Boletín de RedIRIS n. 56

RedIRIS - Actualidad boletín número 56

(abril 2001)

Sumario

- RedIRIS en Info XXI
- Actualidad de Red
- Conexiones externas IPv6
- IPv6 Forum en Madrid
- Nueva versión de Webber
- Servicio de Netnews de RedIRIS
- Nuevo servicio de registro de OIDs en RedIRIS
- Nueva identidad IRIS-PCA
- Reuniones del TF-CSIRT
- FIRST-TC 2000
- Reunión del grupo de trabajo PKI-COORD de TERENA
- RIPE-38
- Task-Force sobre LDAP
- GÉANT
- Conexiones con Iberoamérica y área del Mediterraneo


RedIRIS en Info XXI

La iniciativa Info XXI representa una apuesta de cara a construir una Sociedad de la Información para todos en nuestro país, estableciéndose un conjunto estructurado de programas y medidas de actuación que contribuyan a impulsar eficazmente desde el Gobierno un desarrollo integral.

El Plan de Acción Info XXI, para el período 2001-2003, (
http://www.setsi.mcyt.es/info_XXI/I21/index.htm) está compuesto por un conjunto de iniciativas (más de trescientas acciones y proyectos), que responden a los objetivos establecidos en la iniciativa e- Europe, aprobada en el Consejo Extraordinario de Lisboa, en marzo de 2000.

Lo importante para nosotros es que RedIRIS aparece dentro de las 21 acciones emblemáticas de Info XXI y por tanto es considerada como de máxima importancia dentro de su Plan de Acción con el nombre de RedIRIS2: la nueva Internet para investigación.

(dirección de correo victor [dot] castelo [at] rediris.es)




Actualidad de Red

Durante los últimos meses de 2000 y primeros de 2001 se han venido realizando cambios importantes en la infraestructura de transporte de la red nacional. Así varios enlaces nacionales, que hasta ahora estaban configurados como circuitos permanentes sobre la red ATM de Telefónica ­GIGACOM­ se han reemplazado por enlaces punto a punto STM-1 (155 Mbps.) sobre los que se continúa utilizando la tecnología ATM. Se trata de líneas con protección SDH que están configuradas sobre anillos de 2.5 Gbps de forma que se tenga dos enlaces, uno operativo y otro de respaldo.

Hasta este momento, los enlaces STM-1 protegidos que se han configurado y puesto en producción son Madrid-Andalucía y Madrid-Valencia. El enlace con Barcelona ya ha sido entregado, estamos realizando las pruebas oportunas y en breve estará operativo.

En cada uno de los puntos de presencia que tiene RedIRIS en estos nodos regionales se han instalado equipos ADM STM-16 (Add/Drop Multiplexers) que gestionan estas líneas STM-1 y que conmutan al enlace de respaldo de forma automática cuando detectan degradación o corte en el operativo.

Estas líneas no implican simplemente una mejora de los enlaces en cuanto a más ancho de banda y redundancia de las conexiones. Hasta ahora, el NOC de RedIRIS (Centro de Gestión de red) siempre había gestionado el backbone a nivel IP, ya que como hemos comentado, está configurado sobre la red de nivel 2 (ATM) de un segundo proveedor. Esta red ATM está controlada por un segundo equipo de gestión con el que el NOC de RedIRIS tiene que interrelacionarse en casos de cambios y/o problemas.

Con estas líneas STM-1 punto a punto, el NOC de RedIRIS se hace cargo de la operación de un nivel más, el 2, con lo que se elimina intermediarios y por tanto, complejidad, en la gestión del troncal. Otro problema añadido que teníamos con la anterior infraestructura era la imposibilidad de aumentar los caudales de los troncales a medida que se iba necesitando: el crecimiento de RedIRIS en los últimos años ha sido tal que a día de hoy la red GIGACOM ya no puede satisfacer nuestras peticiones completamente en algunos troncales.

Las conexiones externas han experimentado una significativa mejora: En noviembre de 20 conectividad con USA a través de FLEXNET (ahora Telefónica-Data) pasó de 54 Mbps ATM a 155 IP, máxima capacidad de la línea. En el mes de febrero 2001 entró en operación el enlace STM-1 protegido entre los nodos de TEN-155 de Madrid y París. Esta línea pasa a sustituir a los enlaces que se tenían hasta ahora como solución temporal: tres enlaces T3 (3 x 45 Mbps) y un enlace E3 (34 Mbps).

A través de este enlace con TEN-155 disponemos de conexiones tanto a las redes de investigación europeas como americanas, cuyos caudales se han ido incrementando de forma gradual situándose en este momento en 78 Mbps ATM con TEN-155 (redes de investigación europeas) y 77 Mbps para la conectividad con Abilene y Esnet (redes de Internet2) y la red de proxies priorizada de RedIRIS.

