Actualidad boletín número 52

En los últimos meses de 1999 se han venido realizando cambios importantes en la infraestructura de transporte. Se instaló una segunda línea de GIGACOM en RedIRIS a mediados de noviembre y por ella se encamina actualmente el tráfico del servicio FLEXNET con USA y con los nodos de Cataluña y Valencia.

Coincidiendo con la instalación de esta segunda línea se aumentó la capacidad de acceso con el resto de la Internet a través de FLEXNET pasando de 14 Mbps a 40 Mbps ATM (34 Mbps IP). También se aumentó la capacidad del enlace con IBERNET de 24 a 34 Mbps ATM, alcanzándose el valor máximo de la línea física. A partir de ahora otros aumentos sólo serán posibles con el cambio ya previsto a una línea OC3 de 155 Mbps que se realizará a lo largo de este año.

La línea de 34 Mbps ATM con TEN-155 tenía claros síntomas de saturación a finales de año. En la actualidad se ha previsto una ampliación de la capacidad de conexión con Europa a un T3 de 45 Mbps a principios de marzo de 2000.

Otro cambio efectuado en febrero y que afecta directamente a las conexiones de RedIRIS fue la instalación de una línea de 45 Mbps en TEN-155 entre Madrid y Ginebra y la de un router en el punto de presencia de la red europea en Madrid. Hasta la fecha el único equipamiento existente era un conmutador. Con el nuevo router se pueden encaminar los paquetes IP de una forma más eficiente por el doble camino existente: Madrid-París y Madrid-Ginebra. El cambio de routing que ha implicado que RedIRIS tenga ahora como vecino al nuevo router de Madrid se realizó sin discontinuidad en el servicio.

Como datos de crecimiento en 1999 podemos indicar que el acceso a USA aumenta de 14 a 52 Mbps (3,7 veces), con este dato queda patente el esfuerzo que se ha realizado en solucionar el cuello de botella que ha tenido históricamente la red en sus conexiones transatlánticas. El acceso a la parte española de Internet a través de IBERNET pasa de 18,4 a 34 Mbps (1,85 veces).

El tráfico saliente total de la red creció 2,2 veces entre los meses de octubre del 98 y octubre del 99. Siendo octubre junto con noviembre los meses de más uso de la red a lo largo del año.

Por último indicar que entró el 2000 sin ningún efecto, gracias a la actualización de hardware y software que se realizó durante el año pasado.

 celestino [dot] tomas [at] rediris.es

Reuniones del Grupo de Trabajo TF-TANT

Los pasados días 25 y 26 de noviembre organizado por RedIRIS y celebrado en la Universidad Politécnica de Madrid se celebró la sexta reunión del grupo de trabajo TF-TANT (Task Force-Testing of Advanced Networking Technologies).

Dentro de la estructura de RedIRIS desde el 1 de enero de 2000 contamos con un nuevo coordinador de aplicaciones, una faceta de la red muy importante y que de esta forma esperamos que pueda tener una mayor relevancia.

Para este puesto contamos con Diego López, una persona que lleva mucho tiempo dentro de este mundo de RedIRIS y que seguramente será un viejo conocido para muchos. Su trabajo anterior estaba en el CICA y precisamente desde el punto de vista físico seguirá allí, lo que junto con la existencia de otra persona del equipo de RedIRIS en Sevilla, Javier Masa, nos obligará a utilizar al máximo la red y las herramientas de trabajo en grupo, además de estrechar aún más nuestros vínculos con este centro de excelencia de la Comunidad Andaluza.

( victor [dot] castelo [at] rediris.es)

PGP es uno de los estándares empleados en la actualidad para poder transmitir información de una forma segura, se emplea sobre todo en el correo electrónico a fin de asegurar la integridad y confidencialidad de los mensajes.

PGP carece, con respecto a los estándares X509, del concepto de autoridad de certificación, en lo que se refiere a que la clave asociada a una persona o dirección de correo electrónico sea verdaderamente de éste, siendo sustituido por una "red de confianza" donde los usuarios son los encargados de comprobar la identidad de una persona y firmar la clave PGP de ésta certificando así la identidad.

El siguiente paso es que cada usuario se encargue de indicar en qué otros usuarios confía como "certificadores", para así poder comprobar la autenticidad de la identidad de una clave PGP.

Para permitir que los usuarios PGP se conozcan entre sí y puedan comprobar la identidad de otros usuarios, se establecen reuniones de "firma de claves", en la que los usuarios se identifican, mediante un documento oficial (DNI, pasaporte, etc.) e indican a los demás cual es su clave PGP, para que estos puedan así firmar su clave PGP y certificar la identidad de la persona.

En las pasadas Jornadas Técnicas de Oviedo se procedió a realizar dos de estas reuniones de firmas PGP, con la intención de realizar reuniones en sucesivos encuentros y grupos de trabajo, con el fin de crear una "red de confianza" entre los responsables de las organizaciones afiliadas a RedIRIS.

