedimientos para respuesta de incidentes de seguridad, se finalizó la parte del trabajo consistente en la definición de un objeto incidente común y una taxonomía de alto nivel. Esto permitirá en un futuro ­parece no muy lejano­ un intercambio de información relativa a incidentes de seguridad más eficaz y la generación de estadísticas globales o el reconocimiento de tendencias o patrones de ataques. En la reunión se presentó además un Piloto, que en principio será llevado a cabo por JANET-CERT (UKERNA) y CERT-NL (SURFnet), que permitirá definir los procesos de intercambio de los objetos incidentes entre CERTs y las APIs para que esos objetos sean entendidos por las herramientas de gestión de incidentes que se utilicen. Además se presentó una iniciativa para que el objeto incidente que se ha definido en este Grupo de Trabajo sea compatible con el IDMEF (Intrusion Detection Message Exchange Format) que se utiliza para el intercambio de mensajes entre IDSs (Sistemas de Detección de Intrusos).

Otro tema importante tratado en esta reunión fue el estado de las colaboraciones entre este TF y la Comisión Europea iniciadas para conseguir los objetivos descritos en Action Plan eEurope 2002 "An Information Society for All" preparado por el Consejo y la CE para el Consejo Europeo de Feria que se celebrará el 14 de junio de 2000. En las diferentes reuniones mantenidas con la CE se han fijado una serie de proyectos que podrían ser llevados a cabo por el TF, o más correctamente, algunas de las líneas de trabajo que se están desarrollando en el TF se han puesto a disposición de la CE para que sean proyectos que permitan alcanzar los objetivos fijados en el Action Plan. Entre estos proyectos estarían, por ejemplo, la ayuda para el establecimiento de nuevos CERTs y la formación de nuevos miembros de estos equipos y la recopilación de legislación informática en Europa.

Por último se hizo un repaso del funcionamiento y se decidió la forma de financiación del servicio de "Trusted Introducer" (TI) de TERENA para el establecimiento de una red de confianza entre CSIRTs europeos. Los resultados obtenidos hasta ahora con el proyecto han sido muy positivos, aunque el número de CSIRTs de nivel 2 no ha sido el esperado (10 equipos en los primeros 10 meses de operación). La posición general fue que el servicio es muy necesario pero que lo es también ver la respuesta de la gente en los próximos meses para decidir si se continua o no con él de forma permanente. Además se establecieron las bases para la elección del Review Board encargado de monitorizar el funcionamiento del servicio y que estará compuesto por representantes de los equipos de nivel 2.

3ª reunion del TF-NGN

XIII reunion del FIRST

Durante la semana del 18 al 22 julio se ha celebrado en Toulouse, Francia la XIII Conferencia anual del FIRST (Forum of Incident and Response Security Teams), organización integrada por grupos de seguridad como el CERT-CC, equipos de seguridad de empresas relacionadas con Internet (Cisco, SGI, etc.) proveedores de acceso a Internet (BT, Telia) y redes académicas como: RedIRIS, Ukerna (red inglesa), DFN-CERT (red alemana).

Durante los cinco días de la conferencia se trataron diversos aspectos de la problemática de los incidentes de seguridad, su detección, análisis y gestión.

En el contenido de la Conferencia destacaríamos lo siguiente:

GEANT

EUMEDIS

La iniciativa EUMEDIS IP (EUro-MEDiterranean Information Society) cuyo objetivo es la creación de una infraestructura que interconecte las redes de investigación del Mediterráneo con las redes de investigación europeas (GÉANT), ha generado una serie de reuniones promovidas por la Comisión Europea que han contando con la participación de países como Argelia, Chipre, Israel, Jordania, Malta, Marruecos, Túnez y Turquía, (Siria y Líbano podrían también participar) y una Delegación Palestina, además de países europeos muy directamente interesados, como España, Francia, Italia y Grecia.

La última reunión de 18 de junio celebrada en Atenas marcó un momento importante de cara al consenso para la realización de una propuesta a la Comisión Europea con el fin de que realice el estudio de viabilidad de la red que proporcione conectividad a la región y su interconexión con GÉANT. El estudio será coordinado por DANTE y contará con la participación de los países europeos y del Mediterráneo.

( victor [dot] castelo [at] rediris.es)

ALIS