Con estos caudales hemos podido reforzar nuestro servicio MBS (Managed Bandwidth Service
www.rediris.es/red/mbs) con el que se proporciona una alta calidad de servicio a proyectos multimedia europeos y nacionales que necesitan algo más que un servicio de red "best effort" ello se definen redes privadas virtuales con un ancho de banda garantizado entre centr investigación españoles y europeos, en este último caso, utilizando el servicio MBS de TE (www.dante.net/mbs) y de la red de investigación del país en cuestión.

Como eventos internacionales, entre los días 29 de enero y 1 de febrero 2001, con motivo de Forum celebrado en El Escorial (Madrid), se crearon dos redes privadas virtuales. Se configuró enlace entre El Escorial-RedIRIS-Londres-Japón de 45 Mbps para la transmisión de una conferencia de alta calidad entre El Escorial y el CRL en Japón. Paralelamente, se creó una red privada virtual de 2 Mbps para la distribución del evento utilizando el software de videoconferencia ISABEL entre PTIN (Portugal Telecom Innovacao, Aveiro, Protugal), Universidad de Lubiana (Eslovenia) UPM (Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid), CRC (Communications Research Center, Ottawa, Canadá), ETSI-UPV (Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Valencia) y la Universidad Viena (Austria).

Durante los días 1 y 2 de marzo, se volvió a crear una red privada virtual de 2 Mbps entre ETSI-UPTIN para la distribución de una reunión del proyecto LONG (Laboratories Over Next Generation Networks) utilizando ISABEL.

A nivel nacional, actualmente existe una red privada virtual 2 Mbps entre ETSI-UPM y ETSI-UPV p coordinación del proyecto SABA-ext.

Otro servicio que se ha puesto en marcha recientemente en RedIRIS (primeros de marzo 2001) es el acercamiento de la información web al usuario final ­al contrario de lo que ocurre normalmente que el usuario tiene que llegar hasta, por ejemplo, el servidor web de cierta organización acceder a los datos. Esto es lo que se conoce como un servicio de Content Delivery Networks concreto, RedIRIS ha firmado un acuerdo con AKAMAI (www.akamai.com) por el que se han instalado en el nodo central de la red una serie de servidores que hacen un mirror y caché de ciertos contenidos en páginas web, de forma que toda esta información no tenga que ser descargada por las líneas internacionales cada vez que un usuario desea acceder a ella ya que se encuentra en estos servidores de RedIRIS con el consiguiente ahorro de ancho de banda internacional.

En cuanto a la conexión con la parte comercial española, destacar nuestra reciente incorporación el Espanix. Estamos trabajando en el despliegue de toda la infraestructura necesaria para realizar la conexión directa al Espanix lo antes posible. En estos momentos, esta conexión la realizamos a través de la red de Telefónica-Data.

El caudal de esta conexión se ha aumentado recientemente (finales de febrero) a 155 Mbps llegando al valor máximo de la línea física. Este es un aumento significativo con el que hemos solventado los problemas de saturación que veníamos experimentando, primero con los 34 ATM (máxima capacidad de la línea), y tras la instalación de un enlace STM-1 en noviembre de 2000, los 64 Mbps ATM a los que se tuvo que limitar esta conexión.

Aunque hemos aumentado el caudal de esta conexión y se ha solventado en este momento el constante cuello de botella, la única solución válida y de calidad para la conectividad de RedIRIS con la red comercial española es la conexión directa al Espanix.

Como referencias al crecimiento de RedIRIS a lo largo del año 2000 señalar que los caudales nacionales a fecha de febrero 2001 se han casi quintuplicado respecto a las mismas fechas del año pasado. En la misma medida se ha incrementado el caudal con USA, destacando dentro de esta conectividad la conexión a las redes de I2 para las que se asegura un caudal de 77 Mbps ATM. Señalar que el tráfico saliente total de la red creció en 2,3 veces durante el año 2000 en comparación con el del año 99.

En cuanto a los siguientes pasos que se están dando, indicar que estamos trabajando en el diseño de la evolución de la actual RedIRIS a una giga-red con capacidades, conexiones y funcionalidades que puedan satisfacer las necesidades futuras de los investigadores españoles.

(dirección de correo esther [dot] robles [at] rediris.es)




Conexiones externas IPv6

Actualmente RedIRIS dispone de una red IPv6 basada en túneles (
www.rediris.es/red/iris-ipv6), con conexiones a diversas universidades y centros de investigación. Cuenta con dos enlaces internacionales. Uno de ellos, a la red europea 6bone ­también IPv6­, a la que se conectan multitud de centros de investigación, universidades y empresas privadas de toda Europa (www.6bone.net). La otra conexión es al prototipo experimental de red con IPv6 del TEN-155 (www.dante.net/tf-ngn).

