Sumario
- RedIRIS en Info XXI
- Actualidad de Red
- Conexiones externas IPv6
- IPv6 Forum en Madrid
- Nueva versión de Webber
- Servicio de Netnews de RedIRIS
- Nuevo servicio de registro de OIDs en RedIRIS
- Nueva identidad IRIS-PCA
- Reuniones del TF-CSIRT
- FIRST-TC 2000
- Reunión del grupo de trabajo PKI-COORD de TERENA
- RIPE-38
- Task-Force sobre LDAP
- GÉANT
- Conexiones con Iberoamérica y área del Mediterraneo
RedIRIS en Info XXI
La iniciativa Info XXI representa una apuesta de cara a construir una Sociedad de la Información para
todos en nuestro país, estableciéndose un conjunto estructurado de programas y medidas de actuación
que contribuyan a impulsar eficazmente desde el Gobierno un desarrollo integral.
El Plan de Acción Info XXI, para el período 2001-2003,
(http://www.setsi.mcyt.es/info_XXI/I21/index.htm) está compuesto por un conjunto de iniciativas (más
de trescientas acciones y proyectos), que responden a los objetivos establecidos en la iniciativa e-
Europe, aprobada en el Consejo Extraordinario de Lisboa, en marzo de 2000.
Lo importante para nosotros es que RedIRIS aparece dentro de las 21 acciones emblemáticas de Info
XXI y por tanto es considerada como de máxima importancia dentro de su Plan de Acción con el
nombre de RedIRIS2: la nueva Internet para investigación.
(
victor [dot] castelo [at] rediris.es)
Actualidad de Red
Durante los últimos meses de 2000 y primeros de 2001 se han venido realizando cambios importantes
en la infraestructura de transporte de la red nacional. Así varios enlaces nacionales, que hasta ahora
estaban configurados como circuitos permanentes sobre la red ATM de Telefónica GIGACOM se han
reemplazado por enlaces punto a punto STM-1 (155 Mbps.) sobre los que se continúa utilizando la
tecnología ATM. Se trata de líneas con protección SDH que están configuradas sobre anillos de 2.5
Gbps de forma que se tenga dos enlaces, uno operativo y otro de respaldo.
Hasta este momento, los enlaces STM-1 protegidos que se han configurado y puesto en producción
son Madrid-Andalucía y Madrid-Valencia. El enlace con Barcelona ya ha sido entregado, estamos
realizando las pruebas oportunas y en breve estará operativo.
En cada uno de los puntos de presencia que tiene RedIRIS en estos nodos regionales se han instalado
equipos ADM STM-16 (Add/Drop Multiplexers) que gestionan estas líneas STM-1 y que conmutan al
enlace de respaldo de forma automática cuando detectan degradación o corte en el operativo.
Estas líneas no implican simplemente una mejora de los enlaces en cuanto a más ancho de banda y
redundancia de las conexiones. Hasta ahora, el NOC de RedIRIS (Centro de Gestión de red) siempre
había gestionado el backbone a nivel IP, ya que como hemos comentado, está configurado sobre la
red de nivel 2 (ATM) de un segundo proveedor. Esta red ATM está controlada por un segundo equipo
de gestión con el que el NOC de RedIRIS tiene que interrelacionarse en casos de cambios y/o
problemas.
Con estas líneas STM-1 punto a punto, el NOC de RedIRIS se hace cargo de la operación de un nivel
más, el 2, con lo que se elimina intermediarios y por tanto, complejidad, en la gestión del troncal.
Otro problema añadido que teníamos con la anterior infraestructura era la imposibilidad de
aumentar los caudales de los troncales a medida que se iba necesitando: el crecimiento de RedIRIS en
los últimos años ha sido tal que a día de hoy la red GIGACOM ya no puede satisfacer nuestras
peticiones completamente en algunos troncales.
Las conexiones externas han experimentado una significativa mejora: En noviembre de 20
conectividad con USA a través de FLEXNET (ahora Telefónica-Data) pasó de 54 Mbps ATM a 155
IP, máxima capacidad de la línea. En el mes de febrero 2001 entró en operación el enlace STM-1
protegido entre los nodos de TEN-155 de Madrid y París. Esta línea pasa a sustituir a los enlaces que se
tenían hasta ahora como solución temporal: tres enlaces T3 (3 x 45 Mbps) y un enlace E3 (34 Mbps).
A través de este enlace con TEN-155 disponemos de conexiones tanto a las redes de investigación
europeas como americanas, cuyos caudales se han ido incrementando de forma gradual situándose
en este momento en 78 Mbps ATM con TEN-155 (redes de investigación europeas) y 77 Mbps
para la conectividad con Abilene y Esnet (redes de Internet2) y la red de proxies priorizada de RedIRIS.
