domingo, 27 de diciembre de 2009

Analisis de Vulnerabilidades (VA) en 5 minutos

Al margen de las conocidas utilidades de hardenning de sistemas UNIX/Linux como son CISscan, Titan, Jassp, Yassp, Bastille y demás citadas en la presentación de Seguridad en OpenSolaris; las cuales desde el punto de vista de auditoría permiten conocer a un nivel de test interno como de "seguro" (mejor dicho inseguro) se encuentra el sistema a bastionar... posteriormente siempre podemos recurrir al test externo con herramientas como Nmap (la version 5 es una maravilla ;-), Nemesis, AutoScan, Superscan, Zenmap, NetGrok, OpenVAS, Nessus (desde la version 3 aunque ya no goza de licencia GPL, aunque en la version 4 incorpora mejoras realmente potentes).

Todo esto enlaza directamente con las distintas etapas de un test de penetración de seguridad IT (Planificación, Reconocimiento, Descubrimiento y Ataque) el cual proporciona un buen inventario de los activos de información decubiertos de igual modo que sus vulnerabilidades en el momento de la realización de la prueba.

Una vez alcanzado esta primera fase de identificación y escaneo, posteriormente es posible centrar el tiro en un determinado servicio (como por ejemplo el servicio web: protocolo http (puerto tcp 80) y protocolo https (puerto tco 443)) a través de otras utilidades mas concretas como nikto o su version grafica Wikto y asi sucesivamente con el objetivo de identificar vulnerabilidades facilmente trasformables en amenazas debido a la existencia y ejecución de exploits que compromentan dicho activo de información.

El siguiente paso deberia ser medir el riesgo
que supondria explotar estas vulnerabilidades inherentes a los sistemas de información, convirtiendose entonces en amenazas de los mismos. El propósito es poder cuantificar la probabilidad de su ocurrencia al igual que su posible impacto. En una fase posterior finalmente deberiamos ser capaces de materializar todas las salvaguardas proactivas que lleguen a evitar en mayor o en menos medida el riesgo de exposición a esas amenazas de cada uno de los activos descubiertos, de igual modo que articular las contramedidas necesarias siempre que sea posible mitigar dicho riesgo de una forma mas reactiva.

lunes, 16 de noviembre de 2009

Mas allá del ALMACENAMIENTO...

A raiz de una consulta de mi amigo Máximo, aprovecho este post para exponer las alternativas en cuanto a soluciones de almacenamiento NAS (CIFS y NFS) y SAN (iSCSI) de tipo Open Source con respecto a otro otras de tipo propietario como pueden ser Dell EquaLogic y HP Lefthand.


En el mundo de las distribuciones Linux esta teniendo un gran apoyo y aceptación OpenFiler el cual incorpora entre otras ventajas la posibilidad de realizar Bonding entre sus diferentes interfaces de red.

A medio camino, es necesario nombrar la existencia de FreeNAS, el cual permite comparticion de ficheros a través de NFS y CIFS al igual que servir dispositivos de bloques via iSCSI. Sin embargo a diferencia de su equivalente anterior en el mundo Linux, la gestión del almacenamiento es posible realizarla con ZFS (con todas las ventajas que esto supone) aunque en una version anterior a la implementación de ZFS bajo las distribuciones y appliances basados en OpenSolaris incluido Solaris.

En el ámbito de las distribuciones OpenSolaris, es de destacar las ventajas que incorporan tanto Open Storage (Sun Microsystems) y NexentaStor (Nexenta Systems) al incluir igualmente la funcionalidad de Link Aggregation (Nivel II) al mismo tiempo que IPMP (Nivel III) entre sus diferentes interfaces de red.


Al implementar ZFS como motor de almacenamiento interno (sistemas de ficheros al igual que gestor de discos), resulta realmente interesante al margen de todas las opciones de snapshots, clones (tercera copia), replicación asincrona, "thin provisioning" y deduplicación a nivel de bloque como funcionalidades de serie, la capacidad de poder realizar la distribución de las distintas caches de lectura y escritura en diferentes discos (SATA, SAS, SSD e incluso memorias Flash) como se puede apreciar facilmente en siguiente ilustración:

lunes, 12 de octubre de 2009

Virtualización de Servidores en MadridOnRails 09

El pasado miercoles 21 de Octubre celebraremos en MadridOnRails el evento tecnológico "Virtualización y Cloud Computing".

