ACTUALIDAD DE RedIRIS

• MUPBED

En este proyecto (http://www.ist-mupbed.org) sehan creado 5 testbeds a nivel europeo, uno deellos en Telefónica I+D. De su conexión se haencargado RedIRIS, así como del estable-cimiento el próximo septiembre de conexionesde nivel 2 con el resto de testbeds sobre GÉANT.Con estos testbeds, se va a integrar y validar lastecnologías ASON/GMPLS (AutomaticallySwitched Optical Network/ Generalised MultiProtocol Label Switching).

De esta forma, en el proyecto se trabajatambién en la integración de aplicacionesavanzadas con la red, mediante un plano decontrol, que en este caso puede ser UNI1.0 óUNI2.0, aunque se están evaluando lasdiferentes tecnologías y el acceso directo de lasaplicaciones a la configuración de dispositivosde red.

• Tecnología VPLS

Siguiendo con la línea de trabajo iniciada haceunos meses, y tras la puesta en producción delservicio de VPNs de nivel 2 punto a punto,RedIRIS, en colaboración con el personal delárea de red del CESGA ha realizado las primeraspruebas europeas en entorno entre proveedorsobre tecnología VPLS (Virtual Private Network).Esta tecnología, permite proporcionarconexiones de nivel 2 multipunto y aunque porel momento no está soportada por GÉANT y nose encuentra en producción en RedIRIS, estaspruebas han sido presentadas en diversos forosde discusión y congresos y se han hecho variaspublicaciones al respecto.

Una descripción completa de las pruebasrealizadas puede encontrarse en la ponenciapresentada en la pasada reunión anual de Terenaque tuvo lugar en Poznan: (http://www.terena.nl/conferences/tnc2005/programme/presentations/show.php?pres_id=54).

Estas pruebas han despertado el interés de otras

redes académicas de investigación, que estáncomenzando a trabajar en esta tecnología.

Miguel Ángel Sotos([email protected]

Laura Serrano([email protected])

Área de Red

• ALICE: Proyecto América LatinaInterconectada Con Europa

RedCLARA (www.redclara.net) continúacreciendo y conectando a nuevas redesnacionales de investigación latinoamericanas.En junio 2005, las redes conectadas eran las deArgentina, Brasil, Chile, Méjico, Perú, Venezuelay Panamá y en breve se conectarán las deUruguay y Guatemala para continuar con las deCosta Rica, El Salvador y Nicaragua.

Recordamos que el anillo principal deRedCLARA está formado por enlaces STM-1 (155Mbps) entre Buenos Aires (Argentina), Santiagode Chile (Chile), Panamá, Tijuana (Méjico), SaoPaulo (Brasil) y Buenos Aires. En estos puntos seubica un nodo de RedCLARA al cual se conectabien la NREN del propio país o la de otro queno tenga nodo de RedCLARA, como porejemplo, es el caso de Uruguay conectado aBuenos Aires.

El grupo técnico de RedCLARA se reunió lospasados 25 a 27 de abril en Veracruz (Méjico) ydesafortunadamente en esta ocasión RedIRISno pudo participar. Durante el evento, lospropios técnicos de estos países dierontutoriales y descripciones técnicas, destacandoel impartido sobre IPv6 por nuestros colegasportugueses.

Durante esta reunión se elaboró la propuestadel Reglamento de la Comisión Técnica deCLARA para su aprobación por parte de suConsejo Directivo y surgió la iniciativa de crearuna serie de grupos de trabajo por cada una delas tecnologías que se desea configurar ysoportar en RedCLARA.

5Actualidad http://www.rediris.es/rediris/boletin/73/actualidad.pdf

Proyectos de Red

Las pruebasrealizadas por

RedIRIS entecnología VPLShan despertado

el interés enotras redesacadémicas

Actualidadde RedIRIS

RedCLARAcontinúa

creciendo yconectando anuevas redes

nacionaleslatinoamericanas

En el cuadro que aparece a continuación vemoslos grupos de trabajo creados y los líderes decada uno de ellos.

Los pasados 28 y 29 de julio tuvo lugar enAntigua (Guatemala) la 4ª reunión del proyectoALICE, a la que acudieron los representantes de16 redes académicas y de investigaciónlatinoamericanas, de dos de las cuatro redeseuropeas que participan en el proyecto (laportuguesa FCCN y RedIRIS) y de DANTE, laasociación formada por varias redes académicaseuropeas (incluyendo a RedIRIS) que se hacecargo de la gestión del proyecto.

En la última reunión del proyecto se trataron,entre otros temas, el de la inminente conexión aRedCLARA de las redes académicas y deinvestigación de Nicaragua, El Salvador,Guatemala, Costa Rica y Uruguay, que sesumarán a las redes, ya conectadas, de Brasil,Argentina, Chile, Panamá, México y Venezuela,lo que pone de manifiesto la buena marcha delproyecto.

RedIRIS presta un apoyo decidido al proyectoALICE y a RedCLARA, y en la reunión de ALICEque tuvo lugar en Guatemala se comprometió aparticipar en la próxima reunión técnica deRedCLARA, y a acoger en las próximas JornadasTécnicas de RedIRIS a los responsables de losgrupos técnicos.

Esther Robles([email protected])

Coordinadora del Área de RedAlberto Pérez

([email protected])Subdirector

• EUMEDCONNECT: Proyecto deinterconexión entre el área Sur delMediterráneo y GÉANT

En cuanto a la red con los países del norte deÁfrica (www.eumedconnect.net) debemos

destacar el incremento de velocidad llevado acabo en el enlace entre Argelia y Madrid,pasando de 45 a 155 Mbps. El enlace de 34Mbps de Egipto con el Punto de Presencia (PdP)de EUMEDCONNECT en Catania está yaoperativo. El enlace de 8 Mbps de Siria con elPdP de EUMEDCONNECT en Chipre va conretrasos y el de 45 Mbps de Jordania se estáimplementando.

Los socios de este proyecto estamos trabajandoen el próximo entrenamiento que los socioseuropeos darán a los técnicos de las NRENs deestos países del norte de África. Tras expresarsus intereses, el entrenamiento será muypráctico y estará enfocado en multicast: análisisdel despliegue y configuración y solución deproblemas. Las fechas que se barajan son elpróximo mes de noviembre. La parte de IPv6quedará cubierta con otro entrenamientoofrecido bajo el proyecto 6DISS (www.6diss.org)del que RedIRIS no forma parte.


Coordinadora del Área de Red

• Nueva red pan-europea de redes nacionales académicas y de investigación

Los días 14 y 15 de junio tuvo lugar enLuxemburgo la presentación oficial de la nuevared académica y de investigación paneuropea,GÉANT2 (www.geant2.net). El acto organizadopor la asociación de redes académicas DANTE (dela que es accionista RedIRIS) contó con lapresencia de más de 200 personas, entre las quese encontraban responsables de las principalesredes académicas y de investigación a nivelmundial y de varios destacados centros deinvestigación europeos, así como representantespolíticos nacionales y comunitarios, destacandola presencia de Viviane Reding, la Comisariaresponsable de Sociedad de la Información yMedios de Comunicación (http://www.geant2.net/server/show/ conWebDoc.1267).

GÉANT2 interconecta las redes académicas y deinvestigación europeas entre sí, permitiendoque más de 3.000 centros académicos y deinvestigación europeos dispongan de una redde comunicaciones avanzada y de altacapacidad para comunicarse entre sí, lo que, enparticular, resulta imprescindible para

6

ACTUALIDAD de RedIRIS

Incremento develocidad en elenlace Argelia-

Madrid de la redcon los paísesdel norte de

África

Boletín de RedIRIS, nº 73, septiembre 2005

GRUPO DE TRABAJO NOMBRE DEL LIDER RED

Medidas Rendimiento Hans-Ludwig Reyess (CLARA-NOC)

Routing Eriko Porto (CLARA-NEG)

Seguridad Juan Carlos Guel (CUDI)

VoIP Iván Morales (RAGIE)

Video Conferencia Alexander Valerín (CR2NET)

IPv6 Azael Fernández (UNAM/CUDI)

Multicast Guillermo Cicileo (RETINA)

GÉANT2

El pasado juniotuvo lugar en

Luxemburgo lapresentaciónoficial de lanueva redacadémica

determinados experimentos europeos querequieren transferencias masivas de datos.GÉANT2 permite además a esos centros accedera otras redes académicas y de investigacióninternacionales, como las americanas Abilene yESNET, la canadiense Canarie, lalatinoamericana RedCLARA, etc.