Con estos caudales hemos podido reforzar nuestro servicio MBS (Managed Bandwidth Service
www.rediris.es/red/mbs) con el que se proporciona una alta calidad de servicio a proyectos
multimedia europeos y nacionales que necesitan algo más que un servicio de red "best effort"
ello se definen redes privadas virtuales con un ancho de banda garantizado entre centr
investigación españoles y europeos, en este último caso, utilizando el servicio MBS de TE
(
www.dante.net/mbs) y de la red de investigación del país en cuestión.
Como eventos internacionales, entre los días 29 de enero y 1 de febrero 2001, con motivo de
Forum celebrado en El Escorial (Madrid), se crearon dos redes privadas virtuales. Se configuró
enlace entre El Escorial-RedIRIS-Londres-Japón de 45 Mbps para la transmisión de una
conferencia de alta calidad entre El Escorial y el CRL en Japón. Paralelamente, se creó una red privada
virtual de 2 Mbps para la distribución del evento utilizando el software de videoconferencia ISABEL
entre PTIN (Portugal Telecom Innovacao, Aveiro, Protugal), Universidad de Lubiana (Eslovenia)
UPM (Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de
Madrid), CRC (Communications Research Center, Ottawa, Canadá), ETSI-UPV (Escuela Técnica Superior
de Ingenieros de Telecomunicación de la Universidad Politécnica de Valencia) y la Universidad
Viena (Austria).
Durante los días 1 y 2 de marzo, se volvió a crear una red privada virtual de 2 Mbps entre ETSI-UPTIN
para la distribución de una reunión del proyecto LONG (Laboratories Over Next Generation
Networks) utilizando ISABEL.
A nivel nacional, actualmente existe una red privada virtual 2 Mbps entre ETSI-UPM y ETSI-UPV p
coordinación del proyecto SABA-ext.
Otro servicio que se ha puesto en marcha recientemente en RedIRIS (primeros de marzo 2001) es el
acercamiento de la información web al usuario final al contrario de lo que ocurre normalmente
que el usuario tiene que llegar hasta, por ejemplo, el servidor web de cierta organización
acceder a los datos. Esto es lo que se conoce como un servicio de Content Delivery Networks
concreto, RedIRIS ha firmado un acuerdo con AKAMAI (
www.akamai.com) por el que se han instalado
en el nodo central de la red una serie de servidores que hacen un mirror y caché de ciertos
contenidos en páginas web, de forma que toda esta información no tenga que ser descargada por las
líneas internacionales cada vez que un usuario desea acceder a ella ya que se encuentra en estos
servidores de RedIRIS con el consiguiente ahorro de ancho de banda internacional.
En cuanto a la conexión con la parte comercial española, destacar nuestra reciente incorporación
el Espanix. Estamos trabajando en el despliegue de toda la infraestructura necesaria para realizar la
conexión directa al Espanix lo antes posible. En estos momentos, esta conexión la realizamos a través
de la red de Telefónica-Data.
El caudal de esta conexión se ha aumentado recientemente (finales de febrero) a 155 Mbps
llegando al valor máximo de la línea física. Este es un aumento significativo con el que hemos
solventado los problemas de saturación que veníamos experimentando, primero con los 34
ATM (máxima capacidad de la línea), y tras la instalación de un enlace STM-1 en noviembre de 2000,
los 64 Mbps ATM a los que se tuvo que limitar esta conexión.
Aunque hemos aumentado el caudal de esta conexión y se ha solventado en este momento el
constante cuello de botella, la única solución válida y de calidad para la conectividad de RedIRIS
con la red comercial española es la conexión directa al Espanix.
Como referencias al crecimiento de RedIRIS a lo largo del año 2000 señalar que los caudales
nacionales a fecha de febrero 2001 se han casi quintuplicado respecto a las mismas fechas del año
pasado. En la misma medida se ha incrementado el caudal con USA, destacando dentro de esta
conectividad la conexión a las redes de I2 para las que se asegura un caudal de 77 Mbps ATM. Señalar
que el tráfico saliente total de la red creció en 2,3 veces durante el año 2000 en comparación con el
del año 99.
En cuanto a los siguientes pasos que se están dando, indicar que estamos trabajando en el diseño de
la evolución de la actual RedIRIS a una giga-red con capacidades, conexiones y funcionalidades que
puedan satisfacer las necesidades futuras de los investigadores españoles.
(
esther [dot] robles [at] rediris.es)
Conexiones externas IPv6
Actualmente RedIRIS dispone de una red IPv6 basada en túneles (www.rediris.es/red/iris-ipv6), con
conexiones a diversas universidades y centros de investigación. Cuenta con dos enlaces
internacionales. Uno de ellos, a la red europea 6bone también IPv6, a la que se conectan multitud
de centros de investigación, universidades y empresas privadas de toda Europa (www.6bone.net). La
otra conexión es al prototipo experimental de red con IPv6 del TEN-155 (
www.dante.net/tf-ngn).