En la actualidad se está trabajando para aumentar el número de enlaces internacionales mediante IPv6, con Méjico y con Francia. En concreto, se va a establecer una conexión con la Universidad Nacional de Méjico (UNAM) y poder unir de esta forma las redes IPv6 situadas en el ámbito hispanohablante. Desde Méjico se consigue el acceso a las redes IPv6 situadas en latinoamérica y Estados Unidos. Esta conexión directa establece la posibilidad de participar de manera conjunta en todo tipo de proyectos relacionados con IPv6.

De la misma forma se está trabajando para crear otro enlace directo con la red de Investigación Francesa (Renater).con el fin de reforzar las conexiones europeas y crear así un entorno para poder experimentar con los nuevos protocolos de routing externo para IPv6.

(dirección de correo miguel [dot] sotos [at] rediris.es)




IPv6 Forum en Madrid

Como ya se ha comentado anteriormente RedIRIS participó como colaborador y ponente del IPv6 Forum en la celebración del `Madrid Global IPv6 Summit' que tuvo lugar en El Escorial del 29 de enero al 1 de febrero de 2001 (
www.ipv6forum.com).

Los temas principales tratados tocaron todos los aspectos relacionados con IPv6; desde ejemplos prácticos a nivel mundial, aplicaciones con IPv6; mecanismos de seguridad, y su utilización en la telefonía móvil hasta la transición de IPv4 a IPv6. El NOC (Network Operation Centre) de RedIRIS presentó una ponencia en la que se explicaba su infraestructura de red IPv6 y su próxima evolución (www.consulintel.es/Html/ForoIPv6/mgispapers.htm).

Gracias a la infraestructura multicast de RedIRIS, se pudo realizar la retransmisión de toda la Conferencia a las redes de investigación de Europa (TEN-155), a USA (redes pertenecientes a Internet 2) y también a algunas de las redes comerciales de Estados Unidos.

(dirección de correo miguel [dot] sotos [at] rediris.es)




Nueva versión de Webber

Ya se encuentra disponible la nueva versión del entorno Webber, la 1.1.0-b17. Webber es un entorno enormemente flexible, basado en el empleo de componentes, para armonizar y proporcionar metainformación a los contenidos de servidores de red.
Los cambios más importantes de esta nueva versión respecto a las anteriores son los siguientes:
  • Mejoras en los procedimientos de instalación.
  • Nuevas opciones para el tratamiento de contenido generado dinámicamente.
  • Nuevos modos de asignación de variables.
  • Nuevas funcionalidades de algunos componentes estándar, particularmente de uno de los parsers HTML/XML y del de sustitución de variables Webbo.

Existe más información sobre Webber, incluida la posibilidad de descargar el software en la siguiente dirección:
www.rediris.es/app/webber/.

(dirección de correo diego [dot] lopez [at] rediris.es)




Servicio de Netnews de RedIRIS

En los últimos meses hemos estado estudiando y analizando la situación del servicio de NetNews objetivo de llegar a proporcionar una mayor calidad a toda la comunidad de RedIRIS. Este análisis exhaustivo de la situación actual ha puesto de manifiesto las carencias del diseño actualmente implantado, que pueden provocar en un futuro a medio plazo una situación de ineficacia del servicio y una degradación o inestabilidad de éste.

En el estado actual, news.rediris.es es el nodo central de todo el diseño, y tanto un fallo en el hardware como un aumento del tráfico o llenado de sus discos podría dar al traste con el normal funcionamiento del servicio. Es por tanto que vamos a tender a una distribución más cabal de la carga de trabajo de los servidores.

La estructura actual tiene como nodo principal de News de RedIRIS a news.rediris.es, que se encarga de todas las alimentaciones internacionales con el Newsbone (principalmente con la red SWITCH y también con BELNET, MIT, la Universidad de Oregón, etc.), todos los nodos regionales RedIRIS (CESCA, CESGA, etc.), todos los acuerdos comerciales (TTD, BT, etc.), la alimentación a news-2.rediris.es (que abastece a todos los nodos NNTP de Madrid), y además también soporta todos los lectores de las instituciones afiliadas que no pueden o no necesitan un servidor propio de NetNews (acceso NNRP).

El diseño actual es el que aparece en la figura 1:


fig. 1



Indudablemente la carga de trabajo de la máquina news.rediris.es es muy alta, y además el esquema anterior es tremendamente dependiente de esta máquina.

