Las sign~caciones delpaisaje y el espacio en El hombre, la ... · kenko Kanev Las sign
Black Box Sign - ANF Autoridad de Certificación · contenido educativo, ... los lenguajes Java y...
Transcript of Black Box Sign - ANF Autoridad de Certificación · contenido educativo, ... los lenguajes Java y...
Black Box Sign®
Software Open Source
(1ª version instalada)
Esta especificación ha sido preparada
por ANF AC para liberar a terceras
partes.
NIVEL DE SEGURIDAD
DOCUMENTO PÚBLICO
[Escribir texto]
1. Introducción
El concepto de Open Source se basa en una gestión comunitaria de un producto, que
mejora constantemente aumentando su funcionalidad, adaptabilidad y potencial de
producción.
El software Open Source se caracteriza por:
• Un muy bajo coste de implementación y mantenimiento.
• Un sistema sumamente estable, de muy baja incidencia de errores críticos.
• Permitir que las aplicaciones sean copiadas y distribuidas para su mejora
continua.
• No ser susceptible a los virus comunes.
Para atender las necesidades derivadas en la administración de la infraestructura de
certificación de ANF AC, el Departamento de Ingeniería ha seleccionado una serie de
aplicaciones Open Source. Este software nos permite garantizar de forma adecuada la
seguridad de los sistemas y adaptarlo a los requerimientos de nuestros servicios.
En su selección se han realizado pruebas de rendimiento, y se ha tenido en cuenta la
experiencia de usuario publicada en foros especializados, a fin de detectar con carácter
preventivo cualquier tipo de incidencia.
El estado de la técnica determina en cada momento la conveniencia de mantener o
descatalogar cualquiera de estas aplicaciones. En cada sección se informa de su estado:
vigente, desclasificado, o incluso si está en fase de sustitución.
[Escribir texto]
2. Aplicaciones seleccionadas
Alfresco
Gestor documental. Es un sistema de administración de contenidos libre (en inglés
“Enterprise Content Manager”, ECM), basado en estándares abiertos y de escala
empresarial para sistemas operativos tipo Linux y Unix.
Está diseñado para usuarios que requieren un alto grado de modularidad y rendimiento
escalable. Desarrollado en Java, Alfresco incluye un repositorio de contenidos y un
framework de portal web para administrar y usar contenido estándar en portales.
Estado: Vigente · Sitio web oficial: www.alfresco.com
Fuente: Yerbabuena.es
Amavis
Antivirus que funciona en plataformas Linux y escanea los archivos adjuntos a los
mensajes de e-mail. Aunque estos sistemas operativos son conocidos por ser libre de
virus, Amavis se utiliza para evitar que los virus se transmitan a los usuarios de
Windows.
[Escribir texto]
El software Amavis tiene un servicio que abre cada archivo adjunto de correo electrónico
y lo escanea en busca de virus antes de permitir que el correo sea entregado. Amavis no
tiene su propia biblioteca de virus, sino que trabaja con antivirus de terceros disponibles
para Unix, Linux y Mac OS X.
Estado: Vigente · Sitio oficial: www.amavis.org
Apache
Apache es un servidor web HTTP de código abierto. Es el componente de servidor web
más popular en la plataforma de aplicaciones LAMP, junto a MySQL y los lenguajes de
programación PHP/Perl/Python/Ruby.
Apache es usado para muchas tareas donde el contenido necesita ser puesto a
disposición de una forma segura y confiable.
Algunos de los más grandes sitios web del mundo se ejecutan sobre Apache. La capa
frontal (Frontend) del motor de búsqueda de Google está basada en una versión
modificada de Apache, denominada Google Web Server (GWS). Muchos proyectos
de Wikimedia también se ejecutan sobre servidores web Apache.
Las tecnologías LAMP funcionan mediante la unión de:
Linux, el sistema operativo (en algunos casos también se refiere a LDAP).
Apache, el servidor web
MySQL, el gestor de bases de datos
PHP, lenguaje de programación
Estado: Vigente · Sitio oficial: www.apache.org
Asterisk
Asterisk es un programa que proporciona funcionalidades de una central telefónica (PBX).
Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer
llamadas entre sí e incluso conectar a un proveedor de VoIP o bien a una RDSI.
Asterisk incluye muchas características que anteriormente sólo estaban disponibles en
costosos sistemas propietarios PBX, como buzón de voz, conferencias, IVR, distribución
automática de llamadas, y otras muchas.
[Escribir texto]
En la actualidad Asterisk ha sido adoptado en muchos entornos corporativos. Se trata de
una gran solución de bajo coste junto con SER (Sip Express Router).
Estado: Vigente · Sitio oficial: www.asterisk.org
aTutor
aTutor es un Sistema de Gestión de Contenidos de Aprendizaje (Learning Content
Management System) de Código abierto basado en la Web y diseñado con el objetivo de
lograr accesibilidad y adaptabilidad.
Con aTutor Los educadores pueden rápidamente ensamblar, empaquetar y redistribuir
contenido educativo, y llevar a cabo sus clases online. aTutor es un programa diseñado
en PHP, Apache y MySQL.
Estado: Vigente · Sitio oficial: www.atutor.ca
Bouncy Castle Bouncy Castle es una colección de APIs utilizados en criptografía. Tiene versiones para
los lenguajes Java y C#.
Framework para criptografía que forma parte de la distribución estándar de la JVM
(máquina virtual de Java).
Estado: Vigente · Sitio oficial: www.bouncycastle.org
ClamAV
ClamAV es un software antivirus que funciona en plataformas Linux.
ClamAV cuenta con un conjunto de herramientas que identifican y bloquean
el malware proveniente del correo electrónico. Uno de los puntos fundamentales en este
tipo de software es la rápida localización e inclusión en la herramienta de los nuevos
virus encontrados y escaneados.
Estado: Vigente · Sitio oficial: www.clamav.net/lang/en
[Escribir texto]
Copia de Seguridad
Sistema basado en la utilización de scripts que permiten atender los requerimientos de la
Política de Copias de Seguridad.
El administrador puede determinar procesos de copias incrementales, backups, y
periodicidad.
Estado: Vigente
HeartBeat
HeartBeat es un programa de gestión de clusters portátil y con licencia GPL para clusters
de alta disponibilidad. Sus más importantes características son:
Máximo número de nodos no establecidos. Heartbeat puede usarse tanto para
clusters grandes como clusters de menor tamaño.
Motorización de recursos: los recursos pueden reiniciarse o moverse a otro nodo en
caso de fallo.
Mecanismo de cercado para remover nodos fallidos en el clúster.
Gestión de recursos basado en directivas, inter-dependencia de recursos y
restricciones
Reglas basadas en el tiempo permiten diferentes directivas dependiendo del tiempo.
Varios scripts de recursos (para Apache, PostgreSQL, etc.) incluidos.
GUI para configurar, controlar y monitorizar recursos y nodos
Estado: Vigente · Sitio oficial: linux-ha.org/wiki/Heartbeat
Iptables
Iptables es una herramienta de cortafuegos que permite no solamente filtrar paquetes,
sino también traducir de direcciones de red (NAT) para IPv4 o mantener registros de log.
El administrador puede definir políticas de filtrado del tráfico que circula por la red.
Debido a que Iptables requiere privilegios elevados para operar, el único que puede
ejecutarlo es el superusuario.
Estado: Vigente · Sitio oficial: www.netfilter.org
[Escribir texto]
KVM
Kernel-Based Virtual Machine o KVM (máquina virtual basada en el núcleo) es una
solución para implementar una virtualización completa con Linux.
KVM permite ejecutar máquinas virtuales utilizando imágenes de disco que contienen
sistemas operativos sin modificar. Cada máquina virtual tiene su propio hardware
“virtualizado”: una tarjeta de red, discos duros, tarjeta gráfica, etc.
Estado: Vigente · Sitio oficial: www.linux-kvm.org/page/Main_Page
Linux
Linux es un sistema operativo de libre distribución por lo que se pueden encontrar todos
los ficheros y programas necesarios para su funcionamiento en multitud de servidores.