En la actualidad se está trabajando para aumentar el número de enlaces internacionales mediante
IPv6, con Méjico y con Francia. En concreto, se va a establecer una conexión con la Universidad
Nacional de Méjico (UNAM) y poder unir de esta forma las redes IPv6 situadas en el ámbito
hispanohablante. Desde Méjico se consigue el acceso a las redes IPv6 situadas en latinoamérica y
Estados Unidos. Esta conexión directa establece la posibilidad de participar de manera conjunta en
todo tipo de proyectos relacionados con IPv6.
De la misma forma se está trabajando para crear otro enlace directo con la red de Investigación
Francesa (Renater).con el fin de reforzar las conexiones europeas y crear así un entorno para poder
experimentar con los nuevos protocolos de routing externo para IPv6.
(
miguel [dot] sotos [at] rediris.es)
IPv6 Forum en Madrid
Como ya se ha comentado anteriormente RedIRIS participó como colaborador y ponente del IPv6
Forum en la celebración del `Madrid Global IPv6 Summit' que tuvo lugar en El Escorial del 29 de enero
al 1 de febrero de 2001 (www.ipv6forum.com).
Los temas principales tratados tocaron todos los aspectos relacionados con IPv6; desde ejemplos
prácticos a nivel mundial, aplicaciones con IPv6; mecanismos de seguridad, y su utilización en la
telefonía móvil hasta la transición de IPv4 a IPv6. El NOC (Network Operation Centre) de RedIRIS
presentó una ponencia en la que se explicaba su infraestructura de red IPv6 y su próxima evolución
(
www.consulintel.es/Html/ForoIPv6/mgispapers.htm).
Gracias a la infraestructura multicast de RedIRIS, se pudo realizar la retransmisión de toda la
Conferencia a las redes de investigación de Europa (TEN-155), a USA (redes pertenecientes a Internet
2) y también a algunas de las redes comerciales de Estados Unidos.
(
miguel [dot] sotos [at] rediris.es)
Nueva versión de Webber
Ya se encuentra disponible la nueva versión del entorno Webber, la 1.1.0-b17. Webber es un entorno
enormemente flexible, basado en el empleo de componentes, para armonizar y proporcionar
metainformación a los contenidos de servidores de red.
Los cambios más importantes de esta nueva versión respecto a las anteriores son los siguientes:
- Mejoras en los procedimientos de instalación.
- Nuevas opciones para el tratamiento de contenido generado dinámicamente.
- Nuevos modos de asignación de variables.
- Nuevas funcionalidades de algunos componentes estándar, particularmente de uno de los parsers
HTML/XML y del de sustitución de variables Webbo.
Existe más información sobre Webber, incluida la posibilidad de descargar el software en la siguiente
dirección:
www.rediris.es/app/webber/.
(
diego [dot] lopez [at] rediris.es)
Servicio de Netnews de RedIRIS
En los últimos meses hemos estado estudiando y analizando la situación del servicio de NetNews
objetivo de llegar a proporcionar una mayor calidad a toda la comunidad de RedIRIS. Este análisis
exhaustivo de la situación actual ha puesto de manifiesto las carencias del diseño actualmente
implantado, que pueden provocar en un futuro a medio plazo una situación de ineficacia del servicio
y una degradación o inestabilidad de éste.
En el estado actual, news.rediris.es es el nodo central de todo el diseño, y tanto un fallo en el hardware
como un aumento del tráfico o llenado de sus discos podría dar al traste con el normal funcionamiento
del servicio. Es por tanto que vamos a tender a una distribución más cabal de la carga de trabajo de los
servidores.
La estructura actual tiene como nodo principal de News de RedIRIS a news.rediris.es, que se encarga
de todas las alimentaciones internacionales con el Newsbone (principalmente con la red
SWITCH y también con BELNET, MIT, la Universidad de Oregón, etc.), todos los nodos regionales
RedIRIS (CESCA, CESGA, etc.), todos los acuerdos comerciales (TTD, BT, etc.), la alimentación a
news-2.rediris.es (que abastece a todos los nodos NNTP de Madrid), y además también soporta todos los
lectores de las instituciones afiliadas que no pueden o no necesitan un servidor propio de NetNews
(acceso NNRP).
El diseño actual es el que aparece en la figura 1:
Indudablemente la carga de trabajo de la máquina news.rediris.es
es muy alta, y además el esquema anterior es tremendamente dependiente de esta máquina.
Por tanto, las prioridades principales son hacer descender tanto las conexiones como las tareas en la
máquina news.rediris.es, así como encontrar una solución que dé redundancia a este nodo. (Ver figura 2)
- Mayor eficacia de Diablo en la distribución frente a INN en igualdad de recursos hardware. Diablo
está preparado para ser un backbone de NetNews.
