Black Box Sign®

Software Open Source

(1ª version instalada)

Esta especificación ha sido preparada

por ANF AC para liberar a terceras

partes.

NIVEL DE SEGURIDAD

DOCUMENTO PÚBLICO

[Escribir texto]

1. Introducción

El concepto de Open Source se basa en una gestión comunitaria de un producto, que

mejora constantemente aumentando su funcionalidad, adaptabilidad y potencial de

producción.

El software Open Source se caracteriza por:

• Un muy bajo coste de implementación y mantenimiento.

• Un sistema sumamente estable, de muy baja incidencia de errores críticos.

• Permitir que las aplicaciones sean copiadas y distribuidas para su mejora

continua.

• No ser susceptible a los virus comunes.

Para atender las necesidades derivadas en la administración de la infraestructura de

certificación de ANF AC, el Departamento de Ingeniería ha seleccionado una serie de

aplicaciones Open Source. Este software nos permite garantizar de forma adecuada la

seguridad de los sistemas y adaptarlo a los requerimientos de nuestros servicios.

En su selección se han realizado pruebas de rendimiento, y se ha tenido en cuenta la

experiencia de usuario publicada en foros especializados, a fin de detectar con carácter

preventivo cualquier tipo de incidencia.

El estado de la técnica determina en cada momento la conveniencia de mantener o

descatalogar cualquiera de estas aplicaciones. En cada sección se informa de su estado:

vigente, desclasificado, o incluso si está en fase de sustitución.

[Escribir texto]

2. Aplicaciones seleccionadas

Alfresco

Gestor documental. Es un sistema de administración de contenidos libre (en inglés

“Enterprise Content Manager”, ECM), basado en estándares abiertos y de escala

empresarial para sistemas operativos tipo Linux y Unix.

Está diseñado para usuarios que requieren un alto grado de modularidad y rendimiento

escalable. Desarrollado en Java, Alfresco incluye un repositorio de contenidos y un

framework de portal web para administrar y usar contenido estándar en portales.

Estado: Vigente · Sitio web oficial: www.alfresco.com

Fuente: Yerbabuena.es

Amavis

Antivirus que funciona en plataformas Linux y escanea los archivos adjuntos a los

mensajes de e-mail. Aunque estos sistemas operativos son conocidos por ser libre de

virus, Amavis se utiliza para evitar que los virus se transmitan a los usuarios de

Windows.

[Escribir texto]

El software Amavis tiene un servicio que abre cada archivo adjunto de correo electrónico

y lo escanea en busca de virus antes de permitir que el correo sea entregado. Amavis no

tiene su propia biblioteca de virus, sino que trabaja con antivirus de terceros disponibles

para Unix, Linux y Mac OS X.

Estado: Vigente · Sitio oficial: www.amavis.org

Apache

Apache es un servidor web HTTP de código abierto. Es el componente de servidor web

más popular en la plataforma de aplicaciones LAMP, junto a MySQL y los lenguajes de

programación PHP/Perl/Python/Ruby.

Apache es usado para muchas tareas donde el contenido necesita ser puesto a

disposición de una forma segura y confiable.

Algunos de los más grandes sitios web del mundo se ejecutan sobre Apache. La capa

frontal (Frontend) del motor de búsqueda de Google está basada en una versión

modificada de Apache, denominada Google Web Server (GWS). Muchos proyectos

de Wikimedia también se ejecutan sobre servidores web Apache.

Las tecnologías LAMP funcionan mediante la unión de:

Linux, el sistema operativo (en algunos casos también se refiere a LDAP).

Apache, el servidor web

MySQL, el gestor de bases de datos

PHP, lenguaje de programación

Estado: Vigente · Sitio oficial: www.apache.org

Asterisk

Asterisk es un programa que proporciona funcionalidades de una central telefónica (PBX).

Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer

llamadas entre sí e incluso conectar a un proveedor de VoIP o bien a una RDSI.