Una distribución es una recopilación de estos programas y ficheros, organizados y
preparados para su instalación.
Black Box Sign® puede utilizar alguna de las siguientes opciones de Linux:
CentOS
Distribución de Linux basada en los códigos fuente libremente disponibles de Red
Hat Enterprise.
Estado: Vigente · Sitio oficial: www.centos.org · En español: wiki.centos.org/es
Ubuntu
Distribución que utiliza un núcleo Linux, cuyo origen está basado en el sistema
Debian. Ubuntu posee una gran colección de aplicaciones para la configuración de
todo el sistema, valiéndose principalmente de interfaces gráficas. Ubuntu es
conocido por su facilidad de uso y aplicaciones orientadas al usuario final.
Estado: Vigente · Sitio oficial: www.ubuntu.com · En español: www.ubuntu-es.org
Mantis
Mantis es un gestor de incidencias, cuya configuración puede orientarse al seguimiento
de fallos y soluciones, o a cualquier sistema de seguimiento con objetivos diversos.
[Escribir texto]
Las incidencias giran en torno a los proyectos, que son los objetos a los cuales se asiste,
y estos pueden tener sub-proyectos, que son las ramificaciones posibles.
Estado: Vigente · Sitio oficial: www.mantisbt.org
Modsecurity
ModSecurity es una herramienta para detección y prevención de intrusos para
aplicaciones Web. Es un firewall de aplicaciones web que se ejecuta como un módulo
del servidor web Apache. Provee protección contra diversos ataques hacia aplicaciones
Web y permite monitorear tráfico HTTP, así como realizar análisis en tiempo real.
Estado: Vigente · Sitio oficial: www.modsecurity.org
MySQL
MySQL es un sistema de administración y gestión de bases de datos relacional, multihilo
y multiusuario. Una base de datos relacional archiva datos en tablas separadas en vez de
colocar todos los datos en un gran archivo, lo que proporciona una mayor velocidad y
flexibilidad.
Las tablas están conectadas por relaciones definidas que hacen posible combinar datos
de diferentes tablas sobre pedido. Con más de seis millones de copias funcionando en la
actualidad, MySQL supera a cualquier otra herramienta de bases de datos.
Estado: Vigente · Sitio oficial: www.mysql.com
Nagios
Nagios es un sistema de monitorización de redes. Vigila los equipos (hardware) y
servicios (software) que se especifiquen, alertando cuando el comportamiento de los
mismos no es el deseado.
Entre sus características principales figuran:
Monitorización de servicios de red (SMTP, POP3, HTTP, SNMP)
Monitorización de los recursos de sistemas hardware (carga del procesador, uso
de los discos, memoria, puertos, etc.)
Independencia de los sistemas operativos
[Escribir texto]
Posibilidad de monitorización remota mediante túneles SSL cifrados o SSH
Posibilidad de programar plug-ins específicos para nuevos sistemas.
Estado: Vigente · Sitio oficial: www.nagios.org
NAT
NAT (Network Address Translation - Traducción de Dirección de Red) es un mecanismo
utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan
mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las
direcciones utilizadas en los paquetes transportados.
NAT traduce las IP privadas de la red en una IP pública para que la red pueda enviar
paquetes al exterior; y traduce luego esa IP pública de nuevo a la IP privada del PC que
envió el paquete, para que pueda recibirlo una vez llega la respuesta.
Estado: Vigente
Ntop
Ntop (de Network Top) es una herramienta que permite monitorizar en tiempo real una
red. Es útil para controlar los usuarios y aplicaciones que están consumiendo recursos de
red en un instante concreto y para ayudarnos a detectar malas configuraciones de algún
equipo, o a nivel de servicio.
Posee un microservidor web desde el que cualquier usuario con acceso puede ver las
estadísticas de monitorización.
Estado: Vigente · Sitio oficial: www.ntop.org
NTP
Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de
los sistemas informáticos a través del ruteo de paquetes en redes con latencia variable.