- Mayor sencillez de gestión. Diablo utiliza menos ficheros de configuración.
- Diablo, a partir de la versión 1.15, soporta clientes NNRP (lectores). Eso permitirá a las
organizaciones usar servidores pull como D-News contra el servidor que tengan asignado (y evitar
hacerlo contra news.rediris.es, que es actualmente el único que permite lectores).
- Nuestra nueva conexión al EspaNIX ha propiciado un principio de acuerdo de intercambio con todos
los proveedores comerciales conectados al Punto Neutro. Este acuerdo, en caso de realizarse, conllevaría
la sustitución de todas las alimentaciones a proveedores comerciales por un solo intercambio con una máquina colocada en Banesto.
No cabe duda que la pieza más importante de todo el esquema es news.rediris.es, que se convierte en alimentador de nodos internacionales, regionales, máquina de lectores y EspaNIX. Dado que una
caída en esta máquina dejaría sin servicio de NetNews a toda la comunidad de RedIRIS, se prevé instalar un sistema de redundancia (basado en dos servidores INN o un conmutador de nivel 4) para evitar que se den posibles interrupciones en el servicio.
El cambio de servidores se irá haciendo de forma completamente progresiva, con el menor perjuicio
posible para los usuarios. Aquellos que sí habrán de cambiar su configuración serán los miembros de
las instituciones afiliadas que no poseen servidor de NetNews y todos aquellos usuarios e instituciones
conectados por RedIRISdial, que habrán de cambiar la configuración de sus clientes de NetNews para que
apunten a news-3.rediris.es. El procedimiento para conseguir el diseño deseado será:
- En primer lugar, es necesario separar las funciones de lectura de artículos, y las de puro tránsito
de NetNews hacia los centros afiliados. Con este fin, se dispondrá de un tercer servidor de
NetNews, news-3.rediris.es, para ir migrando paulatinamente todos los lectores de las
instituciones afiliadas.
- En segundo lugar, es perentoria una actualización del software Diablo
de news-2.rediris.es, y es
probable que provoque una parada de servicio de algunas horas en los nodos de Madrid.
- En tercer lugar, siempre que el acuerdo con EspaNIX anteriormente citado se llevase a cabo, habría
que configurar y alimentar la máquina de NetNews de EspaNIX, para mover todas las
alimentaciones y acuerdos comerciales que actualmente se mantienen en news.rediris.es
a un único intercambio con la máquina del Punto Neutro. Este tercer punto es completamente
prescindible en caso de no alcanzar un acuerdo de intercambio de NetNews con EspaNIX.
- En cuarto y último lugar, y una vez se haya conseguido que todas las instituciones sin servidores
propios de NetNews se hayan movido a news-3.rediris.es, hay que sustituir el software inn de
news.rediris.es por Diablo. Para entonces se tendrá una solución al problema de la redundancia en
el nodo principal de NetNews, lo que provocará al menos una parada en el normal tránsito
news hacia los centros regionales.
Este último punto también conllevará una reorganización y actualización de todas las
alimentaciones a los centros regionales.
Todas estas actuaciones podrán verse en IRIS-NEWS a lo largo de estos próximos meses.
(
david [dot] martinez [at] rediris.es)
Nuevo servicio de registro de OIDs en RedIRIS
Un OID o Identificador de Objeto (Object Identifier) es una secuencia de números que se asignan
jerárquicamente y que permite identificar objetos en la red. Estos Identificadores de Objeto se
utilizan en gran variedad de protocolos (objetos y atributos que se gestionan vía SNMP, árboles de
indexación en CIP, elementos dentro de una PKI, ...).
En la actualidad se conocen tres agencias registradoras operativas: la IANA que distribuye OIDs sin
coste económico bajo la rama "Private Enterprises", ANSI que distribuye OIDs bajo la rama "US
Organizations" y BSI que distribuye OIDs bajo la rama "UK Organizations".
El pasado mes de octubre de 2000, la IANA asignó al Centro de Comunicaciones CSIC RedIRIS el
Identificador de Objeto 1.3.6.1.4.1.7547. A partir de entonces, hemos decidido convertirnos a su vez
en agencia registradora de OIDs para la comunidad de RedIRIS.
Los tipos de solicitudes que actualmente soporta la agencia registradora de RedIRIS son:
- Objetos relacionados con PKI (bajo la rama 1.3.6.1.4.1.7547.2.1 para Identidades Digitales
pertenecientes al Piloto de Certificación IRIS-PCA o bajo la rama 1.3.6.1.4.1.7547.2.2 para Políticas
de Certificación y CPSs asociadas)
- Objetos relacionados con indexación (OIDs para el piloto de indexación ldap-es bajo la
1.3.6.1.4.1.7547.3.1.1).
