Actualidad boletín número 49

Durante los próximos días 17, 18 y 19 de noviembre tendrá lugar la celebración de las Jornadas Técnicas de RedIRIS correspondientes a este año (JT99). Se realizarán en Asturias, contando con la colaboración de la Universidad de Oviedo.

Nuevamente servirán como reunión de responsables y técnicos de comunicaciones de los centros conectados en RedIRIS, en ellas se repasarán los cambios realizados en el último año y se expondrán las ponencias recibidas en la solicitud pública que se lanzó en el pasado mes de julio lo que permitirá compartir experiencias de interés común entre los centros y servirán de foro para el intercambio de opiniones de cara a la evolución futura de la red.

La información sobre las Jornadas se irá actualizando de forma continua en la siguiente dirección:

Nuevo equipamiento en la red

El pasado mes de junio se instaló en el Centro de Comunicaciones CSIC RedIRIS un router CISCO 12008 en el punto central de la red. Este nuevo router es el encargado de cursar todo el tráfico entre nodos regionales y desde estos hacia el exterior. Anteriormente estas funciones la realizaba un router CISCO 7507 que incorporaba una tarjeta OC3/ATM. El nuevo router dispone de 4 tarjetas OC3 y tiene una capacidad escalable de conmutación de datagramas IP entre 10 y 40 Gbps.

El antiguo router 7507 mantiene en la actualidad el backup RDSI y se utilizará como router de concentración de enlaces de acceso de baja velocidad de centros de Madrid. De este modo está previsto en octubre eliminar dos routers AGS+ que soportaban más de 30 líneas de baja velocidad y conectarlas a este router mediante líneas estructuradas de 2 Mbps.

También se ha adquirido un nuevo conmutador ATM, un cisco 8510, que permite gestión de colas por circuito virtual. Este nuevo conmutador es el punto de unión entre los routers del nodo de Madrid y las líneas ATM de comunicaciones: TEN-155, IBERNET, GIGACOM. El anterior conmutador se está utilizando en este momento para concentrar los servidores centrales con salida ATM: proxy, news, ftp, mbone.

En la figura siguiente se muestra el diagrama de conexión final del equipamiento:

A partir del próximo mes de octubre entrará en funcionamiento una nueva lista de distribución denominada IRIS-TICKETS. A través de ella se distribuirán las incidencias que ocurran en la red. Estas incidencias comprenderán todo aquello relacionado con averías, trabajos de mantenimiento y actualizaciones de SH y HW que se lleven a cabo en los nodos que componen la red académica.

( maribel [dot] cosin [at] rediris.es)

A continuación describimos algunos de los aspectos más interesantes referentes a la Actualidad que se está desarrollando en el servicio Mbone de RedIRIS:

En los últimos meses, el servicio de proxy/caché de web dentro de la comunidad RedIRIS, ha sufrido notables cambios. Estos cambios hacen que el servicio se encuentre en la actualidad en un proceso de evolución y crecimiento.

Actualmente el servicio de proxy/cache de RedIRIS está soportado por dos servidores: uno principal (proxy.rediris.es) y otro secundario (cachewww.rediris.es). El primero es una SUN Ultra-2, con sistema operativo Solaris 7, 2 procesadores, 512 Mb de RAM y, soportando la caché, 6 discos de 4 Gb, lo que le da una capacidad de almacenamiento real en torno a 20 Gb. Este sistema, debido a su carga, muestra deficiencias que se reflejan, entre otras por ejemplo, en su "Storage LRU Expiration Age" que se sitúa en valores bajos (en torno a 0,2 días) y que define el tiempo máximo que se le permite a un objeto permanecer en la caché sin ser consultado, antes de ser borrado. Esto muestra falta de espacio en la caché para la cantidad de carga que soporta. La nueva infraestructura dotará a este servicio de cuatro servidores: Pentium III-450Mhz, 1 Gb de RAM y 18 Gb de HD. Este aumento en la asignación de recursos dentro del servidor Proxy/cahé de RedIRIS, está destinado a paliar sus deficiencias y a mejorar el servicio en toda la comunidad de RedIRIS.