NTP utiliza el Algoritmo de Marzullo con la escala de tiempo UTC, incluyendo soporte para
características como segundos intercalares. NTPv4 puede mantenerse sincronizado con
una diferencia máxima de 10 milisegundos (1/100 segundos) a través de Internet.
[Escribir texto]
NTP utiliza un sistema de jerarquía de estratos de reloj, en donde los sistemas de estrato
1 están sincronizados con un reloj externo tal como un reloj GPS ó algún reloj atómico.
Black Box Sign® se sincronizan con la fuente segura de tiempo oficial de cada país en el
que se ubica el servidor (en España, el Real Observatorio de la Armada, hora.roa.es). Los
sistemas de estrato 2 de NTP derivan su tiempo de uno ó más de los sistemas de estrato
1, y así consecutivamente.
Estado: Vigente · Sitio oficial: http://support.ntp.org/bin/view/Main/WebHome
Nuxeo
Nuxeo es una herramienta de ECM y gestión documental para documentos, páginas web,
registros, imágenes y desarrollo colaborativo de contenido. Es un sistema de
administración de contenidos libre, basado en estándares abiertos y de escala
empresarial para sistemas operativos tipo Linux y Unix.
Nuxeo está desarrollado en Java y diseñado para usuarios que requieren un alto grado de
modularidad y rendimiento escalable. Incorpora el creador de portales web Nuxeo
WebEngine y una aplicación de escritorio para manejar el contenidoalmacenado de forma
rápida, llamada Nuxeo RCP.
Fuente: Yerbabuena.es
Estado: Vigente · Sitio oficial: www.nuxeo.com
[Escribir texto]
OCS Inventory
Open Computer and Software Inventory Next Generation (OCS) es un software libre que
permite a los usuarios administrar el inventario de sus activos. OCS-NG recopila
información sobre el hardware y software de equipos que hay en la red que ejecutan el
programa de cliente OCS ("agente OCS de inventario"). OCS puede utilizarse para
visualizar el inventario a través de una interfaz web.
Además, OCS comprende la posibilidad de implementación de aplicaciones en los equipos
de acuerdo a criterios de búsqueda.
Estado: Vigente · Sitio oficial: http://www.ocsinventory-ng.org
OpenLDAP
OpenLDAP es una implementación del protocolo Lightweight Directory Access Protocol
(LDAP).
Existen 20 overlays en el núcleo de la distribución OpenLDAP y 16 diferentes backend en
tres categorías:
Backend de almacenamiento de datos (Data Storage backend) - estos realmente
almacenan información.
Proxy backend - actúan como puertas de enlace a otros sistemas de
almacenamiento de datos.
Backend dinámicos - estos generan datos sobre la marcha.
Estado: Vigente · Sitio oficial: www.openldap.org
Postfix
Postfix es un servidor de correo, rápido, fácil de administrar y seguro. El exterior tiene un
claro parecido a Sendmail, pero el interior es completamente diferente.
Postfix es el agente de transporte por omisión en diversas distribuciones de Linux y en
las últimas versiones del Mac OS X.
Estado: Vigente · Sitio oficial: www.postfix.org
[Escribir texto]
Postgrey
Postgrey es un sistema de filtrado de correo electrónico no deseado.
El principio de funcionamiento es que el spam es enviado por spambots y otros MTA, los
cuales no obedecen las notas RFC. Postgrey rechaza temporalmente correos nuevos con
el error 450 "inténtelo más tarde".
Si el servidor que envía obedece los RFC, entonces reenviará el mensaje, en tal punto
Postgrey comprobará su base de datos en busca de una coincidencia y aceptará el
mensaje. De esta forma los correos desde un origen determinado deberían ser
demorados solo la primera vez.
Estado: Vigente · Sitio oficial: www.greylisting.org
PostgreSQL
PostgreSQL es un sistema de gestión de base de datos relacional orientada a objetos.