Asterisk incluye muchas características que anteriormente sólo estaban disponibles en

costosos sistemas propietarios PBX, como buzón de voz, conferencias, IVR, distribución

automática de llamadas, y otras muchas.

[Escribir texto]

En la actualidad Asterisk ha sido adoptado en muchos entornos corporativos. Se trata de

una gran solución de bajo coste junto con SER (Sip Express Router).

Estado: Vigente · Sitio oficial: www.asterisk.org

aTutor

aTutor es un Sistema de Gestión de Contenidos de Aprendizaje (Learning Content

Management System) de Código abierto basado en la Web y diseñado con el objetivo de

lograr accesibilidad y adaptabilidad.

Con aTutor Los educadores pueden rápidamente ensamblar, empaquetar y redistribuir

contenido educativo, y llevar a cabo sus clases online. aTutor es un programa diseñado

en PHP, Apache y MySQL.

Estado: Vigente · Sitio oficial: www.atutor.ca

Bouncy Castle Bouncy Castle es una colección de APIs utilizados en criptografía. Tiene versiones para

los lenguajes Java y C#.

Framework para criptografía que forma parte de la distribución estándar de la JVM

(máquina virtual de Java).

Estado: Vigente · Sitio oficial: www.bouncycastle.org

ClamAV

ClamAV es un software antivirus que funciona en plataformas Linux.

ClamAV cuenta con un conjunto de herramientas que identifican y bloquean

el malware proveniente del correo electrónico. Uno de los puntos fundamentales en este

tipo de software es la rápida localización e inclusión en la herramienta de los nuevos

virus encontrados y escaneados.

Estado: Vigente · Sitio oficial: www.clamav.net/lang/en

[Escribir texto]

Copia de Seguridad

Sistema basado en la utilización de scripts que permiten atender los requerimientos de la

Política de Copias de Seguridad.

El administrador puede determinar procesos de copias incrementales, backups, y

periodicidad.

Estado: Vigente

HeartBeat

HeartBeat es un programa de gestión de clusters portátil y con licencia GPL para clusters

de alta disponibilidad. Sus más importantes características son:

Máximo número de nodos no establecidos. Heartbeat puede usarse tanto para

clusters grandes como clusters de menor tamaño.

Motorización de recursos: los recursos pueden reiniciarse o moverse a otro nodo en

caso de fallo.

Mecanismo de cercado para remover nodos fallidos en el clúster.

Gestión de recursos basado en directivas, inter-dependencia de recursos y

restricciones

Reglas basadas en el tiempo permiten diferentes directivas dependiendo del tiempo.

Varios scripts de recursos (para Apache, PostgreSQL, etc.) incluidos.

GUI para configurar, controlar y monitorizar recursos y nodos

Estado: Vigente · Sitio oficial: linux-ha.org/wiki/Heartbeat

Iptables

Iptables es una herramienta de cortafuegos que permite no solamente filtrar paquetes,

sino también traducir de direcciones de red (NAT) para IPv4 o mantener registros de log.

El administrador puede definir políticas de filtrado del tráfico que circula por la red.

Debido a que Iptables requiere privilegios elevados para operar, el único que puede

ejecutarlo es el superusuario.

Estado: Vigente · Sitio oficial: www.netfilter.org

[Escribir texto]

KVM

Kernel-Based Virtual Machine o KVM (máquina virtual basada en el núcleo) es una

solución para implementar una virtualización completa con Linux.

KVM permite ejecutar máquinas virtuales utilizando imágenes de disco que contienen

sistemas operativos sin modificar. Cada máquina virtual tiene su propio hardware

“virtualizado”: una tarjeta de red, discos duros, tarjeta gráfica, etc.

Estado: Vigente · Sitio oficial: www.linux-kvm.org/page/Main_Page

Linux

Linux es un sistema operativo de libre distribución por lo que se pueden encontrar todos

los ficheros y programas necesarios para su funcionamiento en multitud de servidores.

Una distribución es una recopilación de estos programas y ficheros, organizados y

preparados para su instalación.