Durante estos últimos años la comunidad investigadora internacional ha realizado grandes esfuerzos para desarrollar y estandarizar una nueva arquitectura IP que soporte calidad de servicio (QoS), llamada servicios diferenciados (diffserv).

La arquitectura de servicios diferenciados nació como una solución para ofrecer QoS en redes IP de forma sencilla y escalable, en oposición a los protocolos y arquitecturas existentes como el protocolo IP de reserva de recursos (RSVP) o la arquitectura ATM.

En general, la puesta en marcha de las técnicas IP de QoS en las redes de investigación nacionales tiene una gran importancia sobre todo por los mecanismos de asignación de recursos que proporciona, característica que frecuentemente es un requisito incluso en redes de muy alta velocidad.

Dada la importancia, el grupo de trabajo europeo TF-TANT ha abierto una línea de experimentación en este área.

Durante el primer semestre de este año el grupo se ha dedicado a la definición del experimento, que ha incluido el estudio de los últimos desarrollos del grupo de trabajo diffserv del IETF, un análisis sobre qué plataformas soportan esta arquitectura y aspectos de interoperabilidad y diseño de la red experimental.

El programa de experimentación está dividido en tres fases: la precedencia IP, servicios diferenciados y la interoperabilidad entre las arquitecturas de diffserv y servicios integrados (intserv).

La siguiente figura muestra tanto la topología de la red experimental definida como los integrantes del proyecto:

Ya está a disposición de los usuarios de aquellas organizaciones de RedIRIS que utilizan RedIRISdial un nuevo servicio de correo electrónico básico vía Web. Este servicio se ha puesto a disposición de los usuarios que se conectan a través de conexiones RTB o RDSI del acceso de InfoVia de RedIRIS para que puedan utilizarlo cuando se encuentren fuera de sus puestos habituales de trabajo (asistencia a Congresos, viajes etc.). Esta demanda ha venido siendo una de las más habituales de las realizadas por este tipo de usuarios de RedIRIS cuando se iban de viaje ya que debían contratar proveedores comerciales para poder acceder a sus buzones de correo electrónico. El objetivo de este servicio es que desde cualquier punto conectado a la Red puedan leer y enviar correo electrónico arrancando cualquier navegador y sin necesidad de disponer de programa de correo electrónico. Ni es, ni pretende, ni debe ser un sistema alternativo al habitual programa de correo electrónico de cada uno, sino simplemente se trata de una herramienta de uso ocasional para realizar operaciones básicas: leer, enviar, responder y reenviar cualquier mensaje.

Técnicamente el sistema es sencillo ya que lee el correo del buzón vía POP y usa SMTP para enviar mensajes, utilizando los servidores oficiales de RedIRIS. Los mensajes leídos vía Web no son eliminados del buzón hasta que sean leídos con el cliente habitual del usuario. Donde más hincapié se ha hecho es en la parte de seguridad intentando hacerlo transparente al usuario.

El acceso a este servicio es exclusivamente a través del protocolo HTTP y por configuración sólo se puede entrar a la página desde conexiones SSL (Secure Socket Layer). Esto permite que se esconda la clave POP, es decir, que no viaje en claro en la red. El protocolo permite además de cifrar las comunicaciones entre cliente y servidor, que exista autentificación del servidor o del cliente. Es decir que tengamos la certeza de que tanto el servidor como el cliente son auténticos cosa que se realiza mediante el uso de certificados.

Para acceder al servicio a través de un URL es necesario disponer de un certificado que te garantice que el servidor donde se van a realizar las operaciones de correo es realmente el de RedIRIS además de garantizar el uso de encriptación en la transmisión de la información. Obtener este certificado es muy sencillo, basta con acceder al URL del servicio y seguir las instrucciones aceptando el certificado del servidor de RedIRIS. Dado que generalmente los puntos de red donde se va a leer el correo no suelen ser seguros (salas de terminales, despachos ajenos, etc.) lo mejor es aceptar el certificado mientras dure la sesión. Quizás en aquellos casos en que el usuario suela desplazare con una PC portátil le pueda interesar cargar el certificado raíz de IRIS-PCA que es mucho más amplio que el básico y que se realiza simplemente accediendo a la dirección http://www.rediris.es/cert/ca/ pinchando en el enlace de "Instalar el certificado" y siguiendo las instrucciones.