Algunas de sus principales características son, entre otras:
Alta concurrencia
Permite que mientras un proceso escribe en una tabla, otros accedan a la misma
tabla sin necesidad de bloqueos
Amplia variedad de tipos nativos
o Números de precisión arbitraria.
o Texto de largo ilimitado.
o Figuras geométricas (con una variedad de funciones asociadas).
o Direcciones IP (IPv4 e IPv6).
o Bloques de direcciones estilo CIDR.
o Direcciones MAC.
o Arrays.
Otras características
o Claves ajenas
o Disparadores (triggers)
o Soporte para transacciones distribuidas
Funciones
Bloques de código que se ejecutan en el servidor. Se pueden utilizar múltiples
tipos de lenguaje como: C, C++, Java, PHP…
[Escribir texto]
Es capaz de gestionar bases de datos realmente grandes, y es especialmente idóneo para
asumir un gran transaccional sin ver afectada su velocidad de respuesta.
Estado: Vigente · Sitio oficial: www.postgresql.org · En español: www.postgresql.org.es
Prestashop
PrestaShop es un popular software de comercio electrónico. Proporciona funcionalidades
que atraen compradores y aumentan las ventas en línea.
Es compatible con pasarelas de pago. Ha sido traducido a 41 idiomas. Trabaja con
servidores web Apache, MySQL y Linux. Funciona en PHP.
Estado: Vigente · Sitio oficial: www.prestashop.com
RAIDON
Equipamiento asociado al sistema de Copias de Seguridad y a un específico servidor.
Asume el almacenamiento de información.
Estado: Vigente
Red Hat HA Cluster
Red Hat Cluster incluye un software para crear una alta disponibilidad y balanceo de
carga de clúster.
Los servicios de software, los sistemas de archivos y el estado de la red pueden ser
monitoreados y controlados por el Cluster Suite, servicios y recursos se pueden conmutar
por error a otros nodos de red en caso de fallo.
Estado: Vigente · Sitio oficial: http://www.redhat.com
Samba
Samba es una implementación libre del protocolo de archivos compartidos de Microsoft
Windows para sistemas de tipo UNIX.
[Escribir texto]
Samba configura directorios Unix y GNU/Linux (incluyendo sus subdirectorios) como
recursos para compartir a través de la red. Para los usuarios de Microsoft Windows, estos
recursos aparecen como carpetas normales de red.
Estado: Vigente · Sitio oficial: www.samba.org
Sendmail
Es un "agente de transporte de correo" (MTA - Mail Transport Agent) en Internet, cuya
tarea consiste en "encaminar" los mensajes correos de forma que estos lleguen a su
destino.
Estado: Vigente · Sitio oficial: www.sendmail.org
SpamAssassin
SpamAssassin es un sistema de filtrado de correo electrónico no desead, que utiliza una
variedad de técnicas de detección de spam, incluyendo detección de DNS, y control
basado en filtrado bayesiano, listas negras y bases de datos en línea.
El programa puede ser integrado con el servidor de correo para filtrar de forma
automática todo el correo de un sitio.
Estado: Vigente · Sitio oficial: http://spamassassin.apache.org
Splunk
Splunk es un software para monitorear, reportar y analizar datos de máquina (LOG)
producidos por las aplicaciones, sistemas y la infraestructura que gestiona un negocio.
Splunk permite buscar, controlar y analizar los datos generados a través de interfaz web.
Splunk captura índices y correlaciona datos en tiempo real y posibilita generar gráficos,
informes, alertas y cuadros de mando.
Splunk tiene como objetivo hacer accesibles los datos de la máquina en toda la
organización e identifica los patrones, proporciona métricas, problemas diagnósticos y
provee de inteligencia para la operación del negocio.
Estado: Vigente · Sitio oficial: www.splunk.com
[Escribir texto]
Squirrelmail
Squirrelmail es una aplicación webmail escrita en PHP. Puede ser instalada en la mayoría
de servidores web siempre y cuando éste soporte PHP y el servidor web tenga acceso a
un servidor IMAP y a otro SMTP.
SquirrelMail sigue el estándar HTML 4.0 para su presentación. Está diseñado para
trabajar con plug-ins, lo cual hace más llevadera la tarea de agregar nuevas
características entorno al núcleo de la aplicación.
