Relación de Ponencias del 19/11/99
La seguridad en la familia de protocolos SNMP
José Carlos Fernández Rodríguez, José Antonio Corrales González, Adolfo Otero Rodríguez (UNIOVI)
En los ltimos años, y dentro del ámbito de las redes de comunicaciones, la seguridad es uno de los aspectos que ha cobrado mayor relevancia. Contínuamente aparecen errores en aplicaciones y protocolos que los hacen vulnerables a algn tipo de ataque malintencionado.
En esta ponencia se muestra la evolución sufrida por el protocolo de gestión de red SNMP teniendo en cuenta sobre todo las mejoras introducidas con objeto de hacerlo más robusto y seguro.
La primera versión de dicho protocolo, que es también la más extendida al ser implementada por un mayor nmero de dispositivos, utiliza un mecanismo de seguridad basado en incluir en las peticiones, en texto plano, un nombre de comunidad. Los dispositivos más sencillos disponen de una comunidad pblica, que permite el acceso para lectura, y otra comunidad privada, con la cual puede modificarse la configuración del dispositivo. En ocasiones el nombre de la comunidad privada está disponible en la jerarquía de variables accesibles utilizando la comunidad pblica lo que supone un enorme compromiso de la seguridad.
Versiones posteriores del protocolo afrontan estos problemas utilizando diferentes enfoques (seguridad por vistas y por usuarios). Se comentan las mejoras introducidas en la versión 2 del protocolo y consolidadas en la nueva versión 3.
Seguridad en el Sistema Operativo Windows NT
Jorge González Barturen, María José Gil Larrea, Beatriz Viejo Ramos. (DEUSTO)
El término "seguridad" cubre la prevención de accesos tanto indeseados como malintencionados a cualquier parte de un sistema de computación. Engloba, por un lado todos los aspectos software y hardware de servidores, estaciones de trabajo, dispositivos y cableado LAN, sistemas operativos de cada nodo u ordenador y de red; y por otro, los datos y programas de usuario. La presente ponencia se centra en los Sistemas Operativos y en concreto en Microsoft Windows NT. Tras hacer exponer su API criptográfico y su clase de seguridad se describen las posibles vías de ataque al mismo, tanto directas como a través de la red Ðusando NetBIOS- y cuentas de usuario. Se trata de prevenir a los administradores de sistemas ante posibles intrusiones no deseadas en el sistema operativo, de forma que puedan garantizar un nivel de seguridad mayor que el ya disponible en los sistemas basados en esta plataforma.
Integración del directorio con BBDD y sist. de seguridad
corporativos.
Alfonso López Murcia (UM)
Trataremos el mantenimiento de los datos en el Directorio, su sincronización con Bases de Datos corporativas y las herramientas que hemos desarrollado para ello. También repasaremos las ventajas que supone tener un Servicio de Directorio donde los datos estén actualizados (por ejemplo incremento de las consultas, disponer de una base veraz de información para desarrollar una infraestructura de certificados, etc.). Incidiremos especialmente en la versión Isode IC-R4 mostrando las ventajas que ha supuesto a nuestra Universidad su utilización.
Además esbozaremos el uso del Directorio como repositorio de certificados y las distintas experiencias (web, correo) efectuadas en nuestra Universidad. Destacaremos la parte referente al Directorio dentro de nuestra infraestructura de comunicaciones seguras (basadas en los estándares SSL y S/MIME) continuando con la ponencia "Experiencia piloto de certificación en la Universidad de Murcia" presentada en las JT98.
Integración de un módulo de seguridad basado
en tarjeta inteligente para un entorno de PC en boot remoto.
Miquel Bordoy Marcó Miguel Cabrer González Xavier Pons Pons Antonio Sola Venteo (UIB)
Este proyecto surgió de la necesidad en la Universitat de les Illes Balears de ofrecer una plataforma informática comn para el personal administrativo y las aulas informáticas. Esta plataforma debería de ser flexible, fácil de mantener y soportar una gestión centralizada. La solución que mejor se adaptaba a nuestras necesidades era el sistema de boot remoto BpBatch desarrollado por el Centre Universitaire d'Informatique de la University of Geneva, el cual sigue la política de licencia GNU. Brevemente, este sistema nos permite que los ordenadores de una red realicen el proceso de boot de forma remota desde un servidor, del cual descargan una imagen del sistema operativo segn el perfil del usuario, añadiendo respecto a otros sistemas la optimización de la transmisión de la imagen por red, utilización del disco local como cache, validación de usuario en tiempo de boot (Pre-OS), etc...