Se dispondrá·de unas páginas informativas más detalladas en el espacio Web de RedIRIS.

( jesus [dot] heras [at] rediris.es)

El servidor de claves PGP, (http://www.rediris.es/ cert/keyserver) permite a sus usuarios obtener de forma rápida y cómoda las claves públicas de otras personas. Este servidor almacena las claves de usuarios de todo el mundo y está sincronizado con otros servidores, de forma que la actualización y alta de una clave determinada se propaga rápidamente al resto de servidores PGP.

La versión que estaba funcionando hasta el momento presentaba varios problemas de escalado, siendo el más importante la imposibilidad de almacenar más de 2MBytes de claves, tamaño que estaba a punto de alcanzar ya la base de datos. En julio se procedió a actualizar la versión del servidor a la 0.9.4, que soluciona este problema y presenta algunas mejoras tales como la división de la base de datos en varios ficheros, la reducción considerable del tamaño de la base de datos, la limitación del número de claves devueltas en una consulta y otras mejoras generales en el rendimiento.

La actualización de versión se realizó sin problemas no obstante debido al cambio de formato de la base de datos el servidor tuvo que estar parado durante dos días mientras se procedía a recargar el anillo de claves. En la actualidad la base de datos ocupa ya 1,5Gb y se reciben unas 30 actualizaciones de claves cada hora.

Para más información sobre PGP se pueden consultar las páginas de RedIRIS:

FIRST (Forum of Incident and Response Security Teams, Foro de grupos de respuesta y gestión de incidentes) es un ``consorcio’’ creado en 1988 para agrupar a distintos grupos de seguridad informática existentes en todo el mundo y que cuenta en la actualidad con más de 70 miembros (IRIS-CERT es miembro de pleno derecho desde 1997).

Dentro de FIRST están representados gran parte de los fabricantes de Sistemas Operativos y equipamiento de Internet (IBM, HP, Sun, Digital, Apple, Cisco,...), proveedores de Internet (Spring, KPN, Bellcore), así como gran parte de las redes académicas y de investigación.

Anualmente se suele realizar un congreso sobre seguridad informática en el cual se presentan diversas ponencias y que está considerado como uno de los acontecimientos más importantes dentro del sector.

Simultáneamente a este congreso se realizan reuniones de los grupos miembros para tratar diversos aspectos de coordinación, proyectos conjuntos, etc. entre ellos. Este año tuvo lugar en Brisbane (Australia) durante los pasados días 13-18 de junio.

Las ponencias se centraron sobre todo en la seguridad de los sistemas situados en Internet, y en cómo gran parte de los incidentes de seguridad se siguen debiendo a vulnerabilidades en los Sistemas Operativos y Servicios así como a una mala administración de muchos sistemas en los que no se actualizan convenientemente las versiones del Software. Se presentaron además diversas ponencias sobre problemas que se plantean a la hora de realizar peritajes informáticos, centrada en la legislación existente en Estados Unidos y Australia.

Se llevaron a cabo también varias mesas redondas destinadas a potenciar la creación de nuevos grupos de seguridad. En ellas se trataron los distintos aspectos de formación, logísticos y de material necesarios para constituir un grupo de respuesta a incidentes de seguridad informáticos, así como otras ponencias de presentación de nuevos grupos de seguridad y algunas herramientas como SSH o Saint.

En cuanto a la reunión de grupos miembros de FIRST, se decidió crear una Secretaría permanente, costeada por una pequeña cuota entre los grupos miembros que sirva de punto de contacto entre ellos, mantenga la base de datos y realice tareas administrativas de apoyo a los grupos miembros de FIRST. También se renovó la junta directiva de la asociación que da soporte a las actividades de FIRST.

Para más información sobre FIRST, listado de grupos miembros y su puntos de contacto, consultar: