| viZard |
El resultado
de todo el esto es un código bien probado (de algunos 25 años
de edad), beneficiado del |
| viZard |
del pensamiento
y diseños. Y los tres proyectos importantes del BSD comparten
código, tal como |
| viZard |
programas
pilotos, y muchas características. |
| viZard |
[ diapositiva
4 ] |
| viZard |
Para ampliarse
sobre eso, las metas originales de OpenBSD's eran proporcionar |
| viZard |
un sistema
operativo seguro, de fines generales del multiplatforma. |
| viZard |
Sin embargo,
es inútil si no proporciona los servicios |
| viZard |
necesarios,
tales como Web hosting o el compartir los fichero. OpenBSD hace un
gran SO de servidor |
| viZard |
para mucha
gente, un cortafuego excelente, e incluso un gran SO para de la red, así
como una |
| viZard |
computadora
portátil maravillosa. |
| viZard |
(estoy haciendo
todo esto de una computadora portátil de OpenBSD, y utilizo otra
en el trabajo.) |
| viZard |
OpenBSD hace
el uso extenso de criptografía en su sistema de base. Siendo |
| viZard |
desarrollado
principalmente en Canadá, puede conseguir fuera de los leyes criptografia
de exportación de los E.E.U.U.. |
| viZard |
Discutiremos
la criptografia en OpenBSD más en un momento. |
| viZard |
OpenBSD está
también enteramente libre de |
| viZard |
restricciones
no razonables. La licencia BSD permite la reutilización como plataforma
comercial con fuente |
| viZard |
cerrada,
lo que hacen muchas compañías (especialmente en el espacio
de la seguridad y de la red). |
| viZard |
Esto está
en contraste al GLP, que fuerza a los usuarios a mantener abierto el codigo
fuente. |
| viZard |
[ diapositiva
5 ] |
| viZard |
Para mantener
esta seguridad por la cual OpenBSD se ha hecho notar, |
| viZard |
se hacen auditaciones
continuas del código. |
| viZard |
Éstos
comenzo el primer y continúa hasta hoy. Cuando se encuentra |
| viZard |
un fallo este
se repara, y se busca el mismo patron en todo el código. Este
comportamiento |
| viZard |
paranoico
saca a la luz gran cantidad de fallos. |
| viZard |
El acercamiento
de los ' muchos ojo´s es de efecto completo en OpenBSD. Todos
los cambios del código son verificados por por |
| viZard |
lo menos alguna
otra persona, y los cambios grandes requieren una alineación substancial.
Esto ayuda a que los errores |
| viZard |
se mantengan
al mínimo. Una cosa que discutimos bonito difícilmente
en la lista de Sardonix era el discusión |
| viZard |
de las vulnerabilidades
de la fijación en comparación con fallos de funcionamiento
de la fijación. Choses de |
| viZard |
OpenBSD para
fijar un fallo de funcionamiento más bien que una vulnerabilidad.
Este acercamiento proactive |
| viZard |
conduce a
los muchos de fallos de funcionamiento que son fijos mucho antes se saben
para ser fallos |
| viZard |
de funcionamiento
(sarnold, usted que tiene esto presente? |
| viZard |
:)) |
| viZard |
( en caso
de que haya llegado ahora, puede encontrar las diapositivas en http://www.monkey.org/~jose/presentations/openbsd.d/openbsd.html
] |
| viZard |
(Diapositiva
6) |
| viZard |
OpenBSD aplica
la seguridad en diversos mecanismos. |
| viZard |
Primero, ellos
aplican diseños de seguridad, como el sistema de autenticacion BSD. |
| viZard |
Esto les permite
atar de muchas maneras la autentificacion, |
| viZard |
como tarjetas
inteligentes, |
| viZard |
claves de
accesop, llaves publicas y privadas de criptografia, y asi por el estilo |
| viZard |
en un gran
numero de aplicaciones de una manera facil. |
| viZard |
segundo, el
esquema de claves es extensible y puede ser acomodado a un numero de posibles
direcciones en un futuro |
| viZard |
Como se menciono
antes, la criptografia esta altamente integrada en el sistema. |
| viZard |
Ambos, Blowfish
y AES, son algoritmos que estan incluidos en kernel (blowfish es usado
para las claves) |
| viZard |
IPSec esta
instalado por defecto. |
| viZard |
Usando un
pseudo generador de numeros aleatorios (PRNG), |
| viZard |
los ID y TCP
con numeros de secuencia inicial son altamente aleatorios |
| viZard |
Varias nuevas
APIs estan en la base del sistema, asi como tambien, con un enfoque en
la seguridad. |
| viZard |
El manejo
de retinas string strlcpy() |
| viZard |
y strlcat(),
desarrolladas por Todd Miller, son, son mas intuitivas de usar que
strncpy() and strncat(), |
| viZard |
y mas seguras
que strcat() and strcpy(). |
| viZard |
La funcion
arc4random() provee una interfaz simple para un generador de numeros aleatorios. |