El proyecto que se resume consiste en el desarrollo e implementación de una capa de seguridad sobre la solución BpBatch la cual no la incorpora. El nivel de seguridad añadido con nuestro desarrollo se basa en el uso de tarjetas inteligentes. El objetivo de este módulo es permitir controlar el acceso a los equipos por parte de los diferentes tipos de usuarios. Para conseguir la máxima integración con el sistema BpBatch, se ha incorporado este módulo de seguridad en el mismo código del citado sistema, en forma de un conjunto de nuevas funciones disponibles en el propio lenguaje interpretado.
La información personal almacenada de forma cifrada en el chip de la tarjeta permitirá al servidor autentificar al usuario y decidir la imagen del sistema operativo que se cargará en el equipo cliente dependiendo de su perfil de usuario. Los clientes de este sistema, por tanto, deben disponer de una tarjeta válida para poder iniciar una sesión en cualquier ordenador de la red. La validación se realizará en el momento de arranque del ordenador y antes de proceder a la descarga por red del sistema operativo.
La gran variedad de tarjetas inteligentes (organización y acceso a sus datos) así como la diversidad de lectores (especificación de su protocolo de comunicación) existentes en el mercado y las grandes expectativas de futuro de esta tecnología, obliga a desarrollar esta capa de seguridad con el máximo nivel de abstracción posible. De esta forma, su código permanece completamente abierto a la incorporación de nuevos desarrollos que permitan integrar otros lectores y otros tipos de tarjetas inteligentes. Actualmente, este módulo, desarrollado íntegramente en la UIB, se ha adaptado a las necesidades de nuestra Universidad: Tarjeta TIBC, y lectores de C3PO (tipo disketera 3.5ÕÕ) y de CHERRY (teclado con lector integrado).
UMGina: Sistema de Control de Acceso en Aulas Basado en Tarjetas Inteligentes de la Universidad de Murcia.
F¼ Javier García Ros, F¼ José Hidalgo Céspedes, M» Soledad Navarro España, Josefa Gil Valera, Oscar Cánovas Reverte, Tomás Jiménez García, Gregorio Martínez Pérez, Antonio Gómez Skarmeta. (UM)
El Servicio de Informática de la Universidad de Murcia, ha desarrollado un sistema de control de acceso conocido como UMGina (University of Murcia Graphical Identification aNd Authentication), que permite reemplazar, en los puestos de las aulas de libre acceso (ALAs) que la universidad pone a disposición de todo su personal: alumnos, personal de administración y servicios, e investigador, el mecanismo tradicional de acceso a un sistema Windows NT, basado en login y password, por otro basado en tarjetas inteligentes.
Cuando un usuario desee utilizar un ordenador de un ALA, deberá en primer lugar formalizar una reserva para una fecha y hora determinada. Llegado ese momento, el usuario puede acceder al puesto con la nica condición de que introduzca su tarjeta inteligente en el lector y teclee su PIN; el sistema valida entonces si existe una reserva para ese usuario en ese puesto (o si no hubiera ninguna reserva de otra persona) y si es así, el sistema nos permite hacer uso del ordenador. Si el usuario decide extraer su tarjeta durante la sesión, este módulo bloquea el ordenador automáticamente hasta que dicho usuario vuelva a introducir su tarjeta. De esta forma se evita que otra persona pudiera hacer uso inapropiado del puesto mientras no se encuentre presente el usuario que realizó la reserva.
Conforme se acerca la finalización de la reserva, es el propio sistema el que nos avisa del tiempo que nos queda disponible, recordándonos que debemos almacenar todo y salir de la sesión. Cuando termina el tiempo de su reserva, el sistema cierra la sesión al usuario permitiendo la entrada a otros usuarios.
De esta forma conseguimos:
- Evitar el uso indebido de puestos amparándose en el anonimato (envío de correos anónimos, sabotaje, ataques a sistemas remotos) ya que queda registro en base de datos de hora e identidad del usuario.
- Realizar un control de reservas sin necesidad de personal dedicado, ya que el sistema lo lleva a cabo de forma automática.
- Bloqueo sistemático de puestos no reservados y usados.
- Uso equitativo de puestos y cumplimiento de los tiempos de reserva.
MBone: Tendencias en la red y en las aplicaciones.
Antonio F. Gómez Skarmeta, Angel L. Mateo Martínez, Pedro M.
Ruiz Martínez. (UM)
Desde hace ya unos años se viene hablando mucho del MBone como una de las tecnologías de red idóneas para el desarrollo eficiente de servicios de audio/vídeo conferencia multipunto sobre Internet. Sin embargo, se trata de un servicio que no se ha extendido tanto como se podía preveer. En este artículo hacemos un estudio de la situación actual y las tendencias del MBone, tanto a nivel de red (routing multicast) como a nivel de aplicaciones (software de conferencia multimedia multipunto). El routing multicast ha sido objeto de un gran estudio y evolución durante estos ltimos años. Así, si hace unos años, la mejor solución era mediante enrutamiento flude and prune, hoy en día hay ya implementaciones de algoritmos mucho más eficientes que optimizan el tráfico que circula por la red. Sin embargo, las aplicaciones sobre MBone han sido un tema un tanto olvidado dentro de la comunidad científica (si bien se está invirtiendo la tendencia), que se ha limitado a construir poco más que prototipos que se puedan utilizar para probar la validez de la infraestructura de red. Así pues, es aquí donde se presentan muchas deficiencias y trabajo futuro en cuestiones como el control del flujo de la conferencia, integración de servicios, control de acceso, etc.
Arquitectura para control de emisores en entornos multicast.
Antonio F. Gómez Skarmeta, Angel L. Mateo Martínez, Pedro M.
Ruiz Martínez. (UM)
Durante los ltimos años, se han desarrollado multitud de herramientas para transmisión interactiva de contenidos multimedia sobre MBone. Sin duda alguna esta tecnología presenta una serie de ventajas frente a otros enfoques como H.323 o H.320 que la hacen muy interesante para cualquier tipo de conferencia del tipo muchos a muchos.
Desde el principio se comenzó a travajar en nuevos algoritmos de enrutamiento multicast a la vez que en aplicaciones de videoconferencia pero de un modo meramente experimental. Sin embargo, hoy día tanto los algoritmos de enrutamiento como las aplicaciones son lo suficientemente estables como para permitir el uso de este tipo de tecnología por parte de los usuarios finales.
El problema que se plantea es que para que MBone pueda llegar a los usuarios finales los ISP's deben de dejar de ver esta tecnología como un riesgo potencial para su red. Es por esto que deben de habilitarse mecanismos de control que eviten este tipo de riesgos mediante técnicas para controlar el ámbito de las sesiones, los emisores, los receptores, QoS, etc.
En esta ponencia presentaremos un mecanismo que hemos desarrollado para el control de emisores en entornos multicast. Este mecanismo se basa en la modificación del esquema de enrutamiento multicast que emplea el kernel de Linux añadiendo a este soporte básico del kernel la posibilidad de autenticar a los emisores multicast. Del mismo modo veremos como puede integrarse este mecanismo en entornos similares al esquema multicast actual de RedIRIS a la vez que su interacción con las tendencias actuales y futuras de MBone.
Teleformación Síncrona. Experiencias con sistemas de Videoconferencia en ATM.Josu Aramberri, Manuel Benito, José Miguel, Javier Lasa, José Poza (UPV/EHU)
La UPV/EHU ha puesto en marcha una serie de salas especialmente acondicionadas para desarrollar actividades de teleformación síncrona. Se trata en concreto de cuatro salas, ubicadas en Bilbao, Leioa, San Sebastian y Vitoria. Utilizamos preferentemente comunicaciones ATM con gran ancho de banda, y notable calidad en las corrientes de audio y video. Pero las salas también están preparadas para videoconferencias en IP Multicast, o en RDSI.
