El uso de software libre en El uso de software libre en la Administración del la Administración del

EstadoEstado

Casos de uso Casos de uso

con cientos de servidorescon cientos de servidores

Instalaciones puntualesInstalaciones puntuales

• Apache como servidor corporativoApache como servidor corporativo• OpenLDAP como directorio globalOpenLDAP como directorio global• Sendmail como estafeta de correos Sendmail como estafeta de correos

para más de 6000 usuarios (integrado para más de 6000 usuarios (integrado con antivirus, anti-spam, no relay…)con antivirus, anti-spam, no relay…)

• Squid: el proxy de referencia para Squid: el proxy de referencia para salida controlada a Internet (con salida controlada a Internet (con filtrado de sedes, análisis de filtrado de sedes, análisis de accesos…)accesos…)

La subdirección general de La subdirección general de nuevas tecnologías del nuevas tecnologías del ministerio de justicia ministerio de justicia (SGNTJ) es responsable de (SGNTJ) es responsable de la dotación de medios la dotación de medios tecnológicos a las distintas tecnológicos a las distintas áreas, organismos e áreas, organismos e instituciones de la instituciones de la Administración de Justicia Administración de Justicia que son ámbito de que son ámbito de competencia de dicho competencia de dicho ministerio. Algunas ministerio. Algunas comunidades con comunidades con competencias trasferidas competencias trasferidas utilizan también sistemas utilizan también sistemas desarrollados por la SGNTJ desarrollados por la SGNTJ (libra, DAL…)(libra, DAL…)

Comunidades Autónomas competencia del Ministerio de Justicia

Comunidades Autónomas con competencias transferidas que utilizan sistemas desarrollados por la SGNTJ

Comunidades Autónomas con competencias transferidas que disponen de un sistema propio

Competencias del Ministerio de Justicia

Un parque extensoUn parque extenso

• 9300 pantallas VT9300 pantallas VT

• 6000 PCs6000 PCs

• 800 servidores SCO800 servidores SCO

• 40 grandes servidores RISC40 grandes servidores RISC

• El coste en licencias de Tivoli es El coste en licencias de Tivoli es absolutamente prohibitivo.absolutamente prohibitivo.

LIBRA enServidoresUNIX

Planificador

Motor de distribución

EMPUJE

Gestión Maestro

MAESTROLIBRA

DESCARGA

Servidor CyDAL

Actualización de software: DAL

Maestros y maquetas: la réplica como solución

Control de la integridad del maestroPlanificación y control de las actualizacionesOperación remota de más de 800 servidores

En serie la actualización es lenta (supone sincronización/corrección de todo). Hay que adaptarla a las comunicaciones.

Esclavo

Esclavo

Cabecera

Esclavo

Cabecera

Principal

Transferencia del maestro de componentes

Transferencia del maestro de componentes

Instalación y configuración de

componentes

Instalación y configuración de

componentes

Instalación y configuración de

componentes

Esclavo

Esclavo

Instalación y configuración de

componentes

Instalación y configuración de

componentes

Las comunicaciones se realizan por mecanismos de seguridad apoyados en SSH (Security Shell).

El maestro se replica a cada cabecera y se programa en esta la sincronización de directorios y tablas con sus nodos locales.

El esquema escala y se adapta a cambios y repartos de carga y responsabilidad.

La distribución de otros componentes de software distintos de Libra se realiza con el mismo sistema:

AntivirusDAS

Actualizaciones en cascada

Una cabecera en cada capital, para balanceo del tráfico

Gestión de Jerarquías

Antes de actualizar hay que conocer qué hay en cada instalaciónGestión de Hosts Remotos

Explotación LIBRA Version N+1

Versión Estable N Versión Beta N+1 Versión Estable N+1

Rechazo *

Explotación LIBRA Version N

PRE-Explotación LIBRA Version N+1

MaestroSucio

N

REAL REAL

PRUEBAS SUCIAS

PRUEBAS LIMPIAS

* Documentado en hoja de ruta

DAL

MaestroSucio N+1

DAL DAL

Aceptación *Entrega *

MaestroLimpio

N

MaestroSucio N+1

MaestroLimpio

N

MaestroLimpio

N+1

El control del proceso de puesta en explotación

Plataforma de ejecución DAL (servidores cabecera)