Por tanto, las prioridades principales son hacer descender tanto las conexiones como las tareas en la máquina news.rediris.es, así como encontrar una solución que dé redundancia a este nodo. (Ver figura 2)

fig. 2



  • Mayor eficacia de Diablo en la distribución frente a INN en igualdad de recursos hardware. Diablo está preparado para ser un backbone de NetNews.
  • Mayor sencillez de gestión. Diablo utiliza menos ficheros de configuración.
  • Diablo, a partir de la versión 1.15, soporta clientes NNRP (lectores). Eso permitirá a las organizaciones usar servidores pull como D-News contra el servidor que tengan asignado (y evitar hacerlo contra news.rediris.es, que es actualmente el único que permite lectores).
  • Nuestra nueva conexión al EspaNIX ha propiciado un principio de acuerdo de intercambio con todos los proveedores comerciales conectados al Punto Neutro. Este acuerdo, en caso de realizarse, conllevaría la sustitución de todas las alimentaciones a proveedores comerciales por un solo intercambio con una máquina colocada en Banesto.
No cabe duda que la pieza más importante de todo el esquema es news.rediris.es, que se convierte en alimentador de nodos internacionales, regionales, máquina de lectores y EspaNIX. Dado que una caída en esta máquina dejaría sin servicio de NetNews a toda la comunidad de RedIRIS, se prevé instalar un sistema de redundancia (basado en dos servidores INN o un conmutador de nivel 4) para evitar que se den posibles interrupciones en el servicio.
El cambio de servidores se irá haciendo de forma completamente progresiva, con el menor perjuicio posible para los usuarios. Aquellos que sí habrán de cambiar su configuración serán los miembros de las instituciones afiliadas que no poseen servidor de NetNews y todos aquellos usuarios e instituciones conectados por RedIRISdial, que habrán de cambiar la configuración de sus clientes de NetNews para que apunten a news-3.rediris.es. El procedimiento para conseguir el diseño deseado será:
  • En primer lugar, es necesario separar las funciones de lectura de artículos, y las de puro tránsito de NetNews hacia los centros afiliados. Con este fin, se dispondrá de un tercer servidor de NetNews, news-3.rediris.es, para ir migrando paulatinamente todos los lectores de las instituciones afiliadas.
  • En segundo lugar, es perentoria una actualización del software Diablo de news-2.rediris.es, y es probable que provoque una parada de servicio de algunas horas en los nodos de Madrid.
  • En tercer lugar, siempre que el acuerdo con EspaNIX anteriormente citado se llevase a cabo, habría que configurar y alimentar la máquina de NetNews de EspaNIX, para mover todas las alimentaciones y acuerdos comerciales que actualmente se mantienen en news.rediris.es a un único intercambio con la máquina del Punto Neutro. Este tercer punto es completamente prescindible en caso de no alcanzar un acuerdo de intercambio de NetNews con EspaNIX.
  • En cuarto y último lugar, y una vez se haya conseguido que todas las instituciones sin servidores propios de NetNews se hayan movido a news-3.rediris.es, hay que sustituir el software inn de news.rediris.es por Diablo. Para entonces se tendrá una solución al problema de la redundancia en el nodo principal de NetNews, lo que provocará al menos una parada en el normal tránsito news hacia los centros regionales.


Este último punto también conllevará una reorganización y actualización de todas las alimentaciones a los centros regionales.

Todas estas actuaciones podrán verse en IRIS-NEWS a lo largo de estos próximos meses.

(dirección de correo david [dot] martinez [at] rediris.es)




Nuevo servicio de registro de OIDs en RedIRIS

Un OID o Identificador de Objeto (Object Identifier) es una secuencia de números que se asignan jerárquicamente y que permite identificar objetos en la red. Estos Identificadores de Objeto se utilizan en gran variedad de protocolos (objetos y atributos que se gestionan vía SNMP, árboles de indexación en CIP, elementos dentro de una PKI, ...).

En la actualidad se conocen tres agencias registradoras operativas: la IANA que distribuye OIDs sin coste económico bajo la rama "Private Enterprises", ANSI que distribuye OIDs bajo la rama "US Organizations" y BSI que distribuye OIDs bajo la rama "UK Organizations". El pasado mes de octubre de 2000, la IANA asignó al Centro de Comunicaciones CSIC RedIRIS el Identificador de Objeto 1.3.6.1.4.1.7547. A partir de entonces, hemos decidido convertirnos a su vez en agencia registradora de OIDs para la comunidad de RedIRIS.

