logo-IRIS
  
> Inicio
> Sitemap
> Contacto
> Buscador
  


PKI para IRISGrid

pkIRISGrid
 


< IRISGrid < testbed

Gestión de seguridad en IRISGrid
TestBed IRISGrid

Introducción · Definiciones · Coordinación · Requisitos · Middleware · Seguridad · Procedimientos · Documentación · Software · Información MDS · Demos

IRISGrid

Visión global

La gestión de la seguridad es la componente más importante de un Grid. Debemos establecer procedimientos y políticas de seguridad lo suficientemente robustas como para que en el futuro IRISGrid se pueda convertir en un Grid de producción.

Introducción a la seguridad en Globus

  • La infraestructura de seguridad seguida por Globus está basada en PKI (Public Key Infrastructure) por medio del uso de criptografía asimétrica con claves públicas y privadas. La información encriptada por medio de una clave privada sólo puede ser desencriptada por su clave pública y viceversa. La clave privada (userkey.pem) sólo es accesible a los usuarios y a las máquinas que desean autenticarse mientras que la clave pública es accesible para todos. La clave pública se distribuye por medio de un certificado X509 (usercert.pem) que lleva un identificador único o DN (Distingued Name) correspondiente a un usuario, máquina o servicio, y que está firmado por una CA (Certification Authority). De este modo, cuando un usuario se autentica envía su certificado X509 y su identidad es reconocida si está firmado por una CA de confianza (todo esto se realiza de forma transparente para el usuario por medio del protocolo SSL).
  • Mientras que la autenticación implica demostrar quién se asegura ser, autorizar implica definir el acceso del usuario al sistema. Globus implementa la autorización por medio de un fichero de mapeo que asigna DNs a cuentas UNIX locales. Es importante resaltar que el hecho de que un usuario tenga un certificado X509 firmado por una CA válida, no implica que esté autorizado a acceder al sistema. Esta decisión es interna a cada centro o institución que es responsable de la gestión de sus propios recursos.

Protocolos de comunicación segura

Los certificados X509 emitidos para los usuarios del Grid (grid-cert-request) se usarán, además de para la explotación segura del grid, para garantizar las comunicaciones entre representantes, administradores, coordinador e IRISGrid CA. Para convertir el certificado del formato pem usado por Globus al formato pkcs12 usado por los clientes de mail comunes (Netscape y Microsoft OutLook) se puede usar el siguiente comando:

 openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -out cert.p12 

el fichero de salida cert.p12, puede importarse fácilmente con el gestor de correo. Establecemos los siguientes dos niveles de seguridad, que los gestores de correo habituales implementan de forma automática:

  • Nivel 1: Integridad y Autenticación del emisor del mensaje

    El emisor realizará un resumen del mensaje que encriptará con su clave privada. Este protocolo garantiza que el e-mail no ha sido manipulado y además que el emisor es realmente quien dice ser.

  • Nivel 2: Confidencialidad

    Además de satisfacer el nivel anterior, el e-mail se encriptará con la clave pública del receptor. De este modo, la información viajará por la red encriptada.

Canales de comunicación

Se definirán los siguientes canales de comunicación:

  • Canal de gestión

    Los representantes sólo se podrán comunicar con otros Representantes, con el coordinador y con IRISGrid CA. Este canal está destinado a:

    • Realizar peticiones de firma de certificados X509 de nuevos usuarios del Grid (Nivel 1 de seguridad)
    • Realizar peticiones de firma de certificados X509 de nuevos recursos del Grid (Nivel 1 de seguridad)
    • Solicitar autorización en sistemas (Nivel 1 de seguridad), cuando sea necesario comunicar alguna contraseña se empleará el Nivel 2 de seguridad
  • Canal técnico

    Los administradores se comunicarán entre sí para solventar aspectos técnicos. Cuando un usuario de un centro o institución tenga problemas, se lo comunicará a su Administrador que se pondrá en contacto con el Administrador de la VO a la cual pertenece la máquina remota. Por defecto para estas comunicaciones se requiere un Nivel 1 de seguridad. Los problemas de seguridad observados también se reportarán por medio de este canal (Nivel 2 de seguridad).

  • Canal interno

    Es el usado por los usuarios de un centro o institución para comunicarse con su Administrador y Representante, los protocolos de comunicación y niveles de seguridad de este canal dependen de las políticas propias de cada centro o institución.

Resaltar que los puntos anteriores indican un conducto reglamentario de obligado cumplimiento. Un usuario, por ejemplo, no podrá contactar con Representantes y Administradores de otros centros o instituciones. Sin embargo, existe la posibilidad de que una persona desempeñe varios roles (Usuario, Representante o/y Administrador).

Requisitos de IRISGrid CA

La entidad de certificación de IRISGrid es responsable de:

  • Crear y mantener una lista de certificados revocados (CRL). La CRL deberá actualizarse inmediatamente después de cada revocación y 7 días antes de su caducidad, que deberá ser de no más de 30 días. Cada centro o institución es responsable de actualizar sus copias locales de la CRL. La CRL se publicará en la página irisgrid.rediris.es
  • La CA publicará en irisgrid.rediris.es su política de certificación (Certificate Policy Statement, CPS), de acuerdo a la plantilla del rfc2527
  • La CA publicará sus credenciales en irisgrid.rediris.es

La máquina usada para emitir los certificados debe satisfacer los siguientes requisitos:

  • Debe ser una máquina dedicada
  • La ubicación de la máquina ha de ser segura
  • Debe ser administrada por personal cualificado
  • La clave privada de la CA, y sus copias, han de permanecer siempre en un entorno seguro
  • La clave privada ha de ser encriptada con una pass phrase no inferior a 10 caracteres y sólo puede conocerla la persona encargada de emitir (firmar) los certificados
  • No puede estar conectada a ninguna red pública
RedIRIS © 1994-2006
^ http://www.irisgrid.es/testbed/seguridad.es.html