[Solar-general] Re: [softlibre] Noticia: SL en el Ministerio de Asuntos Exteriores Alemán

Martin Olivera molivera en solar.org.ar
Jue Mar 10 17:55:31 CET 2005


Quoting Ricardo Pluss <rjpluss en yahoo.com.ar>:

> Les envío este excelente artículo (Fuente: http://www.hispalinux.net).
> Ricardo
> 
> El Software Libre facilita a Alemania la creación de una red segura de 
> ámbito mundial.
> 
> 04-08-2004  Resumen
> 
> En nuestras economías occidentales, la mayoría de la gente ha
> comenzado a estar conectada a Internet 24 horas al día. Nosotros
> navegamos, mandamos correos y chateamos con todo el mundo que queremos
> con independencia del lugar y el momento. Lo mismo ocurre con las
> organizaciones, las cuales despliegan sus propias intranets para
> proporcionar información interna a los empleados. Pero ¿qué ocurre
> cuando la mayoría de los empleados trabajan alejados unos de otros y
> en muchos casos, en regiones peligrosas o inseguras, en las que un
> fallo de seguridad en las comunicaciones pueden provocar un gran
> escándalo político?.
> 
> Este documento estudia la solución que ha adoptado el Ministerio de
> Asuntos Exteriores Alemán, mediante la que conecta de forma segura
> todas las embajadas y consulados situados en todo el mundo, usando una
> gran intranet.
> 
> Introducción
> 
> El Ministerio de Asuntos Exteriores Alemán cuenta con unos 10.000
> empleados, de los cuales solamente 2.400 trabajan en la sede de
> Berlín. Los otros 7.600 trabajan en las 217 oficinas extranjeras,
> coomo embajadas y consulados, que están repartidas por todo el mundo.
> En la sede de Berlín hay unas 210 personas dedicadas a temas
> relacionados con las tecnologías de la información, estas personas
> cuentan con un presupuesto de unos 30 millones de euros.
> 
> Antes del año 2001 casi no se disponía de casi ninguna red de
> comunicaciones entre la sede central de Berlín y las oficinas situadas
> en el extranjero. La mayoría de las comunicaciones se realizaban
> mediante correo regular. Las agencias situadas en países exóticos o en
> lugares alejados, con frecuencia se veían forzadas a confiar en la
> infrecuente visita del cartero para su correspondencia oficial
> escrita, lo que provocaba grandes retrasos en algunos de los procesos
> burocráticos.
> 
> Las 50 oficinas que disponían de conexión mediante red con la sede
> principal, solamente podían utilizar un primitivo sistema de correo
> basado en un mecanismo de almacenamiento y envío, comparable al
> sistema de envío de correos a través de Internet. Este sistema no
> permitía ninguna comunicación interactiva como por ejemplo, la
> visualización de una página web desde cualquiera de las embajadas
> conectadas a la red.
> 
> Para añadir mayor complejidad al sistema, para establecer las
> comunicaciones, se usaban varias tecnologías distintas. Dependiendo de
> los países en los que se encontrasen las oficinas, se usaban líneas
> X25, modems, enlaces satélite o líneas dedicadas. Lograr la seguridad
> en las comunicaciones requería un hardware distinto dependiendo del
> tipo de conexión utilizado, no siendo lo mismo asegurar una
> comunicación realizada mediante una conexión vía satélite, que cuando
> la conexión se realizaba mediante una línea telefónica.
> 
> En esta situación, extender y modificar la red se convertía en una
> tarea complicada y costosa, sobre todo en las oficinas situadas en
> países en las que la climatología era adversa, por polvo, frío, calor
> o humedad ambiental.
> 
> Estudio del caso
> 
> Cuando se comenzaron a reducir los costes del servicio de
> telecomunicaciones al principio del milenio, el Ministerio de Asuntos
> Exteriores decidió invertir en un nuevo sistema de comunicaciones
> centralizado que eliminase los distintos sistemas que se encontraban
> en uso en las oficinas que estaban repartidas por todo el mundo. Como
> muy pocas de las oficinas contaban con personal dedicado las
> tecnologías de la información, la red se debería poder manejar
> enteramente desde Berlín.
> 
> Aproximadamente, al mismo tiempo se estaba desarrollando una nueva
> estrategia a largo plazo para las tecnologías de la información. Esta
> estrategia intentaba proporcionar un mayor servicio a un menor coste,
> a la vez que se abordaban otros problemas en el proceso.
> 
> Uno de los problemas identificados tenía que ver con el software.