En cada una de estas reuniones uno de los asistentes actuó como "notario", encargado de verificar la identidad de los asistentes y su correspondencia con la documentación (DNI, pasaporte, etc.) aportada.

Después de estas reuniones se procedió a reunir las claves de los asistentes en dos grupos (uno por cada reunión) para que los asistentes puedan firmas las claves que deseen. Estas claves firmadas son enviadas después a los propietarios para que las difundan de la forma que consideren oportuna, y la publiquen en los servidores de claves públicos.

Para encontrar más información sobre PGP y la reunión de firma de claves pueden consultarse las siguientes direcciones:

CERTs en Europa. Siete años de colaboración

Los aspectos de colaboración y coordinación entre CERTs (Computer Emergency Response Teams) en Europa han sido tema de discusión desde 1992, cuando RARE, precursor de TERENA, organizó el task-force CERT-TF para especificar los requisitos que deberían cumplir los CERTs europeos. Este trabajo duraría hasta 1994.

El informe de 1995 del grupo de Trabajo de TERENA "CERTs in Europe" desembocó en el establecimiento del piloto SIRCE (Security Incident Response Co-ordination for Europe), conocido posteriormente como EuroCERT, y financiado por una serie de redes contribuyentes, entre ellas RedIRIS. El fin de este Piloto era el establecimiento de un servicio de coordinación europeo gestionado por UKERNA y DANTE. Este proyecto, que comenzó en mayo de 1997 finalizó el 15 de septiembre de 1999, y aunque la experiencia adquirida con él y los servicios ofrecidos fueron muy bien acogidos por la comunidad, se decidió que no era posible establecer un servicio operacional permanente de coordinación entre CERTs europeos que siguiera a esta fase del piloto. Las razones fundamentales fueron que no se pudo llegar a un consenso para definir un servicio permanente por parte de las redes contribuyentes, debido a la gran diversidad de tipos de redes y equipos de seguridad existentes en Europa, cada uno con unas necesidades y requerimientos específicos.

Sin embargo, aunque el piloto SIRCE no llegará a buen puerto, está claro que se necesita algún tipo de colaboración entre los equipos de seguridad europeos para defender intereses comunes. Éste ha sido el propósito de las dos reuniones organizadas por TERENA, con el nombre de CERT-COORD (CERT Coordination for Europe), desde la disolución del piloto SIRCE.

Ambas reuniones se celebraron en Amsterdam el 24 de septiembre de 1999 y 21 de enero de 2000 respectivamente. La asistencia de delegados de distintas redes/organizaciones europeas fue bastante grande, lo que afianzó aún más la necesidad de un marco común de colaboración.

En la primera reunión se analizaron las actividades que se deberían cubrir para satisfacer los requerimientos de los IRTs europeos. Se decidió que éstas deberían ser las siguientes:

1. Proporcionar y mantener información en línea sobre CERTs existentes: Información legal, estadísticas de incidencias y tendencias, repositorio de herramientas y sistemas para detección de intrusos y sistemas de seguridad, etc...
2. Animar al establecimiento de nuevos CERTs y ofrecerles asistencia.
3. Proporcionar un servidor de claves PGP y una Autoridad de Certificación.
4. Establecimiento de un agente de confiabilidad ("trust broker") que permita la creación de una red de confianza entre CSIRTs y que describa un procedimiento de introducción y acreditación para los nuevos CERTs. Esto desembocó en la formación de un pequeño proyecto de TERENA que será revisado en la próxima reunión.
5. Puesta en marcha de una clasificación de Incidentes con el fin de permitir el intercambio de estadísticas y el establecimiento de tendencias.
6. Organización de reuniones y seminarios.
7. Mantenimiento del enlace con equipos de coordinación de grupos de seguridad y CERTs fuera de Europa.
8. Creación de listas de distribución que den soporte a la coordinación de dichas actividades de colaboración ( cert-coord [at] terena [dot] nl).

La V Reunión del Grupo de Trabajo GTI-PCA, celebrada el pasado 16 de noviembre de 1999 en Oviedo con motivo de las Jornadas Técnicas de RedIRIS 1999, permitió asentar ciertos aspectos técnicos del Piloto de Certificación que nos han permitido ponerlo en funcionamiento el pasado 15 de febrero.

Este piloto va encaminado a establecer una estructura jerárquica de certificación y bajo ella una única Autoridad de Certificación raíz emitirá certificados digitales a favor de las Autoridades de Certificación subordinadas, instaladas en los organismos e instituciones de la comunidad RedIRIS que colaboran en este proyecto.

En las últimas semanas han venido aparecido noticias en diversos medios de información sobre ataques de denegación de servicio contra algunos servidores comerciales en Estados Unidos (Yahoo, e-bay, etc.). Se trata de clásicos ataques de denegación de servicio en protocolos TCP (saturación de paquetes UDP e ICMP, establecimiento de conexiones TCP, etc.), con la particularidad de que el ataque se produce de manera simultanea desde diversas redes de origen.