La red GÉANT2 es financiada al 50% por laComisión Europea y por un consorcio formadopor las redes académicas y de investigación de30 estados europeos (entre las que se encuentraRedIRIS). DANTE, asociación formada poralgunas de esas redes académicas, se hace cargode su gestión en nombre de ese consorcio.

En general, GÉANT2 (http://www.geant2.net/)presenta una arquitectura mixta donde secombina la conmutación de paquetes con la decircuitos. Esta combinación de tecnologíasdotan a la red de una gran flexibilidad a la horade satisfacer necesidades específicas deinvestigadores, a los cuales se desea proporcionarel mejor de los servicios.

La nueva red ofrecerá velocidades hasta 4 vecessuperior a las que se ofrecen ahora a través de supredecesora GÉANT. GÉANT2 tendrá la topologíaque se muestra en la siguiente figura, donde elpunto de presencia (PdP) en España se conectacon el resto a través de tres rutas físicamentediversificadas: por el Este de la península, el PdPde España se une con el de Ginebra con fibra

oscura; por el Norte hacia París, se cuenta condos enlaces de 10Gbps cada uno y por el Estecon Milán. La conexión de fibra oscura deEspaña con esta red, significa que lasinstituciones conectadas a RedIRIS tendránacceso a la red de conmutación de circuitos quesoportará los enlaces extremo a extremo(configurados a nivel 1 ó 2) también conocidoscomo lighpaths. La capacidad, prácticamente,no está limitada, ya que la infraestructura físicapertenece al consorcio de redes europeas ysobre esta infraestructura se pueden configurarnuevos enlaces de 10 Gbps.

Aunque en la actualidad la conectividad delpunto de presencia español a la red de fibraoscura europea no es total, ya que de momentosólo tenemos una ruta provista con fibra oscura–está en preparación un nuevo concurso parasustituir los enlaces alquilados con París porfibra oscura–, este es un paso muy importantepara España al tratarse de un país de granextensión situado en un extremo de Europa,donde la disponibilidad de fibra oscura porparte de los operadores para ser alquilada eslimitada. La situación en cambio en el centro deEuropa es la opuesta ya que la fibra oscura estádisponible para alquilar a precios asequibles.

La planificación realizada estima que el PdP deGÉANT2 en España estará operativo ennoviembre de este año, los trabajos ya hancomenzado. Realmente no se trata de una

7

ACTUALIDADde RedIRIS

GÉANT2presenta unaarquitectura

mixta donde secombina la

conmutación depaquetes con la

de circuitos

Actualidad http://www.rediris.es/rediris/boletin/73/actualidad.pdf

TOPOLOGÍA DE GÉANT2 (www.geant2.net/server/show/nav.941)

La nueva redofrecerá

velocidadeshasta 4 vecessuperior a las

que se ofrecenahora

migración sino más bien de unacomplementación y mejora de la red actual, yaque a la red IP de conmutación de paquetesexistente se la van a añadir enlaces de fibraoscura.

Además de routers IP, el equipamiento deGÉANT2 incluirá equipos ópticos y switches cross connect. El pasado 14 de junio se hizo público elfabricante ganador del concurso de este tipo deequipos que será Alcatel.

• Iniciativa de fibras transfronterizas oCross Border Fibers

Nueva estrategia de conexión transfronteriza através de redes de fibra oscura propia dealgunas redes académicas

Como ya hemos comentado, la disponibilidadde fibra oscura en los países del Centro y Estede Europa es muy significativa. Es más, algunosde nuestros colegas del Este de Europa hanoptado por desplegar su propia red de fibraoscura allí donde no hay infraestructura paraser alquilada o los precios son demasiadoelevados.

Esta estrategia seguida ha llevado a que redesnacionales académicas y de investigación depaíses colindantes posean fibras hasta susrespectivas fronteras o incluso hasta ciudadesdel país vecino, lo que significa que estas NRENspueden conectarse utilizando sus propiasinfraestructuras sin utilizar la de GÉANT2.

Hay que enfatizar el hecho de que no se buscasustituir la red GÉANT2 sino optimizar recursos.En este sentido, si estos dos países se conectarana nivel físico y proporcionaran los circuitosnecesarios a GÉANT2 para ser construida, nosería necesario pagar el alquiler a un operadorni de capacidad ni de fibra oscura. Pero la tanbuscada flexibilidad para tener lighpaths yofrecer servicios extremo a extremo a losinvestigadores se mantendría, ya que lainfraestructura física pertenece a las NRENs.

Esta nueva filosofía requiere de un profundoanálisis de todas sus implicaciones tanto políticascomo económicas, técnicas y de gestión. Con elpropósito de iniciar este trabajo se ha creado ungrupo de discusión entre las NRENs interesadasdel que RedIRIS forma parte ya que tiene dospaíses europeos fronterizos con los que ya se haniniciado las conversaciones para analizar laviabilidad de una futura interconexión directa.

Quizá a largo plazo, RedIRIS podría sacar ventajade su proximidad con ciertos países de la RiberaSur del Mediterráneo.

• Actividad JRA3

Actividad perteneciente al proyecto GÉANT2para el desarrollo de un servicio de bandagarantizado bajo demanda

Respecto a la actividad JRA3 (http://www.geant2.net/server/show/nav.00d00a003) cuyoobjetivo es el desarrollo de un servicio de anchode banda garantizado bajo demanda, RedIRISconstituye una de las redes académicasnacionales con la responsabilidad de diseñar laarquitectura del mismo, fase en la queactualmente se está trabajando.

Las reuniones recientes se han concentrado enla definición de los módulos que van aconstituir el sistema, la interacción entre losmismos y la especificación de susfuncionalidades. En este sentido hay quedestacar la problemática subyacente a estepropósito principalmente derivada del procesode automatización y del hecho de que sea unservicio punto a punto entre dominios.

Estas circunstancias plantean dificultades quedeben ser tenidas en consideración, dificultadesreferentes al plano de control, desincronización, de ámbito político, depriorización, referentes a mecanismos debackup, monitorización... que son vitales a lahora de diseñar una arquitectura completa enla que el servicio en sí mismo quedeperfectamente definido.

Muchos de estos puntos siguen en estosmomentos siendo objeto de discusión ycuestiones tales como disponer de rutasalternativas para proporcionar el servicio ypoder así ofrecer backup; garantizar algún otroparámetro como el retardo o permitir algúntipo de reserva anticipada (preemtion) sonalgunas de las cuestiones que, aunque no seimplementarán en una primera fase (manual ydentro del dominio), se han tenido en cuentapara próximas fases del proyecto.

• Actividad JRA5

Actividad que trabaja en la definición de laarquitectura de los sistemas de autenticación yautorización

8


La iniciativa deconexión

transfronterizassignifica queestas NRENs

puedenconectarse con

sus propiasinfraestructurassin utilizar las de

GÉANT2


Se trabaja paraconcluir la

definición de laarquitectura delos sistemas deautenticación y

autorización

Los trabajos de la actividad JRA5 (Roaming andAuthorization) de la nueva red paneuropeaGÉANT2 continúan de acuerdo con los planesprevistos. En estos momentos el grupo trabajaen terminar la definición de la arquitectura delos sistemas de autenticación y autorización.

Esta arquitectura está basada en Web Services yorientada a la integración de infraestructuras yaexistentes tales como PAPI o A-Select. El uso deWeb Services garantiza la evolución futura de lainfraestructura y su extensibilidad, al mismotiempo que simplifica su integración con lasaplicaciones usuarias potenciales, desdemecanismos de gestión de ancho de bandahasta las infraestructuras Grid.

Respecto a las diferentes actividades de GÉANT2hay que destacar los contactos que se hanestablecido entre ellas con objeto de coordinarsus actuaciones. De esta manera, por ejemplo,los requisitos del grupo SA3 en cuanto aautenticación y autorización de usuarios hansido incorporados en la definición dearquitectura de la actividad JRA5.

• Actividad SA3

Creación de un servicio de conexión extremo aextremo de tráfico IP de máxima prioridad

En esta actividad (SA3: http://www.geant2.net/server/show/nav.00d00a006) se va a crear elservicio Premium IP extremo a extremo dentrode GÉANT y en las redes nacionales conectadasa ella, mediante el cual, sus usuarios podránsolicitar una conexión extremo a extremo detráfico Premium IP (tráfico IP de máximaprioridad).

Otro de los objetivos de esta actividad es crearun PERT (Performance Response Team), unequipo similar a un NOC o un CERT encargadode resolver los problemas relacionados con elrendimiento de las aplicaciones. En una primerafase se creó un PERT en pre-producción en elque cada semana cada red académica nacionalponía a disposición de este equipo a unresponsable, encargado de trabajar unas doshoras diarias y resolver los casos iniciales.

En esta primera fase se solucionaron varioscasos, y se empezó a crear el sistema de ticketspara gestionar incidencias. También se creó unabase de datos de conocimientos donde seguarda información útil relativa a cualquieraspecto que pueda influir en el rendimiento de

una aplicación. Hay que tener en cuenta que siel rendimiento es bajo, la causa puede estarprovocada por múltiples factores: la red, laaplicación, sistemas operativos, red local, malaconfiguración de alguno de los elementosanteriores... Una vez finalizada esa fase con elsistema de tickets acabado, estamos ahora enuna etapa de puesta en producción del PERT,con un encargado a tiempo completo cadasemana.

Para que el PERT tenga éxito en la resolución decasos, es necesario que la recopilación deinformación para resolver el problema sea lomás extensa posible, así como poder contactarcon expertos en diferentes materias (SistemasOperativos, configuración de aplicaciones dered, etc...) que puedan ayudar en la resoluciónde los problemas.

Alberto Pérez([email protected])

Subdirector


Coordinadora del Área de RedMiguel Ángel Sotos

([email protected] Serrano

([email protected])Área de Red

Diego López([email protected])

Coordinador del Área de Aplicaciones

• Reunión anual de la Asociación trans-europeade redes académicas y de investigación(TERENA) en Poznan

A principios del pasado junio se celebró enPoznan (Polonia) la Conferencia Anual deTERENA 2005 (http://www.terena.nl/conferences/tnc2005/). Dentro de la mismapodemos destacar:

- El que el elemento principal de la discusióndel TAC (Technical Advisory Committee,encargado de definir las actividadestécnicas de la asociación) se centrara en lasactividades dirigidas a las tecnologías conlas que establecer redes de confianza

9


Creación de unequipo pararesolver losproblemas

relacionados conel rendimiento

de lasaplicaciones


Reunión anualde TERENA el

pasado junio enPoznan

TNC 2005

dentro del espacio académico y deinvestigación europeo, actividadcoordinada por RedIRIS.

- Dos presentaciones realizada por personalintegrante del equipo de RedIRIS: LauraSerrano (http://www.terena.nl/conferences/tnc2005/programme/people/show.php?person_id=892) y Diego López(http://www.terena.nl/conferences/tnc2005/programme/people/show.php?person_id=890).

- Una presentación realizada por unmiembro de la comunidad RedIRIS,Victoriano Giralt, de la Universidad deMálaga (http://www.terena.nl/conferences/tnc2005/programme/people/show.php?person_id=923).


Coordinadora del Área de RedDiego López

([email protected])Coordinador del Área de Aplicaciones

• Iniciativas relacionadas con la detección de intrusiones y su análisis

En los últimos Grupos de Trabajo celebrados enMálaga el pasado mes de mayo, se presentarondiversas iniciativas que poco a poco yprevisiblemente antes de la finalización delpresente año, se van a ir lanzando en nuestracomunidad, siempre contando con lainestimable colaboración y coordinación dediversos miembros de la misma.

A continuación vamos a describir brevementeestas iniciativas y su estado actual de desarrollo.

•ACRI (Almacén Colaborativo de Reglas deIntrusión). El Repositorio ordenado de reglaspara distintos IDSs (Intrusion DetectionSystems) adaptadas a la comunidadacadémica y de investigación española, estáen la actualidad disponible para losmiembros de nuestra comunidad.

De momento se contemplan tan sólo losficheros de reglas correspondientes al snort

(lhttp://www.snort.org/), al ser uno de losIDSs más ampliamente utilizado en nuestracomunidad, pero no obstante el repositorioestá abierto a incorporaciones para otrosIDSs.

Toda la información acerca de la iniciativa yde cómo participar en ella está disponible ensu página Web: (http://www.rediris.es/cert/proyectos/acri.es.html).

•ANAMARIS (ANálisis de ActividadMAliciosa y Respuesta a IncidenteS). Estainiciativa, disponible en breve, pretendeestablecer un foro técnico especializado,integrado por técnicos en seguridadinformática de la comunidad RedIRIS, con elobjetivo de fomentar el análisis de laactividad maliciosa y dar respuesta aincidentes de forma coordinada en dichacomunidad.

La idea es que a partir de dicho foro sefomente el intercambio de este tipo deinformación entre las institucionesparticipantes, para posteriormente,desplegar una serie de proyectosrelacionados a medio/largo plazo (sondas demonitorización de espacio IP oscuro,investigación y uso de herramientas para lacorrelación de alertas, etc...).

Más información disponible en nuestraspáginas Web (http://www.rediris.es/cert/proyectos/ anamaris.es.html).

•EnREDA (Entorno de Recogida deEvidencias Digitales y Análisis). La idea quese esconde detrás de esta iniciativa es la dedisponer de una herramienta automatizadaque facilite el análisis forense de máquinascomprometidas en nuestra comunidad, conel fin de aprender de los métodos yherramientas utilizados por los intrusos yque permita al mismo tiempo realizar unarespuesta ante incidentes más efectiva.

Las primeras versiones de EnREDA y losdiferentes recursos asociados a estainiciativa, estarán disponibles antes definales de año.

Chelo Malagón ([email protected])

Equipo de seguridad IRIS-CERT

10



En la reuniónanual deTERENA

se contó con dospresentacionespor parte de

RedIRIS

Nuevasiniciativas deseguridad en

marcha

Nuevas iniciativas lanzadasdesde el servicio deseguridad de RedIRIS

• Herramienta utilizada en la actualidad por IRIS-CERT para gestión de incidentes

Como ya comentamos en la actualidad delpasado boletín (http://www.rediris.es/rediris/boletin/72/actualidad.pdf), estábamos perfilan-do los detalles del contrato que se suscribirá conBest Practical a través de TERENA, para lamejora y ampliación de funcionalidades de laherramienta de gestión de incidentes que en laactualidad estamos usando en el equipo deseguridad de RedIRIS, RTIR (Request Tracker forIncident Response, http://www.bestpractical.com/rtir/). Tras diversas discusiones en la lista, seha llegado a un acuerdo entre ambas partes encuanto a los términos de dicho contrato.

TERENA tras recibir los pagos correspondientespor parte de los equipos involucrados, firmarábilateralmente el contrato con Best Practical,que comenzará los trabajos al mes siguiente desu firma. Cada uno de los integrantes del grupodesignará un representante que realizará elseguimiento de los desarrollos y módulosentregados por Best Practical con el fin deasegurar que el producto final cumple todos losrequerimientos acordados.

Una vez finalizado el proyecto, con unaduración estimada de un año y medio elproducto resultante será de dominio público.

Chelo Malagón([email protected])


• Para la colaboración entre los equipos de respuesta de incidentes de seguridad europeos y países limítrofes

La XV Reunión del Grupo de Trabajo de TERENApara promover la colaboración de los CERTseuropeos y de países limítrofes, TF-CSIRT(http://www.terena.nl/task-forces/tf-csirt/) secelebró esta vez en Zurich (Suiza) el pasado mesde mayo.

La Jornada previa a la reunión del grupo detrabajo propiamente dicha resultó bastante

interesante; cabe destacar la presentaciónrealizada por Andrew Cormack (JANET), asícomo la forma en la que diferentes países estánafrontando el reto de la protección de lainfraestructura crítica nacional. Todas laspresentaciones estás disponibles en:http:/ /www.terena.nl/tech/task-forces/tf-csirt/meeting15/programme.html.

En cuanto a la reunión del grupo de trabajocelebrada al día siguiente, se tocaron uno a unolos diferentes frentes en los que los miembrosdel grupo están inmersos. De todas estasiniciativas podemos destacar la finalización delpatrocinio europeo en el contexto del proyectoTRANSITS (Training of Network SecurityIncident Teams Staff) y la transferencia de todoel material generado al FIRST (Forum ofIncident Response and Security Teasm) que estáhaciendo uso de este material para impartircursos fundamentalmente en latinoamérica,aunque se ha llegado a un compromiso para laimpartición de un par de cursos en Europa cuyasfechas todavía no han sido fijadas.

El Grupo de Trabajo también está decidido acolaborar de forma muy activa en la promociónde equipos CERT en Europa, realizando unafunción de concienciación y de diseminación deinformación sobre las actividades que los CERTseuropeos están llevando a cabo con larecientemente creada Agencia Europea ENISA(European Network and Information SecurityAgency, http://www.enisa.eu.int/). Uno de cuyosmiembros forma parte del PermanentStakeholders’ Group, que actúa como grupoasesor para la ENISA.

Se presentó en Zurich el ENISA Work Plan 2005 yel borrador del año 2006, en el que se incluye lapromoción de CERTs gubernamentales enaquellos países miembros que no dispongan deellos, para posteriormente expandir la creaciónde dichos equipos a otros sectores.

Para finalizar es importante mencionar que RIPEha incluido algunas modificaciones en el objetoIRT (http://www.ripe.net/ripe/docs/irt-object.html) y ha incorporado un nuevoatributo en las clases PERSON, ROLE, IRT,MNTER, ORGANIZATION, INETNUM YINETNUM6 denominado abuse-mailbox, cuyafunción es especificar la dirección de correoelectrónico a la que se deben redirigir losincidentes de abuse.

Para más información sobre lo discutido en lareunión de Zurich se puede consultar el actaque está disponible en:

11


Finalización delpatrocinio

europeo en elcontexto del

proyectoTRANSITS


Es muyimportante ver

cómo losdistintos paíseseuropeso estánprotegiendo lainfraestructuracrítica nacional

Grupo de Trabajo sobre RTIR

XV Reunión TERENA TF-CSIRT

http://www.terena.nl/ tech/task-forces/tf-csirt/meeting15/ TSec_05_043.pdf.

La próxima reunión del Grupo de Trabajo secelebrará en Lisboa (Portugal) el próximo mesde septiembre y estará organizada por elEquipo de Atención de Incidentes de la RedAcadémica Portuguesa, CERT.PT.

Chelo Malagón [email protected]


• Una infraestructura de clave pública para IRISGrid

pkIRISGrid (http://www.irisgrid.es/pki) es lainfraestructura de clave pública usada en lainiciativa nacional de Grid IRISGrid(http://www.irisgrid.es). Está formada por unaautoridad de certificación (CA) situada enRedIRIS y varias autoridades de registro (RA)gestionadas por los grupos de investigaciónparticipantes en esta iniciativa de Grid.

En el desarrollo de la PKI se han tenido encuenta tres importantes objetivos:

• Cumplir los requisitos exigidos por laEUGridPMA para que se acredite a la CA de lapkIRISGrid como compatible con el resto deCAs de las PKIs de EUGridPMA (The EuropeanPolicy Management Authority for GridAuthentication in e-Science: http://www.eugridpma.org)

• Simplificar las diferentes tareas existentes enel uso y gestión de una PKI

- El usuario solicita y recoge su certificadodesde su navegador.

- El administrador de la autoridad de registrosólo ha de verificar los datos que el usuarioha introducido y validarlos para que deforma automática el sistema se encargue dehacer llegar a la autoridad de certificación,de forma segura, todas las peticiones decertificados.

• Uso de tecnologías desarrolladas en RedIRIS yotras basadas en estándares abiertos comopor ejemplo:

- OpenSSL para la gestión de certificados,solicitudes, revocaciones,...

- LDAP, con el esquema pkirisgrid, como basepara el almacenamiento de las RAs,entidades (usuarios, servicios/servidores),solicitudes de certificado y de revocación,certificados, listas de revocación,...

- COPA (Codificación Optimizada Para elAcceso jerárquico a la información:http://www.rediris.es/ldap/copa/) paraidentificar un elemento dentro deldirectorio (ya sea entidad, autoridad deregistro o certificado).

- URNs para el almacenamiento de históricode estados.

- XML para el intercambio seguro deinformación desde las RAs a la CA.

- LDIF para el intercambio de informacióndesde la CA a las RAs.

- PAPI como control de acceso a la zonaprivada de los administradores de las RAs.

- PHP para la aplicación de las RAs.

- Perl para la aplicación de la CA

Desde el mes de mayo la PKI se está usando enfase de pruebas con varias autoridades deregistro.

Javier Masa([email protected])Técnico de Middleware

• II edición del concurso de análisis forense digital en castellano

En mayo de este año se entregaronoficialmente los premios de la segunda edicióndel Reto de Análisis Forense en castellanodentro de los actos del Congreso de Seguridaden Cómputo (http://congreso.cert.unam.mx),organizado por la Universidad NacionalAutónoma de México (UNAM).

En esta ocasión el concurso fue organizado porla Universidad Autónoma Nacional de Méjico yRedIRIS de forma conjunta, se contó con lacolaboración de expertos informáticos de

12


II Edición delreto de análisis

forense


pkIRISGrid

La pkIRIS Gridestá formada

por unaautoridad decertificaciónsituada en

RedIRIS y variasde registro

gestionadas porparticipantes en

la iniciativaII Edición del Reto de análisis forense

diversos países como jurados para evaluar lostrabajos presentados.

El interés que despierta este tipo de Retos escada vez mayor, en esta edición los resultadosde la inscripción fue de casi 1.000 participantesde todo el mundo.

El objetivo de estos concursos de análisisforense es fomentar el conocimiento de lastécnicas de análisis forense digital existentesentre los administradores y técnicos deseguridad, de forma que puedan conocer losfundamentos necesarios para analizar lossistemas informáticos ante una intrusión en unmomento dado.

El primer premio, una licencia del softwareEncase, fue para el equipo formado por JoséIgnacio Parra, Quique Martínez y VíctorBarahona.

El segundo premio, consistió en la asistencia aun curso dentro de las líneas de especializaciónen Seguridad de la Universidad Autónoma deMéxico que fue obtenido por Juan MartínGaleote, y el tercer premio, un curso en línea deSANS que lo obtuvo Juan Antonio FernándezGómez.

Hay que resaltar la gran participación llevada acabo este año por los miembros de lacomunidad académica española, VíctorBarahona perteneciente a la UniversidadAutónoma de Madrid forma parte del equipoganador y Juan Martín Galeote que consiguió elsegundo premio, pertenece a la Universidad deGranada.

Los documentos presentados al concurso asícomo los participantes e imágenes del equipoatacado que se pueden emplear para realizar elanálisis están disponibles en: http://www.seguridad.unam.mx/eventos/reto/.

Se pretende volver a preparar este año untercer reto donde se vuelvan a poner a pruebalas habilidades de los participantes para evaluarun compromiso informático.

Francisco Monserrat([email protected])Equipo de seguridad IRIS-CERT

• Foro Internacional de Equipos de Respuesta a Incidentes de Seguridad

FIRST (Foro de Equipos de Respuesta aincidentes de Seguridad, http://www.first.org)concentra a más de 170 equipos de seguridadde todo el mundo. El grupo de seguridad deRedIRIS, IRIS-CERT es miembro de estaorganización desde 1977.

Todos los años FIRST organiza un congreso deseguridad global, cuyas ponencias pueden serconsultadas “online” transcurrido un tiempo dela realización del mismo y a lo largo del año sevan organizando diversas reuniones técnicascuya participación está restringida a losmiembros de los grupos de seguridadintegrantes en FIRST.

La conferencia de este año fue en Singapur yestuvo organizada en dos grupos paralelos, unodedicado a aspectos organizativos de los gruposde seguridad y otro a cuestiones técnicasrelacionadas con los incidentes.

A nivel organizativo cabe destacar laspresentaciones donde se daban las pautas deorganización de las distintas funciones de unCSIRT (Computer Security Incident and ResponseTeam), tales como las herramientas para lacreación de avisos de seguridad, la organizaciónde un CSIRT a nivel gubernamental para lacoordinación a nivel nacional de los incidentesde seguridad o las distintas métricas a la horade evaluar la peligrosidad de una determinadavulnerabilidad.

En los aspectos técnicos se resaltaron laspresentaciones orientadas a la monitorizaciónde la red y a la detección de bots en ellas, alanálisis de los programas desconocidos que sesuelen encontrar en las intrusiones y a sesionesprácticas de configuración y detección deproblemas de seguridad en una red.

A nivel de la organización de los grupos deseguridad, hay diversas iniciativas a la hora defomentar la coordinación de estos grupos demanera similar a como se realiza en el TF-CSIRTeuropeo. Por una parte se encuentra lainiciativa de los países del Asia y Oceanía(ACEAN CERT) y por otra la de CLARA, queagrupa a las redes nacionales de I+DLatinoamericanas y está fomentando la creaciónde grupos de seguridad en cada una de lasredes integradas.

13


En el II Reto deánalisis forensecon más de mil

inscritos de todoel mundo el

ganador fue unequipo español

de la comunidadacadémica


IRIS-CERT esmiembro de

FIRST desde 1977

Reunión anual del FIRST

FIRST ha llegado a un acuerdo con TERENA paraimpartir de manera coordinada los cursos“TRANSIT” de formación de nuevos grupos deseguridad. La idea de estos cursos es ayudar alestablecimiento de nuevos CSIRTs, proporcio-nando información necesaria para su creaciónasí como los recursos necesarios,…

Coincidiendo con la reunión técnica de FIRST enArgentina, en Octubre está prevista lareutilización de un Curso TRANSIT parafomentar la creación de grupos de seguridad enLatinoamérica.

Hay que indicar que el próximo año 2006 laconferencia FIRST se realizará en Baltimore, sepuede encontrar más información sobre estaconferencia y los plazos para la presentación deponencias en las páginas web del FIRST.

Francisco Monserrat([email protected])Equipo de seguridad IRIS-CERT

• Grupos de trabajo sobre middleware y movilidad

Coincidiendo con la conferencia anual deTERENA en Poznan tuvieron lugar sendasreuniones de los grupos de trabajo TF-EMC2(European Middleware Coordination andCollaboration, liderado por RedIRIS) y TF-Mobility.

Dentro de las actividades de TF-EMC2(http://www.terena.nl/tech/task-forces/tf-emc2/)cabe destacar la iniciativa de experimentar conlas llamadas “One Stament Policies” (1SP),orientadas a facilitar la comparaciónautomática de certificados emitidos pordiferentes autoridades, y la presentación de losprimeros resultados de la iniciativa SCHAC, de laque hablamos en más detalle en otra noticia deesta sección.

TF-Mobility (http://www.terena.nl/tech/task-forces/tf-mobility/) constata el extraordinarioimpulso de la iniciativa eduroam(http://www.eduroam.org/), a la que hadecidido sumarse la red académica australiana,y que ha llevado a la constitución de un grupoespecífico de coordinación de servicios deacceso móvil a la red a nivel global.

Precisamente este crecimiento está requiriendouna mayor formalización de lo que la marca“eduroam” significa, buscando un conjunto decriterios mínimos que permitan caracterizar losservicios de eduroam. La mayor parte de lareunión estuvo dedicada a analizar estosaspectos y a explorar mecanismos paracoordinar la gestión de la infraestructura demovilidad.



• Grupo sobre e-infraestructuras de la Unión Europea

Una nueva versión del “whitepaper” del eIRG(e-Infrastructure Reflection Group: http://www.einfrastructures.org/) se encuentra yadisponible. Este grupo se está consolidandocomo el principal cuerpo asesor de la ComisiónEuropea en las actividades relacionadas con lae-ciencia.

RedIRIS viene colaborando activamente con estegrupo, en el que participan responsables de lapolítica científica de los estados miembros de laUE, contribuyendo a sus recomendacionestécnicas, en especial en las áreas relacionadascon los esquemas de autenticación yautorización y en la coordinación con lasactividades de GÉANT2.



• Portal de acceso a la Web of Knowledge

El nuevo portal de la Licencia de Acceso Nacionala los servicios de la Web of Knowledge,gestionada por la FECYT (http://www.accesowok.fecyt.es/), se encuentra ya disponible. Este nuevoportal es fruto de la colaboración entre la propiaFECYT, RedIRIS y la Universidad de Sevilla. Se

14


Extraordinarioimpulso de lainiciativa demovilidadeduroam

Ya estádisponible el

nuevo portal alos servicios de

la Web ofKnowledge


Portal de acceso a WoK

Reuniones TF-EMC2 y TF-Mobility

Actividades del eIRG

encuentra hospedado en las instalaciones delCICA y emplea la tecnología PAPI (http://papi.rediris.es/).



• Iniciativa para armonizar los esquemas de representación de datos para entidades académicas y de investigación; y los esquemas LDAP de RedIRIS

La iniciativa SCHAC (SCHema for Academia:http:/ /www.terena.nl/tech/task-forces/tf-emc2/schac.html) nace dentro del grupo TF-EMC2 de TERENA (http://www.terena.nl/tech/task-forces/tf-emc2/) con la intención dearmonizar los esquemas de representación dedatos para entidades relacionadas con lasinstituciones académicas y de investigación.

Estos esquemas armonizados podrán aplicarseen multitud de situaciones, desde el control deacceso a recursos compartidos hasta facilitarprocesos de movilidad interinstitucional (comoel llamado proceso de Bolonia, que debepermitir a los estudiantes cambiar de centrouniversitario dentro de Europa).

El grupo ha producido ya sus primerosresultados, concentrados en la definición de losatributos correspondientes a las entradas querepresentan personas.

En los grupos de trabajo de Málaga sepresentaron los resultados, hasta esa fecha, delcomité de expansión del esquema LDAP iris(http://www.rediris.es/ldap/esquemas/iris/esquema-iris.es.html) cuyos puntos principales fueron:

• La versión estable del esquema LDAP iris(http://www.rediris.es/ldap/esquemas/)

• El esquema abierto a nuevas necesidades ennuestra comunidad

Es decir, el esquema LDAP iris se hace estable ensu versión 20050323-1.1.14 y sólo se realizarán

modificaciones en lo que se refiere a laincorporación de nuevos atributos.

Se comentaron estos temas:

- La necesidad de potenciar el uso de URNs enalgunos atributos para permitir extender lasemántica de los mismos; realizar unanormalización de manera simple y ofreceruna mayor expresividad. Además, estofacilitará la interoperabilidad entre loscontenidos de los directorios corporativos delas instituciones afiliadas a RedIRIS.

- Se planteó la necesidad de crear vocabularioscontrolados para ciertos atributos delesquema LDAP iris como irisUserEntitlemente irisUserStatus y la posibilidad de definir unatributo irisEduPersonAffiliation (http://www.rediris.es/ldap/esquemas/iris/irisUserPrivateAttribute/).

- La necesidad de hacer hincapié en el uso deun estilo común a la hora de almacenar loscomponentes del nombre de una persona.En el esquema LDAP iris existen atributospara el apellido primero (sn1) y para elapellido segundo (sn2) por lo que sepropone su uso. Esto, junto con el uso degivenName, para almacenar el nombre depila, facilitará enormemente el desarrollode aplicaciones que interoperen usando losdirectorios corporativos de las instituciones.

- Debido a la incorporación, en la últimaversión del esquema, del atributoirisClassifCode, dedicado específicamente ala clasificación de los objetos del directorioLDAP, se hace necesaria una actualizaciónde las recomendaciones de uso que tengaen cuenta todos los aspectos relacionadoscon los sistemas de clasificación basados enla codificación COPA.

Asimismo se crearán muchos más ejemplos paraque sea aún más cómoda la implantación delesquema LDAP iris dentro de nuestra comunidad.

En cuanto a la influencia de nuestro esquema enla comunidad internacional cabe destacar que sehan exportado 6 atributos al esquema SCHAC ensu RC2 y que se está haciendo una campaña parafomentar el uso de un atributo de privacidad alestilo del irisUserPrivate Attribute


Coordinador del Área de AplicacionesJavier Masa

([email protected])Técnico de Middleware

15


En los Grupos deTrabajo deMálaga se

presentaron losresultados del

comité deexpansión delesquema LDAP

La influencia denuestro

esquema LDAPen la comunidadinternacional es

actualmentemuy importante


Iniciativa SCHAC yesquemas iris

• Actualidad del sistema distribuido paracontrol de acceso desarrollado por RedIRIS

La version 1.4 de PAPI (http://papi.rediris.es/) seencuentra ya en versión beta y esperamospoder realizar el anuncio de la versióndefinitiva inmediatamente después del verano.

Por otra parte, el equipo de desarrollo de PAPIha puesto a punto un punto de acceso (PoA)basado en PHP, que permite la implantación dela tecnología de acceso PAPI en entornos donde(por cualquier razón) no es posible o deseabledesplegar toda la infraestructura PAPI. Este PoApermite pues, una extensión simple de latecnología de acceso PAPI a prácticamentecualquier combinación de servidores ycontenidos.

El equipo de PAPI ha comenzado también atrabajar en la integración de PAPI dentro delservidor Tomcat.



• Las redes académicas nacionales y losproyectos Grid

El pasado mes de mayo se celebró un seminario,organizado por TERENA, sobre aspectos decolaboración entre los proyectos Grid y las redesacadémicas (http://www.terena.nl/tech/grid/nren-workshop.html). En él se dieron citarepresentantes de ambos campos y sepresentaron y discutieron las posibilidades decolaboración entre las infraestructuras básicasde la red y los servicios que requieren lasactividades de e-ciencia.

El consenso común fue la necesidad de que lasredes académicas prestaran servicios adicionalescomo parte de la infraestructura básica, mas alláde la estabilidad de la propia red y un ancho debanda suficiente.

Entre estos servicios se destacaron la gestión dela identidad digital, la localización de recursos ylos mecanismos de colaboración en línea.



• Reunión del Grupo de Trabajo de vídeo, voz y colaboraciónde TERENA

El grupo TF-VVC (Task Force Video Voice andCollaboration: http://www.terena.nl/tech/task-forces/tf-vvc/) está auspiciado por el ProgramaTécnico de TERENA y tiene por objetivoinvestigar la utilización de tecnologías de voz,video y colaboración para su implementaciónen las redes europeas de investigación yeducación.

Sus actividades están enfocadas a Europa ypaíses limítrofes, empezó sus actividades el 1 deseptiembre del 2004 y tiene prevista unaduración de dos años.

El pasado 4 de junio tuvo lugar en Poznan(Polonia) la reunión presencial del grupo, secontó con la exposición de 13 presentacionesacerca de los avances en todas las áreas deactividad en las que está dividido el grupo. Estasáreas son guías para la provisión de servicios decolaboración basados en voz, video y datos,infraestructura para Content Delivery Networks,portal para el acceso a contenidos, metadata,netcasting channel (live.academic.tv), GDS,sistemas high-end/quality, control de acceso arecursos de video, desarrollos en telefonía IP ymedidas extremo-extremo.

El catedrático del Departamento de IngenieríaTelemática de la UPM, Juan Quemada mostróen una presentación la herramienta decolaboración en grupo multipunto desarrolladapor ellos: ISABEL.

En el área de actividad J presentamos unmecanismo de control de acceso a servidores devideo cuya principal virtud es diferenciar laentidad de autenticación de la de autorización,permitiendo de esta manera separar cómo sesabe que alguien es dice quien dice ser, de los

16


Se estátrabajando en la

versión 1.4 dePAPI


Se estáestudiando lacolaboración

entre lasinfraestructurasbásicas de red

de las NRNs y lasactividades de e-

ciencia

Seminario sobre NRENsy Grids

Actualidad de PAPI

Reunión del TF-VVC

contenidos a los que se puede o no acceder. Eldesarrollo que aun está en evolución se basa entecnología PAPI.

José Mª Fontanillo([email protected])

Servicios Multimedia

• Reunión del World WideWeb Consortium

El pasado 28 de junio tuvo lugar la segundareunión anual de miembros del W3C en España.A dicha reunión asistieron algunas de lasinstituciones afiliadas a la red académica quetambién son miembros, al igual que Red.es.

En la agenda de la reunión estaban incluidosnumerosos temas de interés, distribuidos encuatro mesas de trabajo sobre Accesibilidad,Web Móvil, Servicios Web, y gestores decontenido y Web Semántica.

Quizá la primera de las mesas fue la de másinterés de cara a la comunidad académica,puesto que además de debatir sobre lastecnologías relacionadas con accesibilidad,como WCAG 1.0 (recomendación) y 2.0(borrador); también se habló sobre lalegislación aplicable para sitios web públicos. LaLSSI establece que para final de 2005 los sitiosweb de organismos públicos deberán habertomado medidas para adaptarlos de cara acumplir con las directivas europeas en cuestiónde accesibilidad.

En la mesa sobre Web móvil se debatió sobre el‘estado del arte’ de las tecnologías quepermiten el acceso a la Web desde dispositivosmóviles, así como sobre la posibilidad dediseñar una-vez-para-todo combinando lasdiversas tecnologías existentes y que ya sonrecomendación de W3C.

Por otra parte, la iniciativa Mobile WebInitiative del consorcio, en la que están losprincipales fabricantes de telefonía móvil yempresas de comunicación, está desarrollandouna guía de “buenas prácticas” de desarrollopara la Web Móvil.

Las tecnologías relacionadas con Web Servicescentraron el debate de la tercera de las mesas.

Se habló de las posibilidades que ofrecen parael intercambio de información entreaplicaciones de una manera segura, así como dela gran cantidad de implementaciones quesurgen a la vez que el estándar, lo cual haceque el ciclo de desarrollo y entrada enfuncionamiento se acorte.

Por otra parte se hizo una invitación a laparticipación en las I Jornadas Científico-Técnicas en Servicios Web: JSWEB 2005(http://www.w3c.es/Eventos /ServiciosWeb), acelebrar en Granada los días 13 y 14 deseptiembre.

La última sesión trató sobre gestión decontenidos y sobre web semántica. Respecto agestión de contenidos, decir que el interés secentró en las herramientas que proporcionanuna clara separación de aspecto y contenido, decara a mejorar distintos aspectos como lausabilidad, accesibilidad o el visionado de laweb desde distintos dispositivos, utilizando paraello los estándares ofrecidos por W3C. Respectode Web semántica, se hizo un repaso sobre elestado de la materia y las distintas tecnologías yherramientas existentes.

Como colofón de la reunión se anunció elcongreso Fundamentos Web 2005 (http://www.fundamentosweb.org), que se celebrará del 22al 24 de noviembre próximos, conjuntamenteen Oviedo y Gijón. A dicho congreso asistiránlas más importantes personalidades del mundode la accesibilidad, usabilidad, y estándaresweb.

Por último, quisiera mencionar que el WorldWide Web Consortium está abierto a nuevasincorporaciones de aquellas organizaciones dela comunidad académica que deseen participarcomo miembros. Creemos que esta comunidadtiene mucho que aportar en este foro einvitamos a las instituciones afiliadas a RedIRIS aseguir la actividad de la oficina del W3C enEspaña (http://www.w3c.es/ ESmiembros), bienhaciéndose miembro, o bien siguiendo lainformación a través de su sitio web.

José Manuel Macías([email protected])

Servicios de Información

17


El 13 y 14 deseptiembre secelebrarán enGranada las I

JornadasCientífico-Técnicas en

Servicios Web


La LSSI estableceque para final

de 2005 los webde organismos

públicosdeberán cumplircon las directivas

europeas deaccesibilidad

Reunión anual del W3C enGijón

• Diez años de convenio con Sun para albergarrepositorios de software de libre distribución

Se cumplen diez años del convenio firmadoentre Sun MicroSystems y RedIRIS por medio delcual se acordó que RedIRIS hospedara unZuñiste para España. El programa Sun SITE donahardware a centros del entorno académico conobjeto de que estos alberguen repositorios desoftware y documentación de libre distribuciónal mismo tiempo que sirve como canal dedistribución de las distintas tecnologías de Sun.Cuando el SunSITE de RedIRIS (http://sunsite.rediris.es) nació en 1995, había 18 SunSITEs enel mundo, en la actualidad esta cifra asciende a60 repartidos por los cinco continentes.

El servicio de FTP de RedIRIS (ftp://ftp.rediris.es)ha crecido en este tiempo ofreciendo suscontenidos a través del propio SunSITE RedIRISy a lo largo de estos años se ha modificado laconfiguración inicial de hardware. En suscomienzos, estaba ubicado en una máquinaSparcServer 1000E con dos microprocesadoresSuperSparc, 128MB de memoria RAM y 6 GB dedisco duro y coincidiendo con este décimoaniversario y aprovechando el relativo menoruso en la época estival del servicio de FTP, se haprocedido a realizar la última actualización auna máquina que pueda soportar mejor lademanda actual, así como también se haincrementado la capacidad de almacenamientoactual hasta llegar a 3 Terabytes. Este aumentosupone casi la duplicación del espacio dedicadohasta el momento a réplicas, y nos permitiráampliar las existentes y añadir otras nuevas. Seha realizado también un esfuerzo importantepara racionalizar la estructura de directoriosdel servicio manteniendo sólo aquellosdirectorios que resultaban más intuitivos paralos usuarios y creando alias que permitenacceder a rutas previamente existentes.

El sitio Web de SunSITE ha cambiado tambiénsu aspecto, para adaptarse mejor a losestándares de la Web, así como para mejorar lausabilidad y accesibilidad. Estamos trabajandode cara a mejorar las herramientas de búsquedade información ofrecidas en la actualidad(rpmfind y buscador de ficheros en el propioservidor), que estarán integradas dentro delpropio sitio Web de SunSITE RedIRIS.

David Fernández Barrero([email protected])

Área de MiddlewareJosé Manuel Macías

([email protected])Servicios de Información

Antonio Fuentes Bermejo([email protected])

Área de Sistemas

• Reunión en Málaga del Grupo de Trabajosobre correo electrónico

En esta última edición del Grupo de Trabajo IRIS-MAIL celebrada en Málaga (http://www.rediris.es/mail/gt/my05/) se han introducido cambios en ladinámica de la reunión con el fin de mejorar laparticipación, contacto e implicación de losasistentes y por lo tanto sus resultados. Para ellose introdujo en la agenda el concepto deminigrupos, una especie de corrillos entre losasistentes para debatir sobre temáticas concretasy cuyas conclusiones son expuestas y debatidasen el plenario. Estos minigrupos tuvieron unaduración de 30 minutos, dispusieron de unmoderador, una temática específica y un guión adebatir. La asignación de asistentes a cada unode los minigrupos fue previamente pactadapara hacer grupos heterogéneos.

En primer lugar agradecer a Carmen López(Universidad de Sevilla), Fernando Gozalo(UNED), Pedro Benito (Universidad de Burgos) yDaniel Magaña (Universidad Antonio de Nebrija)su predisposición, trabajo y colaboración directacomo moderadores de los minigrupos en estaconvocatoria de Málaga al final cada uno deellos hizo una presentación de los resultados deldebate de sus respectivos minigrupos cuyocontenido y tema fueron los siguientes:

• Grupo I: Control de Flujos SMTP internos

Moderadora: Carmen López (US)

a) Efectos colaterales del filtro en el puerto25/out

b)¿Es necesario el control de flujos?c) ¿Qué mecanismos se suelen utilizar?d)Recomendaciones para este problema.

• Grupo II: Cifrado de Tráfico SMTP entreMTAs

Moderador: Pedro de Benito (UBU)

18


El programa SunSITE dona

hardware acentros

académicos paraalbergar

repositorios desoftware y

documentaciónde libre

distribución

Nueva dinámicade minigruposen el último

Grupo de IRIS-MAIL


X Aniversario del SunSITE deRedIRIS y mejoras en elservicio de FTP

XXII reunión del Grupo deTrabajo IRIS-MAIL

a) ¿Cuales serían las ventajas para laComunidad RedIRIS si se cifrara el tráficoentre MTAs?

• Grupo III: Autenticación en el correo:Filtros 25/out + SPF + SMTP-AUTH

Moderador: Fernando Gozalo (UNED)

a) ¿Es el filtro 25/out la solución a los zombiesemisores de correo?

b)SPF sí SPF noc) Pros y contras del uso de SMTP-AUTH y

puerto 587d)¿Es el forwarding un servicio necesario en

la universidad?

• Grupo IV: Formación, información yresponsabilidad de los usuarios

Moderador: Daniel Magaña (NEBRIJA)

a) ¿Son los usuarios responsables de susirresponsables actuaciones?

b)¿Se dispone de Políticas de Uso en launiversidad?

c) ¿Están los usuarios suficientementeinformados?

d)¿Se reducirían estos problemas con unaadecuada formación?

Previamente al desarrollo de estos minigrupos,por parte de RedIRIS se hizo un repaso a lostemas más importantes de IRIS-MAIL y se dió untutorial sobre “Criterios de seguridad en lossistemas de correo electrónico” que se ampliaráen futuras convocatorias. También sedifundieron los resultados de la “EncuestaRACE” y los de una encuesta realizada a 40instituciones de RedIRIS sobre los sistemas deWebmail más utilizados. Los resultadosobtenidos son los siguientes:

1º.- IMP/HORDE (12)2º.- SquirrelMail (9)3º.- Postman (Universidad de Valencia) (8)4º.- Exchange (5)5º.- OWA, EmuMail, MailMan, IPlanet…

Se finalizó con el desarrollo de los minigrupos yla presentación de sus conclusiones donde seacordó poner en marcha las siguientes iniciativas:

Grupo I.- Control de Flujos SMTP internos

Conocemos los efectos que en nuestra redprovocan los ordenadores comprometidos porvirus (zombies): alto volumen de tráfico nodeseado, phishing, distribución de virus, etc. asícomo el ingreso de dichas LPs en listas negras.Los beneficios para detener este uso abusivo

pasan por definir unas políticas de filtrado deltráfico SMTP de salida con un correcto control yaque de lo contrario pueden provocar efectoscolatarales más perniciosos como podría ser unaexcesiva sobrecarga de los servidores de correo ysu consiguiente alta en listas negras.

Existen muchos tipos de mecanismos y cadainstitución definirá el que más se ajuste a susnecesidades. Se decidió crear un repositorio enla Zona de Intercambio de Ficheros paracompartirlos entre todos.

Grupo II.- Cifrado y autenticación entre MTAsde la Comunidad

Hubo consenso acerca de las ventajas delcifrado y autenticación entre MTAs de RedIRIS yse decidió plantear como objetivo el desplegaruna red piloto de cifrado de tráfico SMTP entreinstituciones de la red académica. Habrá queevaluar el tema de los certificados y latopología de la CA que se puedan utilizar. Si lasconclusiones de este Grupo son correctaspodremos poner en producción un modelo deRed de confianza inter-institucional para elintercambio de correo electrónico que puedaanimar a otros entornos a utilizar estastecnologías. Algunas de las ventajas ycaracterísticas de este modelo son:

• Confidencialidad: Serviría para trasmitirinformación sensible (investigaciones, datospersonales, calificaciones, etc.).

• Verificación del MTA origen. Al reconocerun MTA como seguro se podrán evitar virus,spam etc., es decir MTAs no fiables.

• Transparencia para el usuario. Los usuariosno deben hacer nada en su clientes.

• Inalterabilidad. Los mensajes no podrían seralterados durante su tránsito.

Grupo III.- Autenticación en el correo:Filtros 25/out + SPF + SMTP-AUTH

En este minigrupo se coincidió en la imperiosanecesidad de filtrar el puerto 25 (SMTP) desalida permitiendo exclusivamente establecerconexiones SMTP con el exterior a aquellosservidores legalmente establecidos. Esta medidareducirá notablemente los actuales problemasproducidos por gusanos/virus/zombies. Porproblemas administrativos su implementaciónno parece tan sencilla como cabría imaginar y sedebatieron las diferentes tácticas para sudefinición.

19


Los beneficiospara detener eluso abusivo del

correo pasan pordefinir unas

políticascorrectas defiltrado del

tráfico SMTP desalida


Se planteó comoobjetivo el

despliegue deuna red pilotode cifrado detráfico SMTP

entreinstituciones de

la red académica

Con respecto al tema de SPF (Sender PermitedFramework), se debatieron los posibles motivosdel escaso despliegue de esta tecnología. Unode los motivos es que SPF no tendrá impactomientras no se definan mecanismos de filtrado.Aunque el motivo más importante es laproblemática del SPF con el forwardingmecanismo ampliamente utlizado en lasuniversidades. Por otro lado se comentó queSPF no sería exitoso mientras los grandesoperadores de correo electrónico no loimplementen. Casualmente poco después deesta reunión SPF dejó de ser una propuesta delInternet Engineering Task Force (IETF) paraconvertirse en un RFC en la categoría deestándar experimental. En próximos númerointentaremos explicar con más detalle estasnovedades.

Con respecto al tema del uso de SMTP-AUTH através del puerto 587, pocos de los asistentesdisponían de está tecnología. Varios no larequerían porque ofrecían Servicio de VPN(Virtual Private Network) dentro de suinstitución por lo que los usuarios eranconsiderados internos y necesitabanautenticarse frente al servidor de correo. Perotodos coincidieron en que es un servicionecesario que al final se acabará soportando. Elgran problema de la implantación del uso delpuerto 587 es la labor de difusión a realizar yaque es necesario que los usuarios configuren sucliente de correo.

Grupo IV.- Formación, información yresponsabilidad de los usuarios

Este minigrupo debatió sobre las posibilidadesque habría de informar y formar a los usuariosde forma cíclica a nivel de seguridad y deresponsabilidad de Uso del Servicio en launiversidad. Sin responsabilidad e informaciónpor parte de los usuarios los problemas son yserán imparables Se trataron algunos temas y sequedó como actividad realizar una pequeñaGuía “Decálogo de buenas prácticas con elcorreo electrónico” con el mayor consensoposible. Se ha creado un repositorio común conlas iniciativas de cada universidad sobre eltema: cursos, documentación, streaming, etc.También se fijaron algunas directricesestratégicas para intentar dar el suficiente pesoa este tema.

Podemos decir que fue una reunión muydinámica y productiva con bastantes iniciativase implicación de los asistentes. Esta nuevadinámica de minigrupos probada en estareunión se intentará introducir en futuras

convocatorias, teniendo siempre presente losescasos recursos humanos necesarios para sucorrecto desarrollo.