| viZard |
A traves de
estas funciones, todos los programas pueden accesar a las funciones basicas
de seguridad |
| viZard |
(Diapositiva
7) |
| viZard |
Los resultado
de estas acciones se han probado a si mismas. |
| viZard |
Primero, los
fallos tipicamente econtrados en otros sistemas estan ausentes en OpenBSD. |
| viZard |
o han sido
reparados meses atras. |
| viZard |
"nosotros
arreglamos eso en la version 2.4" no algo fuera de lo normal cuando lo
dice algun mienbro del grupo OpenBSD |
| viZard |
Aun a pesar
de todo esto, OpenBSD no es perfecto. |
| viZard |
El reciente
fallo de mail(1) (algo local) fue debido a un pequeño parche. |
| viZard |
Algo como
eso debio ser examinado mas profundamente |
| viZard |
Ademas no
todas las areas del codigo han sido revisadas exahustivamente. |
| viZard |
como el subsistema
YP el codigo multicast, el cual contiene una gran cantidad de fallos potenciales |
| viZard |
(Diapositiva
8) |
| viZard |
Esta filosofia
de "muchos ojos", cualquiera puede cometer un error, mantiene el codigo
limpio y estable. |
| viZard |
Nuevas lecciones
son constantemente aprendidas por los desarrolladores. |
| viZard |
Esto hace
que dichas personas mantengan los pies sobre la tierra, porque saben que
alguien siempre esta revisando su trabajo. |
| viZard |
Esto mantiene
la dedicacion y enfoque. |
| viZard |
Todos los
desarrolladores son tambien auditores. |
| viZard |
(Dispositiva
9) |
| viZard |
El factor
paranoia en OpenBSD es legendario- |
| viZard |
"puede ser
un fallo" es usualmente una razon suficiente para reparar algun codigo,
en de estar preocupandose por una |
| viZard |
vulnerabilidad. |
| viZard |
(Diapositiva
10) |
| viZard |
Como se menciono
antes, el kernel de OpenBSD incluye criptografia integrada. |
| viZard |
Dos algoritmos
bien conocidos son Blowfish y AES. |
| viZard |
El pseudo
dispositivo /dev/arandom |
| viZard |
esta al alcance
como una fuente de numeros aleatorios fuertes |
| viZard |
Kerberos IV
y V estan instalados por defecto y usados por muchas aplicaciones, incluyendo
SSH, telnet y login. |
| viZard |
Esto les da
un marco facil y seguro de estandares de autenticacion |
| viZard |
(Diapositiva
11) |
| viZard |
Fuera de la
maquina, OpenBSD esta listo para ser servidor: |
| viZard |
<jose_n>
. sendmail with STARTTLS (which can be changed pretty |
| viZard |
<jose_n>
easily) |
| viZard |
<jose_n>
. BIND 4.9.8 (with patches, for DNS) |
| viZard |
<jose_n>
. FTPd |
| viZard |
<jose_n>
. OpenSSH |
| viZard |
<jose_n>
. POP3d (via Solar's popa3d) |
| viZard |
<jose_n>
. NFS, NIS |
| viZard |
<jose_n>
. Apache (1.3, with SSL) |
| viZard |
<jose_n> |
| viZard |
Los unicos
servicios por defecto son el portmap (usado por NIS y NFS) y SSHd. |
| viZard |
El resto no
es arrancado. |
| viZard |
Cambiar de
Sendmail a postfix es muy facil, simplememte se hace que el archivo de
configuracin apunte a postfix en vez que a sendmail. |
| viZard |
Es muy facil
configurar un servidor de Internet seguro usando OpenBSD. |
| viZard |
asi como modificar
su configuracion como nos plazca. |
| viZard |
OpenBSD tambien
funciona muiy bien como estacion de trabajo. |
| viZard |
Lo he estado
usando en mis laptops por mucho tiempo. |
| viZard |
(Dispositiva
12) |
| viZard |
OpeBSD se
destaca en redes. |
| viZard |
Un complemento
completo de IPv4, e IPv6 tambien parte del sistema. |
| viZard |
El multicast
tambien es soportado, al igual que IPSec. |
| viZard |
El husmeo
de las interfaces se hace a traves del Berkeley Pakcet Filter (BPF). |
| viZard |
El enrutamiento
se hace via routed. |
| viZard |
el PF hace
las funciones de filtro de paquetes tanto para IPv4 como para IPv6. |
| viZard |
(Diapositiva
13) |
| viZard |
El kernel
de OpenBSD es muy pequeño, el tipico kernel monolitico |
| viZard |
aproximadamente
3.1 MB para el kernel GENERICO. |
| viZard |
(Diapositiva
14) |
| viZard |
Iniciar un
OPenBSD es algo diferente que un Linux. |
| viZard |
El boot manager
solo puede iniciar un OpenBSD, pero no se requiere que se instale un nuevo
kernel, cuando se instala un nuevo kernel. |
| viZard |
Una vez se
iniciado el sistema, el kernel corre /etc/rc.conf |
| viZard |
Diapositiva
15 |
| viZard |
OpenBSD tambien
tiene una excelente ambiente de desarrollo. este compila con GCC 2.95 con
algunas modificaciones, que se encuentras en el sistema base. |
| viZard |
Las librerias
son suplementadas con POSIX y OpenSSL en la base del sistema. |
| viZard |
Para los hacker