Black Box Sign® puede utilizar alguna de las siguientes opciones de Linux:

CentOS

Distribución de Linux basada en los códigos fuente libremente disponibles de Red

Hat Enterprise.

Estado: Vigente · Sitio oficial: www.centos.org · En español: wiki.centos.org/es

Ubuntu

Distribución que utiliza un núcleo Linux, cuyo origen está basado en el sistema

Debian. Ubuntu posee una gran colección de aplicaciones para la configuración de

todo el sistema, valiéndose principalmente de interfaces gráficas. Ubuntu es

conocido por su facilidad de uso y aplicaciones orientadas al usuario final.

Estado: Vigente · Sitio oficial: www.ubuntu.com · En español: www.ubuntu-es.org

Mantis

Mantis es un gestor de incidencias, cuya configuración puede orientarse al seguimiento

de fallos y soluciones, o a cualquier sistema de seguimiento con objetivos diversos.

[Escribir texto]

Las incidencias giran en torno a los proyectos, que son los objetos a los cuales se asiste,

y estos pueden tener sub-proyectos, que son las ramificaciones posibles.

Estado: Vigente · Sitio oficial: www.mantisbt.org

Modsecurity

ModSecurity es una herramienta para detección y prevención de intrusos para

aplicaciones Web. Es un firewall de aplicaciones web que se ejecuta como un módulo

del servidor web Apache. Provee protección contra diversos ataques hacia aplicaciones

Web y permite monitorear tráfico HTTP, así como realizar análisis en tiempo real.

Estado: Vigente · Sitio oficial: www.modsecurity.org

MySQL

MySQL es un sistema de administración y gestión de bases de datos relacional, multihilo

y multiusuario. Una base de datos relacional archiva datos en tablas separadas en vez de

colocar todos los datos en un gran archivo, lo que proporciona una mayor velocidad y

flexibilidad.

Las tablas están conectadas por relaciones definidas que hacen posible combinar datos

de diferentes tablas sobre pedido. Con más de seis millones de copias funcionando en la

actualidad, MySQL supera a cualquier otra herramienta de bases de datos.

Estado: Vigente · Sitio oficial: www.mysql.com

Nagios

Nagios es un sistema de monitorización de redes. Vigila los equipos (hardware) y

servicios (software) que se especifiquen, alertando cuando el comportamiento de los

mismos no es el deseado.

Entre sus características principales figuran:

Monitorización de servicios de red (SMTP, POP3, HTTP, SNMP)

Monitorización de los recursos de sistemas hardware (carga del procesador, uso

de los discos, memoria, puertos, etc.)

Independencia de los sistemas operativos

[Escribir texto]

Posibilidad de monitorización remota mediante túneles SSL cifrados o SSH

Posibilidad de programar plug-ins específicos para nuevos sistemas.

Estado: Vigente · Sitio oficial: www.nagios.org

NAT

NAT (Network Address Translation - Traducción de Dirección de Red) es un mecanismo

utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan

mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las

direcciones utilizadas en los paquetes transportados.

NAT traduce las IP privadas de la red en una IP pública para que la red pueda enviar

paquetes al exterior; y traduce luego esa IP pública de nuevo a la IP privada del PC que

envió el paquete, para que pueda recibirlo una vez llega la respuesta.

Estado: Vigente

Ntop

Ntop (de Network Top) es una herramienta que permite monitorizar en tiempo real una

red. Es útil para controlar los usuarios y aplicaciones que están consumiendo recursos de

red en un instante concreto y para ayudarnos a detectar malas configuraciones de algún

equipo, o a nivel de servicio.

Posee un microservidor web desde el que cualquier usuario con acceso puede ver las

estadísticas de monitorización.

Estado: Vigente · Sitio oficial: www.ntop.org

NTP

Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de

los sistemas informáticos a través del ruteo de paquetes en redes con latencia variable.