Los tipos de solicitudes que actualmente soporta la agencia registradora de RedIRIS son:
  • Objetos relacionados con PKI (bajo la rama 1.3.6.1.4.1.7547.2.1 para Identidades Digitales pertenecientes al Piloto de Certificación IRIS-PCA o bajo la rama 1.3.6.1.4.1.7547.2.2 para Políticas de Certificación y CPSs asociadas)
  • Objetos relacionados con indexación (OIDs para el piloto de indexación ldap-es bajo la 1.3.6.1.4.1.7547.3.1.1).
  • Centros de la Comunidad RedIRIS (ramas del árbol de OIDs bajo 1.3.6.1.4.1.7547.1).
Para solicitar un OID hay que cumplimentar debidamente el formulario que se puede encontrar en
http://www.rediris.es/si/oidregister/oid-form.es.html especificando el tipo de OID que se necesita y el nombre asociado a dicho identificador, asÌ como una serie de datos asociados con la persona de contacto.

En http://www.rediris.es/si/oidregister/ se puede encontrar documentación general acerca de OID proceso de asignación de OIDs por parte de RedIRIS y de la distribución actual del árbol asignado por la IANA a CSIC/RedIRIS.



(dirección de correo chelo [dot] malagon [at] rediris.es)

Nueva identidad IRIS-PCA

A partir del 21 de diciembre de 2000 está disponible la nueva identidad de la Autoridad de Certificación raíz del Piloto de Certificación IRIS-PCA. Los cambios más significativos introducidos en esta nueva identidad, discutidos en el séptimo grupo de Trabajo GTI-PCA celebrado el pasado mes de noviembre en Murcia, han sido los siguientes:
  • Ampliación del período de validez del certificado a 4 años (del 22 de dicembre de 2000 al 21 de diciembre de 2004).
  • Modificación del DN (Distiguished Name) asociado con dicha identidad. Se ha eliminado el atributo ST (Stateor ProvinceName) y se ha incluido en el CN (CommonName) el OID (Object Identifier) 1.3.6.1.4.1.7547.1.1=IRIS-PCA. Dicho OID pertenece al árbol asignado por la IANA el pasado mes de octubre de 2000 al Centro de Comunicaciones CSIC RedIRIS.
  • Cambio en el algoritmo de firma utilizado en la PCA a sha1WithRSAEncription.
  • También, y aprovechando este cambio de identidad, se han incluido algunas modificaciones en la política de certificación asociada, desarrollando una nueva versión de la misma (v.0.2).
  • Inclusión de Certificados Digitales para la firma de Objetos y Código (CDO) en el árbol de Certificación, así como también la definición del protocolo de emisión de dichos certificados.
  • Modificación del ámbito de la PCA dando la posibilidad de que ésta emita certificados para CAs ubicadas en organismos e instituciones de la comunidad RedIRIS que no sean Autoridades de Certificación raíz (entendiendo por raíz aquella de la que emana toda la potestad certificadora de cada organismo o institución).
  • Eliminación del atributo ST como obligatorio en el DN de las Autoridades de Certificación subordinadas.
  • Eliminación de las extensiones obligatorias, marcándolas como recomendadas.
  • Posibilidad de asignación de OIDs a las CAs subordinadas de segundo nivel.
  • En general se ha intentado flexibilizar los protocolos y hacer la política menos estricta para dar cabida a más grupos de interés. Asimismo, se ha asignado un Identificador de Objeto a la Política de Certificación IRIS-PCA (1.3.6.1.4.1.7547.2.2.1).
La nueva Autoridad de Certificación raíz del Piloto utiliza un par de claves RSA de 2048 bits, su fingerprint es C9:47:94:98:B0:60: 57:F4:22:75:61:78:90:05:2F:AF y tiene como DN asociado el siguiente: C=ES, O=RedIRIS, CN=IRIS-PCA/1.3.6.1.4.1.7547.2.1.1=IRIS-PCA/Email=iris-pca@rediris.es.

Así que no queda más que animaros a participar en el Piloto enviando vuestras solicitudes de firma.

Referencias:

http://www.rediris.es/cert/proyectos/iris-pca/index.es.html
http://www.rediris.es/list/info/gti-pca.es.html
http://www.rediris.es/cert/proyectos/iris-pca/gti-pca/index.es.html
http://www.rediris.es/cert/proyectos/iris-pca/old_iris-pca.html


(dirección de correo chelo [dot] malagon [at] rediris.es)