Estado: Vigente · Sitio oficial: www.squirrelmail.org
Sugar
Plataforma CRM basada en Web. Sistema para la administración de las relaciones con los
clientes (CRM) basado en LAMP (Linux-Apache-MySQL-PHP).
Estado: Vigente · Sitio oficial: sugarcrm.com
Swatch
Swatch es una herramienta de seguridad, que permite realizar un seguimiento
automatizado de registros. Está diseñado para ver los registros del sistema analizando
cadenas particulares y es capaz de reaccionar según el resultado del análisis
realizado. Gracias a ello protege SSHD de un ataque de fuerza bruta.
Interoperable con Iptables y Syslog-ng, Swatch hace con los registros lo que Tripwire
hace por la integridad del sistema de archivos.
Estado: Vigente
SysLog-ng
SysLog-ng es una aplicación de SysLog para sistemas Unix y Linux. Extiende el modelo
del SysLog original con filtrado basado en contenidos, aportando opciones de
configuración e importantes características como el uso de TCP para el transporte de la
información.
[Escribir texto]
SysLog-ng opera en conformidad con:
RFC 3164 - Protocolo Syslog BSD
RFC 5424 - Protocolo Syslog
RFC 5425 - Transport Layer Security (TLS) Asignación de Transporte para Syslog
RFC 5426 - Transmisión de mensajes Syslog a través de UDP
Estado: Vigente · Sitio oficial
Tomcat
Tomcat es un servidor web con soporte de servlets y JSP. Tomcat no es un servidor de
aplicaciones, como JBoss o JOnAS. Incluye el compilador Jasper, que compila JSPs
convirtiéndolas en servlets. El motor de servlets de Tomcat a menudo se presenta en
combinación con el servidor web Apache.
Dado que Tomcat fue escrito en Java, funciona en cualquier sistema operativo que
disponga de la máquina virtual Java.
Estado: Vigente · Sitio oficial: http://tomcat.apache.org
Tripwire
Tripwire es una herramienta de seguridad e integridad de datos, es útil para el
seguimiento y alerta sobre el cambio de archivos específicos.
Tripwire, en lugar de intentar detectar intrusiones a nivel de interfaz de red, detecta los
cambios que se han producido en los objetos del sistema. Tripwire escanea el sistema de
archivos según reglas determinadas por el administrador y almacena los hashes
criptográficos sobre cada archivo escaneado en una base de datos. Periódicamente los
archivos se escanean y los resultados se compararon con los valores almacenados en la
base de datos.
Si bien es útil para la detección de intrusiones después de un evento, también puede
servir para muchos otros propósitos, tales como la garantía de la integridad, la gestión
del cambio, y el cumplimiento de la Política de Seguridad de la Información.
Estado: Vigente · Sitio oficial: www.tripwire.com
[Escribir texto]
Truecrypt
TrueCrypt es una aplicación para cifrar y ocultar en el ordenador. Emplea para ello
diferentes algoritmos de cifrado como AES, Serpent y Twofish o una combinación de los
mismos. Además de la contraseña se usa un keyfile o "archivo llave" imprescindible para
acceder a la información.
Estado: Vigente · Sitio oficial: www.truecrypt.org
VPN
Virtual Private Network (VPN) es una tecnología de red que permite una extensión segura
de la red local sobre una red pública o no controlada.
Garantiza la autentificación y la integridad de toda la comunicación:
Autentificación y autorización: ¿Quién está del otro lado? Usuario/equipo y qué
nivel de acceso debe tener.
Integridad: de que los datos enviados no han sido alterados. Para ello se
utiliza funciones de Hash. Algoritmo Secure Hash Algorithm (SHA).
Confidencialidad: Dado que sólo puede ser interpretada por los destinatarios de la
misma. Se hace uso de algoritmos de cifrado como Triple DES (3DES)
y Advanced Encryption Standard (AES).
No repudio: es decir, un mensaje tiene que ir firmado, y el que lo firma no puede
negar que el mensaje lo envió él o ella.
Estado: Vigente