NTP utiliza el Algoritmo de Marzullo con la escala de tiempo UTC, incluyendo soporte para

características como segundos intercalares. NTPv4 puede mantenerse sincronizado con

una diferencia máxima de 10 milisegundos (1/100 segundos) a través de Internet.

[Escribir texto]

NTP utiliza un sistema de jerarquía de estratos de reloj, en donde los sistemas de estrato

1 están sincronizados con un reloj externo tal como un reloj GPS ó algún reloj atómico.

Black Box Sign® se sincronizan con la fuente segura de tiempo oficial de cada país en el

que se ubica el servidor (en España, el Real Observatorio de la Armada, hora.roa.es). Los

sistemas de estrato 2 de NTP derivan su tiempo de uno ó más de los sistemas de estrato

1, y así consecutivamente.

Estado: Vigente · Sitio oficial: http://support.ntp.org/bin/view/Main/WebHome

Nuxeo

Nuxeo es una herramienta de ECM y gestión documental para documentos, páginas web,

registros, imágenes y desarrollo colaborativo de contenido. Es un sistema de

administración de contenidos libre, basado en estándares abiertos y de escala

empresarial para sistemas operativos tipo Linux y Unix.

Nuxeo está desarrollado en Java y diseñado para usuarios que requieren un alto grado de

modularidad y rendimiento escalable. Incorpora el creador de portales web Nuxeo

WebEngine y una aplicación de escritorio para manejar el contenidoalmacenado de forma

rápida, llamada Nuxeo RCP.

Fuente: Yerbabuena.es

Estado: Vigente · Sitio oficial: www.nuxeo.com

[Escribir texto]

OCS Inventory

Open Computer and Software Inventory Next Generation (OCS) es un software libre que

permite a los usuarios administrar el inventario de sus activos. OCS-NG recopila

información sobre el hardware y software de equipos que hay en la red que ejecutan el

programa de cliente OCS ("agente OCS de inventario"). OCS puede utilizarse para

visualizar el inventario a través de una interfaz web.

Además, OCS comprende la posibilidad de implementación de aplicaciones en los equipos

de acuerdo a criterios de búsqueda.

Estado: Vigente · Sitio oficial: http://www.ocsinventory-ng.org

OpenLDAP

OpenLDAP es una implementación del protocolo Lightweight Directory Access Protocol

(LDAP).

Existen 20 overlays en el núcleo de la distribución OpenLDAP y 16 diferentes backend en

tres categorías:

Backend de almacenamiento de datos (Data Storage backend) - estos realmente

almacenan información.

Proxy backend - actúan como puertas de enlace a otros sistemas de

almacenamiento de datos.

Backend dinámicos - estos generan datos sobre la marcha.

Estado: Vigente · Sitio oficial: www.openldap.org

Postfix

Postfix es un servidor de correo, rápido, fácil de administrar y seguro. El exterior tiene un

claro parecido a Sendmail, pero el interior es completamente diferente.

Postfix es el agente de transporte por omisión en diversas distribuciones de Linux y en

las últimas versiones del Mac OS X.

Estado: Vigente · Sitio oficial: www.postfix.org

[Escribir texto]

Postgrey

Postgrey es un sistema de filtrado de correo electrónico no deseado.

El principio de funcionamiento es que el spam es enviado por spambots y otros MTA, los

cuales no obedecen las notas RFC. Postgrey rechaza temporalmente correos nuevos con

el error 450 "inténtelo más tarde".

Si el servidor que envía obedece los RFC, entonces reenviará el mensaje, en tal punto

Postgrey comprobará su base de datos en busca de una coincidencia y aceptará el

mensaje. De esta forma los correos desde un origen determinado deberían ser

demorados solo la primera vez.

Estado: Vigente · Sitio oficial: www.greylisting.org

PostgreSQL

PostgreSQL es un sistema de gestión de base de datos relacional orientada a objetos.