Reuniones del TF-CSIRT

Después de la celebración de tres reuniones organizadas por TERENA bajo el nombre de CERT-COORD para discutir posibles colaboraciones y defender intereses comunes entre equipos de seguridad europeos, se decidió el establecimiento de un Task Force bajo el nombre de TF-CSIRT (Collaboration of Incident Response Teams) que operará durante dos años (de mayo de 2000 a mayo de 2002) tiene como objetivo fundamental promover la colaboración entre CSIRTs europeos y de países vecinos. Las actividades más importantes a desarrollar por este Task Force son las siguientes:
  • Promover un foro para el intercambio de experiencias y conocimiento.
  • Ayudar en la formación de nuevos CSIRTs y personal especializado .
  • Proporcionar información actualizada sobre CSIRTs ya existentes, herramientas, documentación y leyes desarrolladas en los diferentes países.
  • Promover estándares comunes y procedimientos para respuesta de incidentes de seguridad.
  • Poner en marcha un servicio experimental para el establecimiento de una red de confianza CSIRTs en Europa (conocido como "Trusted Introducer" o TI).
Desde el establecimiento de este Task Force se han celebrado dos reuniones, la primera de ella tuvo lugar en París y estuvo organizada por CERT-Renater (Equipo de Atención de Incidentes de la red académica y de investigación francesa) en septiembre de 2000, y la siguiente fue en Barcelona en enero del presente año y estuvo organizada por esCERT-UPC. En ambos casos las reuniones tuvieron una duración de dos días, dedicándose el primero a la impartición de seminarios sobre diferentes temas de interés, y el segundo a discutir aspectos específicos del Task Force y a repasar la evolución de las diferentes líneas de trabajo que se están siguiendo en el mismo.

Con los seminarios que se impartieron el primer día en ambas reuniones se pretendió intercambiar experiencias y formas de trabajo entre los integrantes del TF. En cada ocasion es el representante de un CSIRT el encargado de exponer al resto de los presentes cómo está organizado el equipo al que pertenece, qué protocolos y qué herramientas utilizan para la atención de incidentes y cuáles son los principales problemas a los que tienen que hacer frente.

A lo largo de este primer día se presentaron también los progresos realizados en el Grupo de Trabajo para el establecimiento de una definición común y una taxonomía de incidentes de seguridad que pueda ser utilizada por todos los equipos europeos. De esta forma se permitirá un intercambio de información relativa a incidentes de seguridad para facilitar por ejemplo la generación de estadísticas globales o el reconocimento de tendencias o patrones de ataques.

En la reunión de París también se comentaron las experiencias que determinados CSIRTs tenían de PKIs. Este seminario, dio lugar a la formación de otro grupo de trabajo por parte de TERENA, denominado PKI-COORD, para promover la colaboración entre NRENs europeas en dicho área. En Barcelona, hubo además una sesión dedicada a discutir una propuesta para incluir una nueva entrada de seguridad en la base de datos de RIPE que permita localizar de forma sencilla, dada una IP determinada, el punto de contacto para informar de incidencias de seguridad/spam.

En la primera reunión del TF propiamente dicha (París) se presentó un informe sobre el servicio "Trusted Introducer" (TI), que en ese momento llevaba operativo un mes. Se determinaron posibles colaboraciones entre el TF-CSIRT y el FIRST (Forum of Incident Response and Security Teams); se propuso a parte de los integrantes del TF un estudio de los requisitos para la impartición de cursos de formación para nuevos integrantes de equipos de seguridad, y se discutió cómo podría este Task Force colaborar con la CE para conseguir los objetivos descritos en Action Plan eEurope 2002 "An Information Society for All" preparado por el Consejo y la Comisión Europea para el Consejo Europeo de Feria que se celebrará el 14 de Junio y como consecuencia de esta discusión se acordó mantener una reunión entre una delegación del TF y personas de la CE relacionadas con este tema.

En la segunda reunión del TF celebrada en Barcelona se presentó un borrador de las estructura que deberían seguir los cursos para la formación de nuevos integrantes de equipos de seguridad y se presentó el resultado de la reunión mantenida con representantes de la CE así como la intención de celebrar una nueva reunión para concretar futuras acciones. Asimismo, se propuso el desarrollo de un cuestionario acerca del uso de herramientas de atención de incidentes de seguridad para poder tener una visión general del actual estado del arte y la problemática en torno a este importante tema para los que nos dedicamos a prestar este servicio.

La tercera reunión del Task Force tendrá lugar en Ljubljana (Eslovenia) el próximo 31 de mayo y 1 de Junio de 2001.

Referencias:

http://www.rediris.es/rediris/boletin/53/actualidad.html#CERT-COORD
http://www.terena.nl/task-forces/tf-csirt/
http://www.terena.nl/task-forces/tf-csirt/tf-csirt000929prg.html
http://www.terena.nl/task-forces/tf-csirt/tf-csirt000929minutes.html
http://www.terena.nl/task-forces/tf-csirt/tf-csirt010119agenda.html
http://www.terena.nl/task-forces/tf-csirt/tf-csirt010119minutes-draft.html
http://www.terena.nl/task-forces/tf-csirt/i-taxonomy/index.html
http://www.ti.terena.nl/


(dirección de correo chelo [dot] malagon [at] rediris.es)

FIRST-TC 2000

El pasado 16 de octubre de 2000 tuvo lugar en Karlsruhe (Alemania) la reunión técnica anual del FIRST (Forum of Incident Response and Security Teams). Estas reuniones se celebran de dos a tres veces al año, pero tan sólo en una ocasión tiene lugar en Europa. Su principal objetivo consiste en proporcionar una plataforma para que los miembros del FIRST puedan compartir información acerca de vulnerabilidades, herramientas, incidentes o cualquier otro tema de interés que afecte a la operación normal de un CSIRT (Computer Security Incident Response Team).