- Centros de la Comunidad RedIRIS (ramas del árbol de OIDs bajo 1.3.6.1.4.1.7547.1).
Para solicitar un OID hay que cumplimentar debidamente el formulario que se puede encontrar en
http://www.rediris.es/si/oidregister/oid-form.es.html especificando el tipo de OID que se necesita y el
nombre asociado a dicho identificador, asÌ como una serie de datos asociados con la persona de
contacto.
En
http://www.rediris.es/si/oidregister/ se puede encontrar documentación general acerca de OID
proceso de asignación de OIDs por parte de RedIRIS y de la distribución actual del árbol asignado por
la IANA a CSIC/RedIRIS.
( chelo [dot] malagon [at] rediris.es)
Nueva identidad IRIS-PCA
A partir del 21 de diciembre de 2000 está disponible la nueva identidad de la Autoridad de
Certificación raíz del Piloto de Certificación IRIS-PCA. Los cambios más significativos introducidos en
esta nueva identidad, discutidos en el séptimo grupo de Trabajo GTI-PCA celebrado el pasado mes de
noviembre en Murcia, han sido los siguientes:
- Ampliación del período de validez del certificado a 4 años (del 22 de dicembre de 2000 al 21 de
diciembre de 2004).
- Modificación del DN (Distiguished Name) asociado con dicha identidad. Se ha eliminado el
atributo ST (Stateor ProvinceName) y se ha incluido en el CN (CommonName) el OID (Object
Identifier) 1.3.6.1.4.1.7547.1.1=IRIS-PCA. Dicho OID pertenece al árbol asignado por la IANA el
pasado mes de octubre de 2000 al Centro de Comunicaciones CSIC RedIRIS.
- Cambio en el algoritmo de firma utilizado en la PCA a sha1WithRSAEncription.
- También, y aprovechando este cambio de identidad, se han incluido algunas modificaciones en la
política de certificación asociada, desarrollando una nueva versión de la misma (v.0.2).
- Inclusión de Certificados Digitales para la firma de Objetos y Código (CDO) en el árbol de
Certificación, así como también la definición del protocolo de emisión de dichos certificados.
- Modificación del ámbito de la PCA dando la posibilidad de que ésta emita certificados para CAs
ubicadas en organismos e instituciones de la comunidad RedIRIS que no sean Autoridades de
Certificación raíz (entendiendo por raíz aquella de la que emana toda la potestad certificadora de
cada organismo o institución).
- Eliminación del atributo ST como obligatorio en el DN de las Autoridades de Certificación
subordinadas.
- Eliminación de las extensiones obligatorias, marcándolas como recomendadas.
- Posibilidad de asignación de OIDs a las CAs subordinadas de segundo nivel.
- En general se ha intentado flexibilizar los protocolos y hacer la política menos estricta para dar
cabida a más grupos de interés. Asimismo, se ha asignado un Identificador de Objeto a la Política
de Certificación IRIS-PCA (1.3.6.1.4.1.7547.2.2.1).
La nueva Autoridad de Certificación raíz del Piloto utiliza un par de claves RSA de 2048 bits, su
fingerprint es C9:47:94:98:B0:60: 57:F4:22:75:61:78:90:05:2F:AF y tiene como DN asociado el
siguiente: C=ES, O=RedIRIS, CN=IRIS-PCA/1.3.6.1.4.1.7547.2.1.1=IRIS-PCA/Email=iris-pca@rediris.es.
Así que no queda más que animaros a participar en el Piloto enviando vuestras solicitudes de firma.
( chelo [dot] malagon [at] rediris.es)
Reuniones del TF-CSIRT
Después de la celebración de tres reuniones organizadas por TERENA bajo el nombre de CERT-COORD
para discutir posibles colaboraciones y defender intereses comunes entre equipos de seguridad
europeos, se decidió el establecimiento de un Task Force bajo el nombre de TF-CSIRT (Collaboration
of Incident Response Teams) que operará durante dos años (de mayo de 2000 a mayo de 2002)
tiene como objetivo fundamental promover la colaboración entre CSIRTs europeos y de países
vecinos. Las actividades más importantes a desarrollar por este Task Force son las siguientes:
- Promover un foro para el intercambio de experiencias y conocimiento.
- Ayudar en la formación de nuevos CSIRTs y personal especializado .
- Proporcionar información actualizada sobre CSIRTs ya existentes, herramientas, documentación y
leyes desarrolladas en los diferentes países.
- Promover estándares comunes y procedimientos para respuesta de incidentes de seguridad.
- Poner en marcha un servicio experimental para el establecimiento de una red de confianza
CSIRTs en Europa (conocido como "Trusted Introducer" o TI).