serios, tambien hay herramientas en el sistema de auditacion y compilacion. |
| MJesus |
[diapositiva
16] |
| MJesus |
OpenBSD también
trabaja en un buen número de plataformas. Mientras que la
mayoría de los usuarios están en i386, mucha gente también
utiliza OpenBSD en sus máquinas más viejas de SPARC y de
Mac68k como un servidor o incluso un cortafuegos. Recientemente se
ha agregado soporte para la SPARC64 y MacPPC y ella está saliendo
adelante como sistemas maduros muy rápidamente. Otras arquitecturas
soportadas incluyen DEC/Compaq, Alpha, el VAX, y Ami |
| MJesus |
Por supuesto,
algunos son mas testeados que otros, que pueden afectar bugfixes o estabilidad
del sistema. Y no todos los dispositivos están soportados,
por ejemplo algunas tarjetas de Ethernet de Sbus en SPARC. |
| MJesus |
[diapositiva
17] |
| MJesus |
One of the
bigger strength of OpenBSD compared to Linux or commercial UNIXen are the
manpages. OpenBSD works very |
| MJesus |
hard to have
manpages that are clear and correct. The fruits of these labors are available
on the OpenBSD website. (I |
| MJesus |
routinely
point CS students to the manpages for discussions and examples for how
to code.) |
| MJesus |
Además,
los manuales 'manual del manager del sistema' (SMM), 'documentación
suplementaria de los programadores' (PSD), y la 'documentación suplementaria
del DEB del usuario' (los USD) también están instalados en
el sistema base. Y por supuesto Perldoc y GNU Info están allí
ayudarle. |
| MJesus |
Las paginas
de manual notables incluyen el afterboot, el Kerberos, y VPN. |
| MJesus |
[diapositiva
18] |
| MJesus |
OpenBSD proporciona
un mecanismo encontrado en FreeBSD y NetBSD llamado 'ports'. Éstos
son portados a la tercera parte de las aplicaciones disponibles para el
uso en el sistema. Descargan el software, aplican remiendos, y construyen
un paquete registrado. Es importante observar que no estan tan auditados
como el sistema base. |
| MJesus |
Los paquetes
son simplemente precompilados ports, que manejan dependencias como
los ports. Un ejemplo es la instalación del Tk, el cual asegurará
de que el Tcl esté instalado y actualizado correspondiente a la
versión del Tk. |
| MJesus |
A fecha de
este escrito hay de 2000 paquetes en OpenBSD. |
| MJesus |
[diapositiva
19] |
| MJesus |
Si usted desea
agregar aún más seguridad a su sistema de OpenBSD, usted
puede chequear dos proyectos más. Stephanie trae algunos patches
confiables de usuario de Route actualizados para OpenBSD 3,0. Usted
puede agregar priviligios y derechos a los usuarios usando este sistema,
así como realzan la privacidad del sistema con múltiples
usuarios. |
| MJesus |
Justo esta
semana, el equipo de Trojanproof anunció un parche para el kernel
de OpenBSD para tener en cuenta executables firmados usando codigos criptográficos,
tales como MD5 o SHA1. Usted construye simplemente una lista de usos
y se asegura de que son actualizados en sus codigos. El kernel no
ejecutará ningun ejecutable que no corresponda a la firma. |
| MJesus |
Estos dos
son para la version 3.0, pero puede ser modificado para la 3,1. |
| MJesus |
[diapositiva
20] |
| MJesus |
Para conseguir
OpenBSD, usted puede conseguir el lanzamiento actual en CDROM o por FTP
de buen número de mirrors. Usted puedeprobar el lanzamiento
próximo, 3,1 (el mes próximo), mirando a los escaparates
o el código de CVS. |
| MJesus |
CVS se utiliza
para guardar, hasta la puesta al dia, - el current (el código más
minucioso). Una segunda marca de fábrica, - el estable- ,
también se mantiene, que es el código lanzado con los parches
críticos aplicados. |
| MJesus |
Una caja de
3 CD cuesta tipicamente $40, y ayuda a mantener el proyecto. |
| MJesus |
Tambien me
doy cuenta ahora que habia olvidado mencionar algunas de las limitaciones
de OpenBSD. La mayor es la perdida de soporte internacional. Esto requeriría
algunos cambios extensivos a ambos, libc y librerias X11, que el equipo
es retincente a efectuar. Esto puede impedir el uso a algunas personas
que requieren estas opciones. |
| MJesus |
[diapositiva
21] |
| MJesus |
Aquí
hay una breve lista de fuentes para conseguir más información
sobre OpenBSD. El website principal tiene todas las clases de ayuda
y de información, así como un gran FAQ. Deadly.org es también
un sitio útil de noticias para asuntos de OpenBSD |
| MJesus |
¡Gracias,
y espero que ustedes encuentren útil este breve tour! ¡Gracias
tambien a sarnold, viZard, Oroz, Fernand0, y MJesus otra vez! |
| viZard |
gracias a
ti majo |