En esta ocasión Kevin Hole (CERT/CC) comentó los cambios en la política de revelación de vulnerabilidades del CERT/CC (disponible en
http://www.cert.org/faq/vuldisclosurepolicy.html), y los diversos proyectos desarrollados por dicho centro como por ejemplo una herramienta de búsqueda de puntos de contacto ante incidentes de seguridad (disponible en estos momentos sólo para miembros del FIRST) o el proyecto AirCERT en el que se incluye un plug-in en XML para el snort y el ACID (Analysis Console for Intrusion Databases).

En un contexto más técnico, Wietse Venema (IBM) realizó una presentación sobre su conocida herramienta de análisis post-mortem The Coroner's Toolkit. Esta herramienta es de dominio público y permite obtener información útil de una máquina comprometida. También se realizó la presentación de un caso práctico de análisis ante un incidente real.

La última sesión corrió a cargo de Neil Long (OxCERT) que presentó las últimas tendencias en ataques de seguridad, haciendo hincapié en los problemas de buffer overflow y de format string en la librería libc.

Referencias:

http://www.first.org/
http://www.first.org/tc/oct2000/
http://www.cert.org/kb/
http://www.porcupine.org/forensics/


(dirección de correo chelo [dot] malagon [at] rediris.es)

Reunión del grupo de trabajo PKI-COORD de TERENA

El pasado 6 de diciembre, miembros del CERT de RedIRIS asistieron a la reunión del grupo de trabajo PKI-COORD, que ha iniciado recientemente TERENA para armonizar la evolución del uso de las infraestructuras de clave pública en las redes académicas europeas.

Esta reunión se planteaba como una primera toma de contacto entre las distintas redes académicas y una exploración de la situación en cada una de ellas. De hecho, el panorama resulta un tanto heterogéneo, con países como Finlandia, donde existe una ley sobre identidades electrónicas PCA raíz operada por el Estado, en un extremo, y países como el Reino Unido, donde toda actividad relacionada con PKIs se asume como una cuestión entre particulares, en el otro.

En general, la mayor parte de las redes académicas europeas se encuentran en un estadio similar al de RedIRIS: estableciendo proyectos basados en una PCA raíz a la que se pretende que se vayan sumando las organizaciones afiliadas que lo necesiten. Se discutió acerca de la necesidad de coordinar estas a nivel europeo, y los asistentes recibieron la oferta de una organización sin ánimo de lucro, nacida al amparo de una sucesión de proyectos europeos en el área de las PKI, EuroPKI, para hacerse cargo de esta tarea.

Como conclusiones, se identificaron dos asuntos claves para el desarrollo de una PKI pan-europea a nivel académico. En primer lugar el problema del lenguaje, dado que estas infraestructuras se basan en la disponibilidad de documentos públicos (las políticas de certificación) y, hasta ahora, cada red los ha implementado en su propia lengua. En segundo lugar, encontrar una "killer application" que haga atractivo a los usuarios y a las organizaciones el uso de certificados con validez pan-europea. De hecho, era un sentir generalizado que esta misma necesidad es aplicable a nivel de cada red, en el sentido de encontrar aplicaciones que hagan atractivo el uso de CAs exteriores a la organización en cuestión.

Como conclusión final, el grupo decidió mantener reuniones periódicas para continuar el intercambio de información y estudiar la oferta de EuroPKI para el eventual establecimiento de una PCA académica europea.

(dirección de correo diego [dot] lopez [at] rediris.es)




RIPE-38

La 38 Reunión de RIPE tuvo reunión en Amsterdam los días 22-27 de enero de 2000. De todos los temas tratados en las diferentes reuniones, los que mayor interés atrajeron y sobre los que hubo más debate fueron sin duda alguna IPv6 y DNS.

IPv6
Se mostró el estado del arte en delegación inversa de zonas con el "A6 resource record" (rfc 2074). principales problemas que se plantearon eran por un lado la posible existencia de bucles al hacer varias delegaciones inversas parciales, y por otro lado lo difícil que sería adaptar el esquema propuesto por DNSsec a este esquema de delegaciones inversas parciales.

También se comentó la necesidad de modificar el código fuente de BIND para que funcione en entornos multihoming y permita resolver determinadas direcciones en función del interfaz por el que llegue la solicitud.