Desde el establecimiento de este Task Force se han celebrado dos reuniones, la primera de ella tuvo
lugar en París y estuvo organizada por CERT-Renater (Equipo de Atención de Incidentes de la red
académica y de investigación francesa) en septiembre de 2000, y la siguiente fue en Barcelona en
enero del presente año y estuvo organizada por esCERT-UPC. En ambos casos las reuniones tuvieron una
duración de dos días, dedicándose el primero a la impartición de seminarios sobre diferentes temas
de interés, y el segundo a discutir aspectos específicos del Task Force y a repasar la evolución de las
diferentes líneas de trabajo que se están siguiendo en el mismo.
Con los seminarios que se impartieron el primer día en ambas reuniones se pretendió intercambiar
experiencias y formas de trabajo entre los integrantes del TF. En cada ocasion es el representante de
un CSIRT el encargado de exponer al resto de los presentes cómo está organizado el equipo al que
pertenece, qué protocolos y qué herramientas utilizan para la atención de incidentes y cuáles son los
principales problemas a los que tienen que hacer frente.
A lo largo de este primer día se presentaron también los progresos realizados en el Grupo de Trabajo
para el establecimiento de una definición común y una taxonomía de incidentes de seguridad que
pueda ser utilizada por todos los equipos europeos. De esta forma se permitirá un intercambio
de información relativa a incidentes de seguridad para facilitar por ejemplo la generación de
estadísticas globales o el reconocimento de tendencias o patrones de ataques.
En la reunión de París también se comentaron las experiencias que determinados CSIRTs tenían de
PKIs. Este seminario, dio lugar a la formación de otro grupo de trabajo por parte de TERENA,
denominado PKI-COORD, para promover la colaboración entre NRENs europeas en dicho área. En
Barcelona, hubo además una sesión dedicada a discutir una propuesta para incluir una nueva entrada
de seguridad en la base de datos de RIPE que permita localizar de forma sencilla, dada una IP
determinada, el punto de contacto para informar de incidencias de seguridad/spam.
En la primera reunión del TF propiamente dicha (París) se presentó un informe sobre el servicio
"Trusted Introducer" (TI), que en ese momento llevaba operativo un mes. Se determinaron posibles
colaboraciones entre el TF-CSIRT y el FIRST (Forum of Incident Response and Security Teams); se
propuso a parte de los integrantes del TF un estudio de los requisitos para la impartición de cursos de
formación para nuevos integrantes de equipos de seguridad, y se discutió cómo podría este Task
Force colaborar con la CE para conseguir los objetivos descritos en Action Plan eEurope 2002 "An
Information Society for All" preparado por el Consejo y la Comisión Europea para el Consejo Europeo
de Feria que se celebrará el 14 de Junio y como consecuencia de esta discusión se acordó mantener
una reunión entre una delegación del TF y personas de la CE relacionadas con este tema.
En la segunda reunión del TF celebrada en Barcelona se presentó un borrador de las estructura que
deberían seguir los cursos para la formación de nuevos integrantes de equipos de seguridad y se
presentó el resultado de la reunión mantenida con representantes de la CE así como la intención de
celebrar una nueva reunión para concretar futuras acciones. Asimismo, se propuso el desarrollo de un
cuestionario acerca del uso de herramientas de atención de incidentes de seguridad para poder tener
una visión general del actual estado del arte y la problemática en torno a este importante tema
para los que nos dedicamos a prestar este servicio.
La tercera reunión del Task Force tendrá lugar en Ljubljana (Eslovenia) el próximo 31 de mayo y 1 de
Junio de 2001.
( chelo [dot] malagon [at] rediris.es)
FIRST-TC 2000
El pasado 16 de octubre de 2000 tuvo lugar en Karlsruhe (Alemania) la reunión técnica anual del
FIRST (Forum of Incident Response and Security Teams). Estas reuniones se celebran de dos a tres
veces al año, pero tan sólo en una ocasión tiene lugar en Europa. Su principal objetivo consiste en
proporcionar una plataforma para que los miembros del FIRST puedan compartir información acerca
de vulnerabilidades, herramientas, incidentes o cualquier otro tema de interés que afecte a la
operación normal de un CSIRT (Computer Security Incident Response Team).
En esta ocasión Kevin Hole (CERT/CC) comentó los cambios en la política de revelación de
vulnerabilidades del CERT/CC (disponible en http://www.cert.org/faq/vuldisclosurepolicy.html), y los
diversos proyectos desarrollados por dicho centro como por ejemplo una herramienta de búsqueda
de puntos de contacto ante incidentes de seguridad (disponible en estos momentos sólo para
miembros del FIRST) o el proyecto AirCERT en el que se incluye un plug-in en XML para el snort y el
ACID (Analysis Console for Intrusion Databases).