Dentro de la red académica española RedIRIS hemos venido detectando desde diciembre pasado algunos incidentes en los que un atacante ha entrado, empleando alguna vulnerabilidad muy conocida, en equipos mal protegidos y ha instalado una herramienta de este tipo para después lanzar un ataque de saturación.

El centro de Gestión y Operación de Red de RedIRIS está procediendo a analizar los picos de saturación de tráfico dentro de los troncales para, junto con IRIS-CERT, proceder a avisar a las instituciones afectadas y ayudarlas en la configuración y limpieza del equipo atacado.

Solamente queremos resaltar que este tipo de incidentes se producen, en gran parte, debido a la existencia de muchos equipos que están mal configurados y administrados en las instituciones y que constituyen una puerta abierta para que desde el exterior un atacante instale una de estas herramientas y proceda a realizar un ataque que muchas veces afecta directamente a la conexión de la institución, por este motivo se debe actuar con rapidez ante este tipo de incidentes y sobre todo configurar adecuadamente los sistemas informáticos, para que un atacante no pueda entrar en los equipos.

El pasado 7 de febrero se celebró en La Haya-Holanda, la reunión técnica de FIRST (Forum of Incident and Response Security Team). Esta organización agrupa a más de 90 grupos de seguridad informáticos de los cinco continentes. Todos los años se realiza una reunión técnica a principios de año en Europa, con el fin de coordinar a los grupos europeos y analizar diversos aspectos de la seguridad informática.

La reunión de este año fue organizada por Uni-CERT, grupo de seguridad de la compañía telefónica holandesa y asistieron representantes de los grupos de seguridad europeos y algunos americanos (CERT/CC, Sun, IBM, etc.).

En el programa de la reunión se analizó la situación de los diversos grupos de seguridad europeos con la celebración de las reuniones de TERENA sobre este aspecto, y las posibilidades de generalización de las ideas ahí propuestas a FIRST (ver noticia sobre Reuniones).

En el plano más técnico tuvieron lugar dos presentaciones sobre diversos aspectos de seguridad en la plataforma Windows NT referentes a una herramienta elaborada por el grupo de seguridad de Secu-Cert, en Alemania, un repaso a la configuración de las auditorías en este Sistema y una presentación de wietse Venema sobre el análisis de rendimiento en diversos sistemas operativos Unix así como un informe sobre fraude en sistemas de telefonía.

Para más información contactar  cert [at] rediris [dot] es

( francisco [dot] monserrat [at] rediris.es)

En estos momentos se está gestando la nueva red de investigación GÉANT, algo que supondrá un paso más hacia una infraestructura avanzada en la que participarán miembros de la Unión Europea y otros países asociados de nuestro entorno más cercano.

La red se situará en la última línea del estado del arte con capacidad del orden de Gigabits por segundo en su núcleo central y se construirá sobre la base de una única red de producción que permita el uso de las nuevas aplicaciones y servicios operativos. Al mismo tiempo servirá de plataforma de demostración y validación de aplicaciones avanzadas de red.

La Comisión Europea, bajo su programa IST (Information Society Technologies), del V Programa Marco, continúa con su apoyo —como en proyectos anteriores—, subvencionando todas las actividades a realizar en forma de diferentes líneas de acción. La primera de ellas, RN-1 (Research Network 1), será la que contribuya a la provisión de la red GÉANT, el resto de las líneas complementarias son RN-2 experimentos extremo a extremo de aplicaciones haciendo uso de nuevos tipos de terminales, RN-3 plataforma para la integración de tecnologías de acceso y RN-4 experimentación de futuras tecnologías de red incluyendo la validación industrial de nuevos componentes optoelectrónicos. Dentro de esta última línea RN-4 se contemplarán los casos especiales en los que la experimentación pueda provocar interrupciones de la red operativa soportada por RN-1.

GÉANT aún se encuentra en estado de definición, pero algunas otras características, además de las ya apuntadas serán: la utilización de calidad de servicio (QoS) con diferentes niveles tecnológicos, flexibilidad y conectividad global mediante una serie de puntos de interconexión. Estos puntos denominados EDA (European Distributed Access) con redes de otras partes del mundo como Norteamérica, Asia Pacífico y Sudamérica, dispondrán de fondos específicos por parte de la Comisión. También hay que resaltar en esta fase la posible inclusión de grupos de investigación industriales participantes en proyectos del V Programa Marco.

Nos encontramos en una carrera contra reloj en la que la Comisión manifiesta un enorme interés para que se realice un desarrollo acelerado. Se está en fase de definición técnica y establecimiento de consorcios, de forma que en poco tiempo se pueda llevar a cabo un concurso público, al que seguirá el análisis de ofertas recibidas, contratación y despliegue de la nueva red, algo que se realizará sin discontinuidad y que en cualquier caso no se espera que se pueda producir antes de finales de 2000 o principios de 2001.

( victor [dot] castelo [at] rediris.es)