Las presentaciones están disponibles en la zonade trabajo de IRIS-MAIL (login: iris-mail,clave:iris-mail) http://cvu.rediris.es/bscw/bscw.cgi/0/598718

Jesús Sanz de las Heras([email protected])

Servicio de correo electrónico

• Reunión de equipos de resolución de accionespunibles llevadas a cabo por los usuarios de lared

E-COAT (European COoperation of Abusefighting Team: http://www.e-coat.org) es ungrupo de reciente creación para el intercambiode información entre equipos abuse europeos.Esta V convocatoria se celebró el 11 de mayo enlas instalaciones Swisscom en Zurich. El perfil delos asistentes se divide entre operadoreseuropeos (KPN, Telia, Swisscom, Telefónica,France Telecom, etc.) y redes académicasnacionales (Alemania, Suiza, DK y alguna más).Por lo general los operadores tienen equiposabuse específicos y bastante bien estructuradosdentro del organigrama de sus respectivasempresas y con bastantes recursos, la parteacadémica está más derivada a equipos CERT.

Por grupo de abuse entendemos los recursosencargados de recibir las quejas externas, sobreacciones punibles realizadas por los usuarios dela red y que toman las medidas apropiadas paracontactar con estos usuarios o con losresponsables de seguridad. Estas accionespueden ser realizadas bien por undepartamento (grupo de abuse) o estardescentralizadas dentro de la organización,como es el caso de RedIRIS.

Los objetivos de E-COAT se centran en elmanejo y prevención de incidentes abuse,compartiendo problemas y aligerarandosoluciones e iniciativas, definiendo buenasprácticas y estándares comunes de reporting,white/blacklisting,… en definitiva siendo elpunto focal de la cooperacion anti-abuse en

20


Sinresponsabilidade información

por parte de losusuarios los

problemas deseguridad son y

serán imparables


SPF no tendráéxito mientras

los grandesoperadores de

correoelectrónico no lo

implementen

V Reunión de equipos abuseeuropeos (E-COAT)

Europa e interrelacionándose también con otrosforos tales como: TF-CSIRT, FIRST, MAAWG,FIINA, RIPE, APWG, ENISA y otros.

Los temas a destacar de esta reunión fueron:

• La colaboración con el Messaging Anti-AbuseWorking Group (MAAWG: http://www.maawg.org/)

• La aprobación y consolidación legal delGrupo ECOAT así como la elección de cargos.

• La definición de grupos de trabajo.

Se inauguró la Jornada con una presentación delgrupo de Abuse de Swisscom que comenzó afuncionar en noviembre de 2003. Expuso sudinámica y áreas de interés y se abordarontemas como: Contenidos prohibidos, phishing,crackers, spam, malware, copyright, chat abuse yharesment. Es el operador más grande de Suizay tienen varias decenas de miles de incidentes almes. Cuentan con un grupo especial de temas despam que ofrece soporte a sus clientes(residenciales y empresas) en estos temas.

Hubo un espacio reservado a uno de losproblemas más candentes en la actualidadcomo es el phishing. Se contó con unapresentación de Pierre Karsten, Interpay(payments transactions for Dutch banks) sobresus experiencias y puntos de vista sobre lostemas de spyware y phishing. Forman parte deuna iniciativa internacional llamada ISAC(Information Sharing & Analisys Centerhttp://www.fsisac.com) y disponen deprotocolos para CERT gubernamentales y unaserie de mecanismos para coordinar incidentesde seguridad.

El tema central de la reunión se centró en laaprobación de la Proposed OperationalFramework para E-COAT que se consolidarácomo una organización que se tramitará antesde fin de año y la elección del comité técnicoque estará formado por: Maria Rådström(TeliaSonera Abuse Team), Markus Weyrich (T-Online), Martijn van der Heide (KPN-CERT),Peter Quick (T-COM) y Francisco Monserrat (IRIS-CERT).

Hubo intervenciones y debates fuera de Agendade interés para el Grupo, resaltar la de HuopioKauto miembro de FICORA “Autoridad deRegulación de las Comunicaciones de Finlandia”que expuso las regulaciones aprobadas enFinlandia a finales del 2004 relacionadas con losServicios de Correo electrónico proporcionadosen redes públicas (http://www.ficora.fi/englanti/

document/FICORA112004M.pdf). Estas regula-ciones afectan a cualquier ESP (Email ServiceProvider) de Finlandia e incluyen aspectostécnicos como: Open-relays, tráficos smtp desalida, control de virus, uso de listas negras, etc.


Servicio de correo electrónicoFrancisco Monserrat

([email protected])Equipo de Seguridad IRIS-CERT

• Proyecto de Seguridad entre RedIRIS y redes latinoamericanas

El proyecto “Seguridad en las comunicaciones:Plataforma de Calidad en el Servicio de CorreoElectrónico”, desarrollado por RedIRIS y lasredes latinoamericanas RNP (Brasil), RETINA(Argentina) y REUNA (Chile), fue uno de los 15seleccionados por el Fondo Regional para laInnovación Digital en América Latina y el Caribe(FRIDA http://programafrida.net/sp/proyectos2005.html).

El objetivo es crear un escenario decolaboración que permita mejorar la calidad delcorreo electrónico en la comunidad académicalatinoamericana y que sirva de inicio paratrabajar de forma conjunta en otros aspectos delas comunicaciones en la Red. Este grupo detrabajo no será cerrado sino que buscará irintegrando poco a poco a otras institucioneslatinoamericanas y españolas interesadas enparticipar en él.

El correo electrónico es una de las herramientasmás utilizadas en el entorno académico einvestigador para el intercambio deinformación; sin embargo este servicio estásiendo amenazado de forma masiva en unambiente agresivo y de enorme desconfianzaconvirtiéndolo en un instrumento vulnerablepor sus innumerables problemas de seguridad:virus, fraudes, zombies, spam, etc. Las medidasutilizadas para frenar el caos tales como losfiltros de contenidos, las listas negras locales,unilaterales o externas, está ocasionando unaumento de los recursos necesarios y del mismoproblema. Este marco caótico provoca unadegradación del servicio en los entornosacadémico-científicos en los que el correo es

21


Los objetivos deE-COAT se

centran en elmanejo y

prevención deincidentes abuse

El objetivo delproyecto FRIDA

es mejorar lacalidad del

correoelectrónico en la

comunidadacadémica

latinoamericana

Seguridad en lascomunicaciones: RedIRIS,REUNA, RETINA y RNP


una herramienta vital para el desarrollo demuchas de sus actividades.

La falta de coordinación y disponibilidad decontactos entre los diferentes servidores decorreo provoca que muchas veces no sea fácilresolver muchos de los problemas que existenresultando imposible abordar y debatir deforma conjunta las nuevas metodologías oprotocolos que van apareciendo como puedeser por ejemplo el SPF (Sender PolicyFramework) y que no son implementados pordesconocimiento de muchos de los actualesresponsables.

En resumen; los objetivos del proyecto sonestablecer modelos de Servicio de correoelectrónico, implementar un modelo deevaluación y seguimiento de este serviciosimilar al existente en RedIRIS: RACE (RedAvanzada de Correo Electrónico:http://www.rediris.es/mail/race), evaluarestrategias bien de implantación de Modelosde Sensores en Red para problemas deseguridad (RESACA, SANET, etc.) como denuevos protocolos tales como SPF (SenderPolicy Framework), e incluso probar o definirun modelo de intercambio de tráfico IPv6.También se pretende construir herramientas detrabajo colaborativo para el desarrollo delproyecto y su continuidad en el tiempo deforma que permitan un intercambio fluido deinformación entre los participantes.

El proyecto beneficiará a operadores,universidades e instituciones del entornoacadémico latinoamericano y del Caribe.Comenzó el 1 de julio y la fecha de finalizaciónmarcada es el 30 de junio de 2006. Si su objetivocentral es definir una plataforma decolaboración que permita mejorar la calidad delcorreo electrónico en la comunidad académicalatinoamericana, mediante un foro deintercambio de comunicación sobre losproblemas de seguridad del correo electrónico,establecido entre las diferentes institucionesacadémicas de América Latina y el Caribedebería traducirse en la construcción de nuevasprestaciones de valor añadido basadas en esteservicio.


Servicio de Correo Electrónico

22


También sepretendeconstruir

herramientas detrabajo

colaborativopara el

desarrollo delproyecto

FRIDAbeneficiará aoperadores,

universidades einstituciones del

entornoacadémico

latinoamericanoy del Caribe


ACTUALIDAD DE RedIRIS

Documents

Transcript of ACTUALIDAD DE RedIRIS