En un contexto más técnico, Wietse Venema (IBM) realizó una presentación sobre su conocida
herramienta de análisis post-mortem The Coroner's Toolkit. Esta herramienta es
de dominio público y permite obtener información útil de una máquina comprometida. También se
realizó la presentación de un caso práctico de análisis ante un incidente real.
La última sesión corrió a cargo de Neil Long (OxCERT) que presentó las últimas tendencias en ataques
de seguridad, haciendo hincapié en los problemas de buffer overflow y de format string en la librería
libc.
( chelo [dot] malagon [at] rediris.es)
Reunión del grupo de trabajo PKI-COORD de TERENA
El pasado 6 de diciembre, miembros del CERT de RedIRIS asistieron a la reunión del grupo de trabajo
PKI-COORD, que ha iniciado recientemente TERENA para armonizar la evolución del uso de las
infraestructuras de clave pública en las redes académicas europeas.
Esta reunión se planteaba como una primera toma de contacto entre las distintas redes académicas y
una exploración de la situación en cada una de ellas. De hecho, el panorama resulta un tanto
heterogéneo, con países como Finlandia, donde existe una ley sobre identidades electrónicas
PCA raíz operada por el Estado, en un extremo, y países como el Reino Unido, donde toda actividad
relacionada con PKIs se asume como una cuestión entre particulares, en el otro.
En general, la mayor parte de las redes académicas europeas se encuentran en un estadio similar al de
RedIRIS: estableciendo proyectos basados en una PCA raíz a la que se pretende que se vayan sumando
las organizaciones afiliadas que lo necesiten. Se discutió acerca de la necesidad de coordinar estas
a nivel europeo, y los asistentes recibieron la oferta de una organización sin ánimo de lucro, nacida al
amparo de una sucesión de proyectos europeos en el área de las PKI, EuroPKI, para hacerse cargo de
esta tarea.
Como conclusiones, se identificaron dos asuntos claves para el desarrollo de una PKI pan-europea a
nivel académico. En primer lugar el problema del lenguaje, dado que estas infraestructuras se basan en
la disponibilidad de documentos públicos (las políticas de certificación) y, hasta ahora, cada red los ha
implementado en su propia lengua. En segundo lugar, encontrar una "killer application" que haga
atractivo a los usuarios y a las organizaciones el uso de certificados con validez pan-europea. De hecho,
era un sentir generalizado que esta misma necesidad es aplicable a nivel de cada red, en el sentido de
encontrar aplicaciones que hagan atractivo el uso de CAs exteriores a la organización en cuestión.
Como conclusión final, el grupo decidió mantener reuniones periódicas para continuar el intercambio
de información y estudiar la oferta de EuroPKI para el eventual establecimiento de una PCA académica
europea.
(
diego [dot] lopez [at] rediris.es)
RIPE-38
La 38 Reunión de RIPE tuvo reunión en Amsterdam los días 22-27 de enero de 2000. De todos los
temas tratados en las diferentes reuniones, los que mayor interés atrajeron y sobre los que hubo más
debate fueron sin duda alguna IPv6 y DNS.
IPv6
Se mostró el estado del arte en delegación inversa de zonas con el "A6 resource record" (rfc 2074).
principales problemas que se plantearon eran por un lado la posible existencia de bucles al hacer varias
delegaciones inversas parciales, y por otro lado lo difícil que sería adaptar el esquema propuesto por
DNSsec a este esquema de delegaciones inversas parciales.
También se comentó la necesidad de modificar el código fuente de BIND para que funcione en
entornos multihoming y permita resolver determinadas direcciones en función del interfaz por el que
llegue la solicitud.
Otro tema central de esta reunión fue el apoyo de la Comisión Europea a la implantación de IPv6.
Asimismo se comentaron los principales proyectos sobre IPv6 que se están financiando actualmente
bajo el programa IST(Information Society Technologies).
Por último se estuvo discutiendo sobre el reparto de direccionamiento IPv6.
Según se acordó en el último IETF (Adelaida), se va a dar un /48 para todo el mundo excepto para
grandes instituciones y nodos de tránsito a los que se les asignará un /64. El principal argumento
ello era que el uso de límites fijos simplifica la renumeración de la red ante un cambio de ISP. Además
se comentaron las diferentes alternativas que se están barajando a la hora de afrontar el problema del
"multihoming".
DNS
El tema central del grupo de DNS fueron los problemas de seguridad que había en las versiones de
BIND y la necesidad inmediata de actualizar la versión. La recomendación general era pasarse a BIND
9. Sin embargo, muchos argumentaron que dicha versión tiene aún problemas de rendimiento por lo
que no es recomendable para DNSs que soportan un gran volumen de consultas. Al final de la
discusión se acordó la generación de parches para las versiones 4 y 8 de BIND para quienes no
quisieran pasarse a BIND 9.