Hardware: Intel con 1 o 2 Pent.Sistema Operativo: GNU Linux RED HAT 7Servidor Datos: Oracle 8

Plataformas soportadas (servidores esclavo)

Hardware: DELL, Fujitsu, HPSistemas operativos: Linix Red Hat 6. x y 7. x, SCO Open Server 4. x y 5. x, HP- UX 10. xxBases de datos: Informix SE, Informix OnLine, Oracle 7.x

Descripción técnica de DALSoftware Libre:

Sistema Operativo: GNU/Linux ( Red Hat 7.0) Comunicaciones: OpenSSh 2.9p1 (RSH como respaldo)Sincronización: Rsync 2.4.6 (Hemos tenido problemas con la transferencia de links simbólicos y la transferencia de directorios que contienen miles de ficheros ya que Rsync genera una lista en memoria que resulta demasiado grande y provoca finalmente un fallo. Esto se ha corregido iterando el proceso rsync varias veces: en cada intento transfiere unos cuantos ficheros lo que hace que la lista que compone es cada vez menor,)

Gestión de integridad: Tripwire 2.3.0.47 (La integridad entre el MAESTRO BETA y el MAESTRO ESTABLE se verifica y extrae lista de todos los cambios realizados, a cotejar con las hojas de promoción para garantizar que no se cuela ningún componente descontrolado. Para los CRCs usamos MD5, y junto con la fecha sirve para identificar unívocamente un maestro.)

Interfaz de usuario: Zope 2.4.3 con DCOracle2 y Python 1.5.2 (y un squishdot…)Documentación: Apache 1.3 e indexador HtdigSUDO, BASH, y la biblioteca de utils de GNU para shell scripts (date, sleep, fping, etc)

ACTIVIDADES DESCRIPCIÓN DE LAS TAREAS A REALIZAR

1 Implantación control de integridad de Tripwire

•Instalación y configuración del control de integridad Tripwire en las máquinas cabeceras de distribución de software

•Diseño, construcción y distribución de un módulo que permita el mantenimiento de la integridad

PROD. FINALES

•Control de integridad Tripwire2 Implantación de

RSYNC en salvaguardas

•Distribución de RSYNC a todos los hosts

•Distribución de un módulo que genere salvaguardias valiéndose de las cualidades de RSYNC

•Salvaguardas rápidas y eficientes

3 Implantación de SNORT

•Definición de las reglas que describan el tráfico admitido y el no admitido

•Definición de un plan de acción ante la detección de intrusos

•Instalación y configuración de SNORT en todos los servidores cabecera de distribución de software

•SNORT como sistema de detección de intrusos

4 Implantación de SAINT

•Diseño de un plan de acción ante posibles vulnerabilidades detectadas

•Instalación y configuración de SAINT en todos los servidores cabecera para la distribución de software

•Identificación de vulnerabilidades en los sistemas de distribución

Integridad y detección de intrusos

5 Implantación de ntop y MoN

•Implantación en cabeceras de medidores de tráfico

•Control central proactivo de pérdidas de conectividad

Mantenimiento de maestros

Definición: Pantalla de usuario empleada para el mantenimiento de la tabla de datos MAESTRO.Entradas: Tabla MAESTRO de la base de datos.Salidas: Presentación en pantalla, tabla MAESTRO modificada.

HD SERVIDOR

MAESTRO FECHA MD5 TRIPWIRE

maestro 17:13:19 -28/03/2001

41b366ad24615d799aeee18382cb3c24/usr1/home/dal/tripwire/control/maestro.twd

*** Performing integrity check...Tripwire(R) 2.3.0 Integrity CheckReport generated by: rootReport Summary …

maestro 11:26:10 -22/03/2001

41b366ad24615d799aeee18382cb3c24/usr1/home/dal/tripwire/control/maestro.twd

*** Performing integrity check...Tripwire(R) 2.3.0 Integrity CheckReport generated by: rootReport Summary …

maestrob 17:19:56 -28/03/2001

9b0b9e12a753a6b2ebd8946c7cbd030e/usr1/home/dal/tripwire/control/maestrob.twd

*** Performing integrity check...Tripwire(R) 2.3.0 Integrity CheckReport generated by: rootReport Summary …

maestrob 11:30:40 -22/03/2001

9b0b9e12a753a6b2ebd8946c7cbd030e/usr1/home/dal/tripwire/control/maestrob.twd

*** Performing integrity check...Tripwire(R) 2.3.0 Integrity CheckReport generated by: rootReport Summary …

Base Datos SERVIDORtabla CONTROLMAESTRO

El Maestro

Verificación de CRCs

Comprobación de la integridad

Programador de tareas

La planificación realizada

Positivas:Rentabilizas el esfuerzo en desarrolloMinimizas las llamadas al CAUDas a la periferia una calidad que antes solo se alcanzaba en las grandes sedes: piden ser

actualizados

Negativas:Riesgo a caidas en las máquinas imputables a

la actualización.Asumes que cualquier incidente coincidente en el tiempo “se debe a la actualización”.

Cada mes una versiónEfectos de la permanente actualización

La flexibilidad de los sistemas abiertos es mayor que la La flexibilidad de los sistemas abiertos es mayor que la de los propietarios, no solo por la disponibilidad de de los propietarios, no solo por la disponibilidad de cambiarlo sino por la confianza de que no te cambiarán cambiarlo sino por la confianza de que no te cambiarán el modelo sin que puedas reaccionar.el modelo sin que puedas reaccionar.

Integración de herramientasHerramientas libres y propietarias guardan sus datos en una base de datos central

Sistema de Control y Gestión

Interface WEB

Repositorio Común

Suministros

CAU

Explotación Desarrollo y

Mantenimiento

Pruebas

Usuario final

Sistemas

Comunica -ciones

Sistema de Gestión de Pedidos e Inventario

Sistema de Gestión de Pedidos e Inventario

Sistema de Gestión de incidencias

Sistema de Gestión de incidencias

Sistema de Gestión de Documentación

Sistema de Gestión de Documentación

Sistema de Informes y estadísticas

Sistema de Informes y estadísticas

Mejoras Tivoli /

Openview

Mejoras Tivoli /

Openview

ACTIVIDADES DESCRIPCIÓN DE LAS TAREAS A REALIZAR

1 Implantación de SSH

•Diseño y construcción de un módulo de mantenimiento de claves RSA

•Instalación y configuración de servidores SSH en todos los hosts de la SGNTJ

•Instalación y configuración de clientes SSH en los servidores

PROD. FINALES

•Conexión remota a los hosts a través del protocolo SSH

2 Construcción de un Servidor LDAP

•Diseño de la estructura jerárquica de la base de datos LDAP

•Instalación y configuración del Servidor LDAP

•Instalación y configuración de los clientes LDAP en todos los hosts de la SGNTJ

•Diseño y contrucción de un módulo para el mantenimiento de las entradas al directorio

•Diseño y contrucción de un módulo para realizar consultas y búsquedas sobre el servidor LDAP

•Servidor de accesos LDAP

Autenticación: asignatura pendienteLas medidas de seguridad técnicas son necesarias para abordar el verdadero problema: concienciar al usuario de que la seguridad está en su mano.

3 Implantación de PAM

•Definición de los distintos servicios PAM

•Instalación y configuración de PAM

•Autenticación de usuarios mediante PAM

4 Habilitación de MD5 y contraseñas ocultas

•Diseño de una configuración de referencia que habilite tanto MD5 como la ocultación de contraseñas en cada plataforma

•Distribución de las configuraciones de referencia respectivas a todas las máquinas del entorno judicial

•Activación de contraseñas ocultas

•Encriptación MD5 en las contraseñas

Samba 2Samba 2

• La integración de Unix y Window es La integración de Unix y Window es absolutamente transparente (no hace falta absolutamente transparente (no hace falta NISGINA, tienes logon-scripts normales…)NISGINA, tienes logon-scripts normales…)

• Los productos comerciales que se usaban no Los productos comerciales que se usaban no daban la seguridad y fiabilidad necesarios, ni daban la seguridad y fiabilidad necesarios, ni mantienen una permanencia en el mercado.mantienen una permanencia en el mercado.

• La implantación va ligada a una política de La implantación va ligada a una política de seguridad (contraseñas, antivirus actualizado con seguridad (contraseñas, antivirus actualizado con DAL cada día, DAS…)DAL cada día, DAS…)

• Todos los datos en un único servidor: integración Todos los datos en un único servidor: integración por edificios con todos los servicios autónomos.por edificios con todos los servicios autónomos.

Cliente cerrado y acotadoCliente cerrado y acotado

• El Oficial/Auxiliar solo debe usar Libra/MinervaEl Oficial/Auxiliar solo debe usar Libra/Minerva

• El Juez/Magistrado y el Secretario Judicial necesitan:El Juez/Magistrado y el Secretario Judicial necesitan:– Bases de datos jurídicas (El Derecho, Aranzadi…)Bases de datos jurídicas (El Derecho, Aranzadi…)– Acceso a Cuentas de Consignación en una entidad Acceso a Cuentas de Consignación en una entidad

bancariabancaria– Mail, InternetMail, Internet– Integración con bases de conocimiento y workflow Integración con bases de conocimiento y workflow

(gestión de sentencias…)(gestión de sentencias…)– Video digitalizado…Video digitalizado…

Un cliente aún no libre

1- Tecnológicamente el Middleware no tiene producto para Xfree86 (no se definen si sacarlo para KDE o Gnome) por falta de demanda (que sí empiezan a tener en el servidor)2- La integración con ofimática es muy sensible a lo que el usuario conoce (Word) o tiene en casa (compatibilidad de formatos y el descuadre de los documentos).3- Incertidumbre sobre nuevas necesidades (aplicaciones solo disponibles para windows, para manejo de formatos propietarios, pequeños desarrolladores en España…)

Motivos principales

REGISTRO

Sede Judicial

REPARTO INCOACIÓN TRAMITACIÓN

Decanato Órgano Judicial

ProcedimientosAsunto

Trámites

REGISTRO

Otra Sede Judicial

REPARTO INCOACIÓN TRAMITACIÓN

Decanato Órgano Judicial

ProcedimientosAsunto

Trámites

Servicios Comunes Servicios Comunes

Otros Actores

Fiscalías

Profesionales Partes interesadas Administraciones

VIDA PROCESAL DE UNA CAUSA

EscritosEscritos

El software libre para El software libre para el Ministerio de Justiciael Ministerio de Justicia

• Como fuente de soluciones, ideal para un ámbito de Como fuente de soluciones, ideal para un ámbito de aplicación tan extenso.aplicación tan extenso.– Por costePor coste– Por adaptabilidad de las solucionesPor adaptabilidad de las soluciones

• Como modelo para compartir información con otras Como modelo para compartir información con otras administraciones, un ejemplo de que coordinarse es sólo un administraciones, un ejemplo de que coordinarse es sólo un acto de voluntad.acto de voluntad.– ¿Cuántas Administraciones Públicas en España pagan por una ¿Cuántas Administraciones Públicas en España pagan por una

herramienta incompatible para informatizar oficinas judiciales?herramienta incompatible para informatizar oficinas judiciales?– Galicia no solo usa Libra. También usa DAL.Galicia no solo usa Libra. También usa DAL.

• Como modelo económico, Como modelo económico, – La independencia de los datos de un Ministerio frente al pago La independencia de los datos de un Ministerio frente al pago

de una licencia de uso. de una licencia de uso. – La no captura por parte de un único proveedor de servicios: La no captura por parte de un único proveedor de servicios:

fuentes propios pero publicitablesfuentes propios pero publicitables– La información y los procedimientos son del Ministerio: que nos La información y los procedimientos son del Ministerio: que nos

cobren por sus fuentes o por adaptar nuestro modelo de datos cobren por sus fuentes o por adaptar nuestro modelo de datos (que ya refleja la actividad judicial de los últimos años en más (que ya refleja la actividad judicial de los últimos años en más del 80% de sedes e instancias).del 80% de sedes e instancias).