Otro tema central de esta reunión fue el apoyo de la Comisión Europea a la implantación de IPv6. Asimismo se comentaron los principales proyectos sobre IPv6 que se están financiando actualmente bajo el programa IST(Information Society Technologies).

Por último se estuvo discutiendo sobre el reparto de direccionamiento IPv6.

Según se acordó en el último IETF (Adelaida), se va a dar un /48 para todo el mundo excepto para grandes instituciones y nodos de tránsito a los que se les asignará un /64. El principal argumento ello era que el uso de límites fijos simplifica la renumeración de la red ante un cambio de ISP. Además se comentaron las diferentes alternativas que se están barajando a la hora de afrontar el problema del "multihoming".

DNS
El tema central del grupo de DNS fueron los problemas de seguridad que había en las versiones de BIND y la necesidad inmediata de actualizar la versión. La recomendación general era pasarse a BIND 9. Sin embargo, muchos argumentaron que dicha versión tiene aún problemas de rendimiento por lo que no es recomendable para DNSs que soportan un gran volumen de consultas. Al final de la discusión se acordó la generación de parches para las versiones 4 y 8 de BIND para quienes no quisieran pasarse a BIND 9.

(dirección de correo pedro [dot] ruiz [at] rediris.es)


Durante esta 38 edición de RIPE también tuvo lugar la última reunión del Grupo de Trabajo de NetNews, con David Wilson como Chairman.

En el grupo se presentaron dos puntos básicos: revisión del sistema NHNS, de Daniel Díaz, y el cierre del proyecto Flowmaps, de Kai Siering.

(dirección de correo david [dot] martinez [at] rediris.es)


Task-Force sobre LDAP

El pasado 2 de febrero, integrantes del área de Aplicaciones de RedIRIS asistieron a la reunión de trabajo del TF-LSD (Task Force for LDAP Service Deployment) de TERENA. El objetivo de este TF-LSD es establecer las bases para ofrecer un servicio de directorio académico pan-europeo basado en servidores LDAP, aprovechando así el impulso que están teniendo estas tecnologías en las organizaciones afiliadas a las diferentes redes académicas. (Ver
http://www.terena.nl/task-forces/tf-lsd/).

El objetivo de esta reunión era definir los resultados que se esperaban del grupo y asignar las tareas correspondientes a cada una de las organizaciones participantes. El conjunto completo de tareas puede consultarse en: http://www.terena.nl/task-forces/tf-lsd/tf-lsd-tor.html y http://www.terena.nl/task-forces/tf-lsd/tf-lsd-tor-teams.html. RedIRIS se comprometió a participar activamente en las siguientes áreas:
  • Especificación y desarrollo de un servicio de "páginas blancas" pan-europeo.
  • Interoperabilidad entre los esquemas de nombres basados en componentes de dominio (dc) y los tradicionales nombres X.500 (X.521).
  • Especificación y desarrollo de un servicio de almacenamiento de elementos asociados a una PKI.
  • Exploración de nuevos servicios, como puede ser la integración con aplicaciones de trabajo colaborativo, distribución de claves PGP, o nuevos métodos de autenticación.

(dirección de correo diego [dot] lopez [at] rediris.es)




GÉANT

La nueva red gigabit europea se encuentra en sus últimas fases de planificación. Después del análisis hecho por DANTE de las ofertas más interesantes y junto con su aplicabilidad en diferentes escenarios de velocidad, el Comité del Consorcio de Géant acabará tomando una decisión final hacia el mes de abril. A continuación comenzará la espera ante el despliegue de la nueva infraestructura de red y su transición desde TEN-155.

Es prácticamente impredecible saber cuándo podremos estar conectados a la nueva infraestructura, pero si todo va bien podrían firmarse los contratos con los operadores en mayo y disponer de la red en septiembre.

(dirección de correo victor [dot] castelo [at] rediris.es)




Conexiones con Iberoamérica y área del Mediterraneo

Dentro de sus líneas de acción, Géant establecerá la disposición de conexiones directas con redes de investigación de otras áreas geográficas, Asia-Pacífico, Norteamérica, Iberoamérica, Mediterraneo, etc. Para Iberoamérica se ha creado un subgrupo que cuenta con nuestra participación y en el que estamos estudiando la conectividad con esta parte del mundo tan importante para nosotros. Actualmente se está analizando la interconexión de esas redes en Iberoamérica y la disponibilidad de enlaces intercontinentales que nos acerquen más a ellas.

También formamos parte del comité de estudio del proyecto EUMEDIS IP para analizar la interconexión de redes de educación e investigación entre los países del Mediterráneo y las redes europeas. Se están estudiando los actores en cada uno de los países del Mediterráneo, identificando sus necesidades de cara a la planificación de una red Euro-Mediterránea.

(dirección de correo victor [dot] castelo [at] rediris.es)


Indice General