Algunas de sus principales características son, entre otras:

Alta concurrencia

Permite que mientras un proceso escribe en una tabla, otros accedan a la misma

tabla sin necesidad de bloqueos

Amplia variedad de tipos nativos

o Números de precisión arbitraria.

o Texto de largo ilimitado.

o Figuras geométricas (con una variedad de funciones asociadas).

o Direcciones IP (IPv4 e IPv6).

o Bloques de direcciones estilo CIDR.

o Direcciones MAC.

o Arrays.

Otras características

o Claves ajenas

o Disparadores (triggers)

o Soporte para transacciones distribuidas

Funciones

Bloques de código que se ejecutan en el servidor. Se pueden utilizar múltiples

tipos de lenguaje como: C, C++, Java, PHP…

[Escribir texto]

Es capaz de gestionar bases de datos realmente grandes, y es especialmente idóneo para

asumir un gran transaccional sin ver afectada su velocidad de respuesta.

Estado: Vigente · Sitio oficial: www.postgresql.org · En español: www.postgresql.org.es

Prestashop

PrestaShop es un popular software de comercio electrónico. Proporciona funcionalidades

que atraen compradores y aumentan las ventas en línea.

Es compatible con pasarelas de pago. Ha sido traducido a 41 idiomas. Trabaja con

servidores web Apache, MySQL y Linux. Funciona en PHP.

Estado: Vigente · Sitio oficial: www.prestashop.com

RAIDON

Equipamiento asociado al sistema de Copias de Seguridad y a un específico servidor.

Asume el almacenamiento de información.

Estado: Vigente

Red Hat HA Cluster

Red Hat Cluster incluye un software para crear una alta disponibilidad y balanceo de

carga de clúster.

Los servicios de software, los sistemas de archivos y el estado de la red pueden ser

monitoreados y controlados por el Cluster Suite, servicios y recursos se pueden conmutar

por error a otros nodos de red en caso de fallo.

Estado: Vigente · Sitio oficial: http://www.redhat.com

Samba

Samba es una implementación libre del protocolo de archivos compartidos de Microsoft

Windows para sistemas de tipo UNIX.

[Escribir texto]

Samba configura directorios Unix y GNU/Linux (incluyendo sus subdirectorios) como

recursos para compartir a través de la red. Para los usuarios de Microsoft Windows, estos

recursos aparecen como carpetas normales de red.

Estado: Vigente · Sitio oficial: www.samba.org

Sendmail

Es un "agente de transporte de correo" (MTA - Mail Transport Agent) en Internet, cuya

tarea consiste en "encaminar" los mensajes correos de forma que estos lleguen a su

destino.

Estado: Vigente · Sitio oficial: www.sendmail.org

SpamAssassin

SpamAssassin es un sistema de filtrado de correo electrónico no desead, que utiliza una

variedad de técnicas de detección de spam, incluyendo detección de DNS, y control

basado en filtrado bayesiano, listas negras y bases de datos en línea.

El programa puede ser integrado con el servidor de correo para filtrar de forma

automática todo el correo de un sitio.

Estado: Vigente · Sitio oficial: http://spamassassin.apache.org

Splunk

Splunk es un software para monitorear, reportar y analizar datos de máquina (LOG)

producidos por las aplicaciones, sistemas y la infraestructura que gestiona un negocio.

Splunk permite buscar, controlar y analizar los datos generados a través de interfaz web.

Splunk captura índices y correlaciona datos en tiempo real y posibilita generar gráficos,

informes, alertas y cuadros de mando.

Splunk tiene como objetivo hacer accesibles los datos de la máquina en toda la

organización e identifica los patrones, proporciona métricas, problemas diagnósticos y

provee de inteligencia para la operación del negocio.

Estado: Vigente · Sitio oficial: www.splunk.com

[Escribir texto]

Squirrelmail

Squirrelmail es una aplicación webmail escrita en PHP. Puede ser instalada en la mayoría

de servidores web siempre y cuando éste soporte PHP y el servidor web tenga acceso a

un servidor IMAP y a otro SMTP.

SquirrelMail sigue el estándar HTML 4.0 para su presentación. Está diseñado para

trabajar con plug-ins, lo cual hace más llevadera la tarea de agregar nuevas

características entorno al núcleo de la aplicación.