> Hasta el año 2001 el Ministerio de Asuntos Exteriores Alemán usaba
> solamente productos de Microsoft, tales como Windows NT/2000,
> exchange, SQL Server y Office 97. Aunque no estaban descontentos con
> sus prestaciones, no estaban satisfechos con el aspecto cerrado de los
> mismos, ni con el hecho de que fuera el fabricante el que decidiera
> cuando y cómo se debían realizar las actualizaciones.
> 
> La nueva estrategia para las tecnologías de la información
> 
> El Ministerio de Asuntos Exteriores sigue una estrategia que está
> centrada en torno a dos objetivos principales:
> 
> a) Mantenibilidad e interoperabilidad
> 
> * Abandono de soluciones propietarias
> * Implementación estricta de estándares abiertos
> * Lograr la sostenibilidad financiera de los desarrollos técnicos.
> * Evitar la dependencia tecnológica (por ejemplo, migrando todas las
> aplicaciones internas a sistemas independientes de la plataforma o a
> aplicaciones basadas en web mediante cliente ligero).
> 
> b) Asegurar las inversiones mediante la escalabilidad y modularidad
> de la solución.
> 
> * Minimizando la complejidad de las tecnologías de la información,
> aplicando la navaja de Ockam y el principio KISS "Keep It Simple, Stupid!"
> * Garantizar un adecuado nivel de seguridad en las tecnologías de la
> información mediante la consistencia y la practicabilidad.
> 
> Esta nueva estrategia tenía la intención de retomar el control de las
> tecnologías de la información usadas en las comunicaciones internas
> del ministerio. Fue firmada de forma oficial por el Secretario de
> Estado, convirtiéndola en una política formal, en lugar de en una
> iniciativa interna del Departamento de Tecnologías de la Información
> del ministerio.
> 
> En consonancia con la estrategia anterior, el Ministerio de Asuntos
> Exteriores decidió que todo el software, con independencia de que
> fuera libre o propietario, debería utilizar estándares abiertos, en
> todo momento y lugar. Además, se eligió Linux como plataforma para los
> servidores y se consideró que lo más conveniente era usar tanto
> Software Libre como fuera posible.
> 
> Respecto a las conexiones físicas, pronto quedó claro que la
> utilización de la casi omnipresente Internet, podía ser una excelente
> solución a la hora de crear la red. No solamente por la carga de la
> red y los costes de mantenimiento, sino que también por ofrecer unas
> enormes ventajas en términos de estandarización el tráfico basado en
> los protocolos TCP/IP.
> 
> El proyecto
> 
> El proyecto tenía que lograr los siguientes objetivos:
> 
> 1) Permitir a los empleados acceder a la información contenida en la
> intranet de Ministerio de Asuntos Exteriores.
> 
> 2) Proporcionar correo electrónico a todas las agencias y a todos los
> usuarios.
> 
> 3) Proporcionar herramientas de colaboración para todos los usuarios.
> 
> 4) Lograr un diseño que conjugue la máxima escalabilidad con una
> complejidad mínima.
> 
> 5) Proporcionar administración y acceso remoto seguro.
> 
> Los condicionantes fueron los siguientes:
> 
> 1) Solamente se deberían utilizar estándares abiertos, los estándares
> propietarios estaban expresamente prohibidos.
> 
> 2) Utilizar software libre en todos los lugares que fuera posible.
> 
> 3) Usar una tecnología de encriptación que fuera segura y que
> estuviera certificada.
> 
> Todo el planeamiento y diseño de la red, así como la ejecución del
> proyecto fue realizada por los empleados dedicados a las tecnologías
> de la información del Ministerio de Asuntos Exteriores. Se contrató a
> una empresa externa para que proporcionase expertos en comunicaciones
> seguras y en el uso de Software Libre.
> 
> En lo referente a la gestión, el proyecto se dividió en ocho partes,
> las cuales cubrían áreas específicas tales como clientes, servidores,
> infraestructura y logística. Cada subproyecto disponía de su jefe de
> equipo. Se organizaron reuniones semanales, en las que los jefes de
> equipo intercambiaban sus progresos y compartían experiencias. Los
> problemas relacionados con la migración desde la arquitectura
> existente a la nueva, basada en Software Libre, se discutieron con
> detalle y se resolvieron durante esas reuniones.
> 
> En total, participaron 140 personas pertenecientes al Departamento de
> Tecnologías de la Información del Ministerio de Asuntos Exteriores y
> fue ejecutado entre los años 2001 y 2003.
> 
> Diseño de la red
> 
> La Red Privada Virtual (VPN) en su conjunto, tiene forma de estrella,
> lo que significa que cada oficina remota está conectada al "hub" de la
> oficina central de Berlín, la cual es la encargada de direccionar el
> tráfico a las otras oficinas, cuando es necesario. El hub está formado
> por el centro de proceso de datos, con el ordenador central, que se
> encuentra en Berlín.