En esta ocasión asistí como ponente de la parte de "Virtualización de Servidores" con enfoque Open Source al mismo tiempo que mi colega Diego Parrilla hizo lo propio en el parte de "Cloud Computing".

PONENCIAS
http://eventos.madridonrails.com/eventos-divulgativos/23-qvirtualizacion-y-cloud-computingq.html


Gestión Documental (ECM) en 5 minutos


Dentro de la estrategia de ahorro de coste directo energético junto con la nueva estrategia de sostenibilidad con respecto al medio ambiente, en lo que se ha venido a denominar "Green IT", existe un posicionamiento cada día mas evidente de las soluciones de "Gestión Documental".

En este sentido, desde el enfoque Open Source el producto Alfresco ofrece funcionalidades realmente interesantes al igual que una arquitectura web distribuida que permite en todo momento Balanceo de Carga al mismo tiempo que Alta Disponibilidad.

Si nos centramos en las funcionalidades( tal y como me trasmitio mi buen amigo y excelente profesional Toni) al margen de la sencilla interfaz web de uso y administración... permite habilitar el acceso al contenido personalizado de cada usuario a traves de protocolos comunes de accceso como son WEBDAV, CIFS, NFS, SHAREPOINT, IMAP, SMTP... posibilitando la necesidad (o no) de establecer flujos de aprobacíon/desaprobación del mismo (más conocido como WorkFlow).

Y por ultimo desde el punto de vista más técnico, es compatible 100% con cualquier distribución Linux y OpenSolaris (incluido Sun Solaris 10 update 8). En concreto las pruebas funcionales se han realizado con clasicos productos de infraestructuras: GlassFish como servidor de aplicaciones, Apache como servidor web (incluido protocolo AJP), MySQL como base de datos relaccional de configuración y OpenDS como repositorio de usuarios tipo LDAP. Finalmente solo destacar que en cuanto al almacenamiento de los contenidos del gestor documental es mas que recomendable la utilizacion de protocolos de bloques SAN (iSCSI, FC, FCoE...) en lugar de protocolos de ficheros NAS (NFS, CIFS...) en cada uno de los diferentes nodos donde se despliega Alfresco a ser posible con acceso concurrente al mismo a través de sistemas de ficheros globales como QFS, GFS...

domingo, 17 de mayo de 2009

Cloud Computing en Sun Open Communities Forum 09


Los pasados jueves y viernes 18 y 19 de junio respectivamente se celebraron en la Escuela Politécnica Superior de la Universidad San Pablo CEU (Boadilla del Monte, Madrid) el evento "Sun Open Communities Forum". De asistencia gratuita, el Forum estuvo especialmente dirigido a desarrolladores y tecnólogos tanto del ámbito empresarial como universitario.

En concreto en esta edición realizé una ponencia con un caso práctico acerca de todos los conceptos junto con el nuevo enfoque que aporta a los servicios IT, el denominado CLOUD COMPUTING (Computación en la nube) tanto en los entornos de desarrollo, preproducción actuales como en los futuros ambientes de producción.


-> VIDEO DE LA CONFERENCIA <-
http://sunopencommunitiesforum.es/ponencias.html

PONENCIAS
http://sunopencommunitiesforum.es/agenda.html

Virtualizacion y Cloud Computing en WhyFLOSS 09



Conferencias gratuitas de tecnologías abiertas de IT en Madrid

El pasado jueves 21 mes de Mayo de este año se celebró la 7ta edición de la WhyFLOSS Conference, con entrada LIBRE y GRATUITA y con CERTIFICADOS DE ASISTENCIA y PONENCIA. Un evento internacional organizado por Neurowork que se realiza en España y Argentina y que esta vez se realizará por segunda vez en la ciudad de Madrid.

En esta conferencia en particular participé como moderador del Eje de Tendencias Virtualización y Cloud Computing.

-> VIDEO DE LA CONFERENCIA <-
http://www.whyfloss.com/es/conference/madrid09/video/167

PRESENTACIONES
http://www.whyfloss.com/es/conference/madrid09/getpdf/167

http://www.whyfloss.com/es/conference/madrid09/getpdf/184


PONENCIAS
http://www.whyfloss.com/es/conference/madrid09/speakers

viernes, 15 de mayo de 2009

Seguridad Web Open Source en ISSA 09

En el marco de la asocación ISSA España, aprovecho este post para publicar la presentación planificada para realizarse el pasado 8 de Mayo de este 2009 en la primera ronda de conferencias de dicha asociación internacional en las instalaciones que nos brindó el Instituto de Física Aplicada del CSIC de Madrid.