(
pedro [dot] ruiz [at] rediris.es)
Durante esta 38 edición de RIPE también tuvo lugar la última reunión del Grupo de Trabajo de
NetNews, con David Wilson como Chairman.
En el grupo se presentaron dos puntos básicos: revisión del sistema NHNS, de Daniel Díaz, y el cierre
del proyecto Flowmaps, de Kai Siering.
- NHNS (News Hierarchy Name System)
Este sistema es una de las alternativas que han surgido en la comunidad para gestionar de forma
elegante las listas de grupos activos en cada una de las jerarquías que un servidor de NetNews
ofrece a sus usuarios. Su enfoque es muy similar al de la jerarquía de nombres de dominio actual
en Internet (DNS). El servidor piloto actual de NHNS, http://www.nhns.net/,
está pendiente de ser movido de una máquina de España a una en RIPE. Por tanto, no ha habido ningún cambio
significativo en este proyecto.
- Flowmaps
Kai Siering (MediaWays) informó sobre los últimos progresos en su proyecto de mapas de tráfico
de NetNews. Una vez abandonada la idea de una presentación geográfica de los datos, se ha
optado por exhibirlos de forma tridimensional e interactiva, permitiendo saber de dónde vienen
todos los artículos y qué camino han seguido. Esto se realiza gracias a un programa que analiza la
cabecera Path: de cada artículo y construye un fichero de estadísticas.
Dado que se han conseguido los objetivos que se perseguían en este proyecto, Kai Siering ha
decidido darlo por concluido.
Más información sobre el proyecto Flowmaps en: http://newsbone.uu.org/RIPE-38/
(
david [dot] martinez [at] rediris.es)
Task-Force sobre LDAP
El pasado 2 de febrero, integrantes del área de Aplicaciones de RedIRIS asistieron a la reunión de
trabajo del TF-LSD (Task Force for LDAP Service Deployment) de TERENA. El objetivo de este TF-LSD es
establecer las bases para ofrecer un servicio de directorio académico pan-europeo basado en
servidores LDAP, aprovechando así el impulso que están teniendo estas tecnologías en las
organizaciones afiliadas a las diferentes redes académicas.
(Ver http://www.terena.nl/task-forces/tf-lsd/).
El objetivo de esta reunión era definir los resultados que se esperaban del grupo y asignar las tareas
correspondientes a cada una de las organizaciones participantes. El conjunto completo de tareas
puede consultarse en:
http://www.terena.nl/task-forces/tf-lsd/tf-lsd-tor.html
y
http://www.terena.nl/task-forces/tf-lsd/tf-lsd-tor-teams.html.
RedIRIS se comprometió a participar activamente en las siguientes áreas:
- Especificación y desarrollo de un servicio de "páginas blancas" pan-europeo.
- Interoperabilidad entre los esquemas de nombres basados en componentes de dominio (dc) y los
tradicionales nombres X.500 (X.521).
- Especificación y desarrollo de un servicio de almacenamiento de elementos asociados a una PKI.
- Exploración de nuevos servicios, como puede ser la integración con aplicaciones de trabajo
colaborativo, distribución de claves PGP, o nuevos métodos de autenticación.
(
diego [dot] lopez [at] rediris.es)
GÉANT
La nueva red gigabit europea se encuentra en sus últimas fases de planificación. Después del análisis
hecho por DANTE de las ofertas más interesantes y junto con su aplicabilidad en diferentes escenarios
de velocidad, el Comité del Consorcio de Géant acabará tomando una decisión final hacia el mes de
abril. A continuación comenzará la espera ante el despliegue de la nueva infraestructura de red y su
transición desde TEN-155.
Es prácticamente impredecible saber cuándo podremos estar conectados a la nueva infraestructura,
pero si todo va bien podrían firmarse los contratos con los operadores en mayo y disponer de la red
en septiembre.
(
victor [dot] castelo [at] rediris.es)
Conexiones con Iberoamérica y área del Mediterraneo
Dentro de sus líneas de acción, Géant establecerá la disposición de conexiones directas con redes de
investigación de otras áreas geográficas, Asia-Pacífico, Norteamérica, Iberoamérica, Mediterraneo,
etc. Para Iberoamérica se ha creado un subgrupo que cuenta con nuestra participación y en el que
estamos estudiando la conectividad con esta parte del mundo tan importante para nosotros.
Actualmente se está analizando la interconexión de esas redes en Iberoamérica y la disponibilidad de
enlaces intercontinentales que nos acerquen más a ellas.
También formamos parte del comité de estudio del proyecto EUMEDIS IP para analizar la
interconexión de redes de educación e investigación entre los países del Mediterráneo y las redes
europeas. Se están estudiando los actores en cada uno de los países del Mediterráneo, identificando
sus necesidades de cara a la planificación de una red Euro-Mediterránea.
(
victor [dot] castelo [at] rediris.es)
Indice General