> 
> Todas las conexiones se realizan mediante la red pública Internet.
> Cada oficina remota dispone de su conexión a Internet con dos
> proveedores de acceso distintos. En el caso de que falle un proveedor,
> se conmuta automáticamente a la otra conexión. En el extremo de la
> conexión a Internet de cada oficina hay un router seguro, el cual
> direcciona y cifra de forma transparente las comunicaciones entre la
> red local de las oficinas remotas y Berlín.
> 
> La clave del diseño funcional de la red es el servicio de directorio
> central, el cual contiene la información relativa a todos los usuarios
> de la red. Este directorio sirve como punto central de la
> autentificación de usuarios. El único sistema que tiene permisos para
> crear, modificar o borrar usuarios de la red es el sistema central de
> personal.
> 
> Además, cada oficina remota dispone de su servidor Linux, el cual
> aloja todos los servicios de la intranet, como el correo electrónico o
> las herramientas de trabajo en grupo.  Para mantener la independencia
> entre sistemas, los diseñadores del sistema eligieron x-manage para
> implementar los servicios de trabajo en grupo. X-manage es una
> solución comercial de trabajo en grupo que funciona con eficacia en
> combinación con el directorio central.
> 
> Tecnologías usadas en la red del Ministerio de Asuntos Exteriores
> Alemán.
> 
> * Centro de ordenadores en Berlín.
> 
> - OpenLDAP como servicio de directorio central.
> - Webmin como herramienta de administración central.
> 
> * Oficinas remotas
> 
> - Red Hat Linux 7.2 proporcionando los servicios de red local
> - SINA (Secure Inter-Network Architecture) VPN router proporcionando
> la conexión segura al centro de ordenadores en Berlín.
> - Estaciones de trabajo WindowsXP ya que no se podían migrar las
> aplicaciones existentes en un corto periodo de tiempo.
> - Outlook express como cliente de correo electrónico.
> - x-manage como servidor de aplicaciones de trabajo en grupo basada
> en web, con servicios como el calendario, o el  mantenimiento de la
> lista de contactos.
> 
> Tecnología de cifrado
> 
> Una de los objetivos fue la unificación de las líneas de
> comunicaciones y de las tecnologías de cifrado. Para el cifrado de las
> comunicaciones el Ministerio de Asuntos Exteriores se basó en la
> tecnología SINA, la cual es proporcionada por la Oficina de Seguridad
> Federal Alemana. Esta tecnología cifra y descifra de forma
> transparente los paquetes de información de la red sobre las líneas de
> comunicación públicas y es una solución certificada para la
> transmisión de información clasificada.
> 
> El hardware necesario para estas máquinas criptográficas está formado
> por componentes de PC de uso común y por un lector de tarjetas
> inteligentes, lo que hace que sea una solución con un coste muy
> competitivo. Los chips de las tarjetas se configuran con los
> parámetros de la red y con las claves criptográficas en el cuartel
> general y se mandan mediante mensajería a las oficinas remotas. El
> fallo o la pérdida de una tarjeta se soluciona fácilmente la
> invalidación de la tarjeta perdida y enviando otra nueva.
> 
> Aunque los routers de la VPN son vistos como cajas negras, un detalle
> curioso es que se basan completamente en Linux. Estos routers ejecutan
> Linux desde un CD y cargan la configuración específica desde las
> tarjetas inteligentes.
> 
> NT:Esta tecnología es similar a la tecnología Metadistros que está
> siendo desarrollada por Hispalinux en España y que tiene grandes
> posibilidades en aplicaciones de seguridad, voto electrónico y en
> sistemas embebidos.
> 
> Costes
> 
> Inicialmente, se consideró que la implementación de la red del
> Ministerio de Asuntos Exteriores costaría en torno a los 50 millones
> de euros. Mediante el uso de hardware de uso general y aplicaciones de
> Software Libre, se logró una reducción en los costes de implantación a
> 17 millones de euros, es decir, una tercera parte de la estimación
> inicial y logrando todos los objetivos propuestos.
> 
>  Las caras líneas X.25 se eliminaron y actualmente, todas las
> comunicaciones, se establecen de forma segura a través de Intetnet.
> Antes de la migración, los costes de comunicaciones necesarios para
> conectar las 50 oficinas remotas al la sede del ministerio subía a 8
> millones de euros anuales. Este es el coste que tiene actualmente la
> conexión de las 217 oficinas repartidas por todo el mundo.