Estado: Vigente · Sitio oficial: www.squirrelmail.org

Sugar

Plataforma CRM basada en Web. Sistema para la administración de las relaciones con los

clientes (CRM) basado en LAMP (Linux-Apache-MySQL-PHP).

Estado: Vigente · Sitio oficial: sugarcrm.com

Swatch

Swatch es una herramienta de seguridad, que permite realizar un seguimiento

automatizado de registros. Está diseñado para ver los registros del sistema analizando

cadenas particulares y es capaz de reaccionar según el resultado del análisis

realizado. Gracias a ello protege SSHD de un ataque de fuerza bruta.

Interoperable con Iptables y Syslog-ng, Swatch hace con los registros lo que Tripwire

hace por la integridad del sistema de archivos.

Estado: Vigente

SysLog-ng

SysLog-ng es una aplicación de SysLog para sistemas Unix y Linux. Extiende el modelo

del SysLog original con filtrado basado en contenidos, aportando opciones de

configuración e importantes características como el uso de TCP para el transporte de la

información.

[Escribir texto]

SysLog-ng opera en conformidad con:

RFC 3164 - Protocolo Syslog BSD

RFC 5424 - Protocolo Syslog

RFC 5425 - Transport Layer Security (TLS) Asignación de Transporte para Syslog

RFC 5426 - Transmisión de mensajes Syslog a través de UDP

Estado: Vigente · Sitio oficial

Tomcat

Tomcat es un servidor web con soporte de servlets y JSP. Tomcat no es un servidor de

aplicaciones, como JBoss o JOnAS. Incluye el compilador Jasper, que compila JSPs

convirtiéndolas en servlets. El motor de servlets de Tomcat a menudo se presenta en

combinación con el servidor web Apache.

Dado que Tomcat fue escrito en Java, funciona en cualquier sistema operativo que

disponga de la máquina virtual Java.

Estado: Vigente · Sitio oficial: http://tomcat.apache.org

Tripwire

Tripwire es una herramienta de seguridad e integridad de datos, es útil para el

seguimiento y alerta sobre el cambio de archivos específicos.

Tripwire, en lugar de intentar detectar intrusiones a nivel de interfaz de red, detecta los

cambios que se han producido en los objetos del sistema. Tripwire escanea el sistema de

archivos según reglas determinadas por el administrador y almacena los hashes

criptográficos sobre cada archivo escaneado en una base de datos. Periódicamente los

archivos se escanean y los resultados se compararon con los valores almacenados en la

base de datos.

Si bien es útil para la detección de intrusiones después de un evento, también puede

servir para muchos otros propósitos, tales como la garantía de la integridad, la gestión

del cambio, y el cumplimiento de la Política de Seguridad de la Información.

Estado: Vigente · Sitio oficial: www.tripwire.com

[Escribir texto]

Truecrypt

TrueCrypt es una aplicación para cifrar y ocultar en el ordenador. Emplea para ello

diferentes algoritmos de cifrado como AES, Serpent y Twofish o una combinación de los

mismos. Además de la contraseña se usa un keyfile o "archivo llave" imprescindible para

acceder a la información.

Estado: Vigente · Sitio oficial: www.truecrypt.org

VPN

Virtual Private Network (VPN) es una tecnología de red que permite una extensión segura

de la red local sobre una red pública o no controlada.

Garantiza la autentificación y la integridad de toda la comunicación:

Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué

nivel de acceso debe tener.

Integridad: de que los datos enviados no han sido alterados. Para ello se

utiliza funciones de Hash. Algoritmo Secure Hash Algorithm (SHA).

Confidencialidad: Dado que sólo puede ser interpretada por los destinatarios de la

misma. Se hace uso de algoritmos de cifrado como Triple DES (3DES)

y Advanced Encryption Standard (AES).

No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede

negar que el mensaje lo envió él o ella.

Estado: Vigente