Tanto el diseño de las salas, como la impartición de clases regladas durante el curso 1998-1999 nos permiten establecer unas líneas de actuación que pueden ser de interés para otras instituciones afiliadas a RedIRIS que quieran abordar estas actividades.
Se presenta también una propuesta para extender el ámbito de las videoconferencias, utilizando la capacidad adicional existente en los puntos de presencia de RedIRIS en las Comunidades Autónomas.
Existe información adicional sobre las salas de videoconferencia en el URL:
"http://www.cd.sc.ehu.es/FacVirtual"
Videoconferencia y Teleeducacion en la UC3M: Infraestructuras.
Francisco Cruz Argudo, Carlos Corral Campos (UC3M)
El objetivo de la charla es dar a conocer el proceso de implantacion de las infraestructuras necesarias para la realizacion de videoconferencia y teleeducacion, asi como la experiencia de uso de esta tecnologia a lo largo del ultimo anio. tratara ademas de dar una idea del equipmaiento instalado, uso y resolucion de los problemas que suelen aparecer a la hora de utilizar esta tecnologia. Ademas de los proyectos a corto y medio plazo parte de la UC3M.
La Universidad Carlos III de Madrid durante el ultimo anio 1998/99 dentro del proyecto PROMETEO (financiado por la CICYT) se ha dotado de la infraestrutura necesaria para la realizacion de teleeducacion y videoconferencia. Esta dotacion comprende: equipamiento de red necesario (conmutadores ATM, conmutadores Ethernet,..) adquision de equipos CODEC para las las distintas tecnologias a utilizar por parte de la comunidad universitaria (video sobre ATM, H.320, H.323 y Mbone), adquision de equipmaiento de audiovisuales (matrices de video, microfonia, megafonia, equipos de control,camaras,...) y creacion y/o adecuacion de salas de audiovisuales.
Durante este ultimo anio se han estado realizando (y evaluando) distintos tipos de actividades: charlas, conferencias, reuniones, ademas de cursos de humanidades.
Aula Virtual: Servicios Avanzados de Telecomunicación aplicados a la Teleeducación.
Miguel Roser (TELEFONICA)
El objetivo de esta ponencia es describir las características principales de la plataforma "Aula Virtual". Bajo esta denominación se incluye la plataforma que hará posible la provisión de servicios de banda ancha aplicados a la Teleenseñanza. El principal objetivo es aumentar las facilidades tanto de creación como de realización de clases virtuales (NO presenciales), aumentando las capacidades de aprendizaje de los universitarios y profesores, incluso del Personal no Docente.
De forma mas específica, el concepto "Aula Virtual" introduce un conjunto de servicios, tales como "cursos bajo demanda", "videoconferencia", "multivideoconferencia", "adaptación de contenidos", etc..., que darán soporte a un conjunto de aplicaciones enfocadas a favorecer el "teletrabajo en grupo", la "Teleenseñanza" y la creación de contenidos.
Para cada servicio se describirá su funcionalidad, su arquitectura hardware y software, el entorno operacional así como algunas de las aplicaciones de usuario que se pueden proveer basándose en los distintos servicios. Estos servicios se estructuran de forma modular y flexible adaptándose a las necesidades de cada entorno.
En resumen, se describirá una plataforma que integra soluciones de comunicaciones con soluciones específicas de teleenseñanza y que hace uso de las tecnologías mas avanzadas existentes en la actualidad, proporcionando las siguientes ventajas:
- Disponibilidad de aplicaciones /servicios avanzados de Teleeducación
- Disponibilidad de una plataforma hardware y software soporte de las aplicaciones
- Disponibilidad para la experimentación de nuevas aplicaciones
El diseño de esta plataforma se enmarca dentro de las iniciativas de Telefónica relacionadas con soluciones avanzadas de comunicaciones destinadas a satisfacer las necesidades de la Comunidad Universitaria. Estas iniciativas englobadas en el proyecto que se ha denominado "Red Campus" incluyen además la creación de un portal universitario, el diseño de soluciones avanzadas de gestión, y ofertas de conectividad personalizadas para la mejora del acceso a Internet, etc. orientadas tanto a los estudiantes y profesores como al personal no docente.
Última modificación el 11/10/1999.
© RedIRIS 99