Finalmente y por falta de quorum la sesión se va a trasladar al proximo mes de Septiembre.
Os mantendre informados !

PONENCIAS
http://www.issa-spain.org/?p=65

domingo, 22 de marzo de 2009

Apostando por el CLOUD COMPUTING !



Hace tiempo vi en el blog de mi buen amigo Toni el video que ha publicado Citrix acerca del novedoso y futurible concepto de Infraestructuras basado en el Cloud Computing. En dicho post se explica de forma muy sencilla la idea de trasfondo de la computación bajo demanda, al mismo tiempo que se exponen sus diferencias con el más actual concepto de tipo SaaS (Software as a Service).


En este caso aprovecho la ocasión para demostrar la utilización de los EC2 (Elastic Computing Cloud) de Amazon. En concreto existe un importante abánico de diferentes posibilidades, sin embargo lo mas destacado reside en la capacidad de uso de cualquiera de su listado de maquinas virtuales publicadas bajo demanda, al igual que el uso de almacenamiento remoto tambien bajo demanda.


Adjunto imagenes que confirman la compatibilidad con las distintas herramientas de acceso como son ElasticFox, S3Fox e incluso a través de los protocolos VNC y SSH.

miércoles, 25 de febrero de 2009

Mas allá de la VIRTUALIZACIÓN...


Aprovecho este post para comentar un buen abanico de soluciones Open Source en el ámbito de la virtualización especialmente en el caso concreto de Linux y de OpenSolaris.

Desde el punto de vista de la virtualización, tanto la basada en el sencillo concepto de contenedores por instancia única de anfitrión, como la centrada en la existencia de la figura clave de un hypervisor asistido por software o por hardware. Esta última mucho mas dependiente de las extensiones de los procesadores de consumo x86 y x64 (Intel y AMD), es necesario destacar la cercania al concepto de Cloud Computing existente en la solución bare metal de Proxmox (KVM y OpenVZ). Aunque no podemos dejar de nombrar otras no siendo bare metal pero igualmente prácticas, como pueden ser Enomaly (KVM y Xen), HyperVM (Xen y OpenVZ) y mucho mas de lejos Vtonf (OpenVZ).

De igual modo Citrix Systems ha liberado recientemente su versión de Xen Server, al mismo tiempo compañias como Red Hat y Sun Microsystems ya han publicado su común interés en este tipo de Soluciones.



martes, 13 de enero de 2009

Servidor de Aplicaciones (J2EE) en 5 minutos


Aprovecho este post para comentar las ventajas de la utilización de tres potentes productos como son Tomcat, GlassFish y JBoss en cuanto a su capacidad para servir aplicaciones J2EE dentro de una Arquitectura Web multicapa.

Dichos productos Open Source, soportan el protocolo de tipo Tcp denominado AJP, el cual permite el uso de la infraestructura de Apache como frontal Web de los mismos.
Esto es relevante ya que su módulo mod_jk a diferencia del mod_proxy, permite la utilización de métodos de Balanceo de Carga entre los Clusters de Alta Disponibilidad agrupados entre los propios servidores de aplicaciones implementados con cada uno de estos productos.

Adjunto imagenes que confirman la compatibilidad y soporte de estos productos con cualquier distribución tanto del mundo Linux como OpenSolaris.

Todo ello sin olvidar como Bakcend los repositorios de información como son las Bases de Datos y los directorios de tipo LDAP.

viernes, 9 de enero de 2009

Single Sing On (SSO) en 5 minutos


Continuando con los procedimientos de protección de activos de información, iniciado en el post anterior no podia dejar pasar los mecanismos de salvaguarda de lo que comunmente se conoce como una Arquitectura Web (monocapa, bicapa o tricapa).

Adjunto imagenes de como desplegar dicha solución con la herramienta OpenSSO de forma centralizada (toda la configuración reside en el Servidor) o distribuida (clásico modelo Servidor / Agente) utilizando como repositorio OpenDS. En este caso concreto se protege la infraestructura implementada con SJWS restringiendo el control de acceso, pero es completamente funcional con otros productos como Apache e incluso servidores J2EE.