> 
> Evaluación
> 
> El proyecto quedó finalizado en el último trimestre del año 2003,
> logrando la migración de las 217 oficinas remotas. Desde ese momento,
> la cantidad de datos que se han transferido entre la oficina central y
> las oficinas remotas se ha incrementado de forma considerable. Esto se
> atribuye al hecho de que la Intranet, así como todas las aplicaciones,
> se pueden acceder actualmente mediante comunicaciones TCP/IP
> transparentes a los usuarios.
> 
> Para los usuarios en las oficinas remotas, las nuevas redes de
> comunicación han revolucionado su forma de trabajar. Ahora pueden
> enviar o recibir información de forma instantánea o enviar documentos
> a cualquier oficina con un simple clic del ratón. Algunos usuarios,
> acostumbrados al servicio posta para sus necesidades de comunicación,
> han declarado que "la red les hace sentirse una parte del mundo de nuevo".
> 
> La introducción de Webmin como herramienta de administración
> estandarizada permite la gestión y reduce el número necesario de
> "administradores globales". La solución adoptada con Webmin integrado
> en OpenLDAP abre nuevas posibilidades en la administración del
> sistema, logrando que los administradores accedan solamente a aquellas
> partes que realmente necesitan administrar.
> 
> Los administradores del sistema se adaptaron rápidamente al nuevo
> entorno, pero hay algunos problemas derivados de la extrema
> estandarización que ha impuesto la estrategia en las tecnologías de la
> información. Un ejemplo simple es el hecho de que el trabajo en grupo
> se proporciona actualmente mediante una aplicación basada en web,
> haciendo imposible que se acepte una invitación a una reunión con una
> simple pulsación del ratón. Otras acciones como las que se solían
> hacer mediante el sistema de arrastrar y soltar, ahora requieren algo
> más de esfuerzo por parte del usuario. Es posible que en un futuro,
> los módulos de Webmin solucionen algunos de estos problemas, pero
> realmente es algo que carece de importancia en comparación con las
> ventajas funcionales, estratégicas y de coste.
> 
> En conjunto el Ministerio de Asuntos Exteriores ha visto este
> proyecto y sus resultados como un éxito real. Varios ministerios
> Alemanes han visitado las instalaciones del Ministerio de Asuntos
> Exteriores para ver lo que han hecho y la forma en la que lo han
> hecho, concluyendo en todos los casos que el Software Libre es una
> alternativa muy seria para retomar el control sobre las tecnologías de
> la información y al mismo tiempo, reducir los costes de forma
> considerable. La solución, con su diseño modular tanto de la red como
> de los componentes de hardware y software abre definitivamente una
> ventana a un futuro eficiente y colaborativo.
> 
> Siguientes pasos.
> 
> En la actualidad el Ministerio de Asuntos Exteriores está mejorando
> su red. Las interioridades del centro de datos de Berlín se migrarán
> próximamente a Software Libre y se desplegarán nuevos servicios. Desde
> que toda la gestión de la red y de los servicios se puede realizar de
> forma remota, se está siguiendo una estrategia de administración "sin
> que se ponga el sol", instalando centros de servicio de tecnologías de
> la información en Singapur y New York.
> 
> La existencia de una intranet mundial también ha propiciado la
> aparición de muchas ideas e iniciativas nuevas para mejorar las
> tecnologías de la información del ministerio. Por ejemplo, ya se han
> realizado con éxito los primeros experimentos de telefonía de Voz
> sobre IP (VoIP), lo que promete una nueva reducción en los costes.
> Todo ello es mucho más sencillo y barato de implementar gracias a la
> utilización de plataformas basadas en Software Libre.
> 
> En lo que respecta al Software Libre, el Ministerio de Asuntos
> Exteriores está considerando seriamente migrar las estaciones de
> trabajo Windows a Linux. Pero antes de ello y para ser independientes
> a largo plazo, todas las aplicaciones que se usan internamente se han
> de volver a escribir como aplicaciones Web.
> 
> La estrategia para las tecnologías de la información se ha demostrado
> como muy valiosa a los ojos del Ministerio de Asuntos Exteriores
> Alemán y con toda seguridad se seguirá en el futuro.
> 
> 
> Copyright Comunidades europeas 2004
> Link relacionado : http://europa.eu.int/ida/
> 
> Firmado :  IDA - Fernando Acero
> 
> _______________________________________________
> Softwarelibre mailing list
> Softwarelibre en sgp.gov.ar
> http://ldapeco.sgp.gov.ar/mailman/listinfo/softwarelibre
> 
> 


-- 
Martín Olivera
www.SOLAR.org.ar

***************************************************************
CRISOL - 1er. Encuentro Estratégico Argentino de Software Libre
19 y 20 de marzo 2005 - Rosario (Argentina)
http://www.crisolargentina.org.ar
****************************************************************




Más información sobre la lista de distribución Solar-general