FreeBSD México

Comunidad Mexicana de FreeBSD

PC-BSD Un vistazo a las características nuevas para 10.1.2

Esta es una traducción del siguiente sitio: http://blog.pcbsd.org/2015/03/a-look-at-the-upcoming-features-for-10-1-2/

PCBSD10-logo

 

He sido un usuario aventajado las últimas semanas, cuando menos en lo que respecta a seguir nuestro mapa de items para la próxima versión 10.1.2 release, ustedes habrán notado un número de nuevos items relativos a seguridad y privacidad. Quise tomar un momento para aclarar qué son realmente algunas de estas nuevas características y qué es lo que van a lograr.

 

– PersonaCrypt –

La primera de las nuevas características es una nueva utilería CLI llamada personacrypt. Este comando permitirá la creación y uso de un medio externo GELI para el directorio $HOME de sus usuarios. Actualmente esta característica la estamos usando internamente para mantener los perfiles de usuario en una memoria USB 3.0 — de 256GB memoria SSD / flash híbrida (Específicamente Coarsair flash Voyager GTX). Ésta se encuentra unida dentro del administrador de sesión PCDM, y el usuario administrador, de tal forma que cuando creas una cuenta de usuario nueva, puedes optar por mantener todos los datos personales en cualquier dispositivo externo. El dispositivo esta formateado con GPT / GELI / ZFS, y es desencriptado al momento de iniciar la sesión por medio de la GUI, después de introducir su clave de encripción, junto con el password normal de usuario.

Adicionalmente, el comando personacrypt usa la habilidad de GELI para dividir la clave en dos partes. Siendo una su frase clave, y siendo la otra una llave almacenada en disco. Sin ambas de estas partes, el medio de almacenamiento no podrá ser desencriptado. Esto significa que si alguien roba la llave y logra obtener su password, estas dos son inutiles sin el sistema en el cual fueron creados y emparejados. PersonaCrypt también permitirá la exportación/importación de estos datos clave, para que los pueda usar  y emparejar dichas claves en otros sistemas.

– Modo Tor –

Hemos agregado nuevas habilidades a la Charola del Actualizador del Sistema, de tal forma que ahora con un solo click, pueda cambiar entre correr en modo Tor, y modo regular “abierto”. Este cambio entre el modo Tor, hará lo siguiente:

1. Lanzar el daemon Tor, y conectar a la red Tor
2. Re-escribir todas las reglas IPFW, bloqueando todo el tráfico saliente / entrante, excepto por el tráfico desde y hacia el daemon Tor
3. Re-enrutar todas las peticiones DNS / TCP a traves de Tor usando su soporte de proxy transparente

Esto permite que las aplicaciones en el sistema se puedan conectar a internet a traves de  Tor, sin necesidad explicita del soporte proxy para SOCKS.

Obviamente esto solo no es suficiente para mantener tu identidad a salvo en la Internet. Nosotros recomendamos ampliamente que lea atraves de las excelentes Preguntas Frecuentes (FAQ) y artículos wiki en el tema.

https://​www​.torproject​.org/​d​o​c​s​/​f​a​q​.​h​t​m​l​.​e​n​#​A​n​o​n​y​m​i​t​y​A​n​d​S​e​c​u​r​ity

– Modo furtivo –

Una de las características que se agregarón recientemente a personacrypt es algo llamado modo “furtivo”. Esta integrado en el PCDM, y realiza lo siguiente:

Durante el inicio de sesión, si el modo furtivo esta seleccionado, el directorio $HOME del usuario será montado con un ZVOL basado en GELI con una llave de encripción de una sola vez. Este directorio $HOME está configurado con los datos por defecto del /usr/share/skel , y la mayor parte está en “blanco”, permitiendo que usted inicie su sesión y corra aplicaciones como si estuviera en un sistema nuevo en cada ocasión. Al terminar la sesión el conjunto de datos es destruido, o en caso de que el sistema sea reiniciado, la clave de una sola ocasión se perderá, volviendo inútiles los datos. Piense en ello como el modo “privado” del navegador web, excepto que es para toda la sesión del escritorio.

– LibreSSL –

Hemos realizado un cambio para convertir nuestros ports para que usen LibreSSL por defecto en lugar de los sistemas base OpenSSL. (Gracias a Bernard Spil por su trabajo en esto). Nuestra esperanza es que LibreSSL ayude a hacer el sistema aún más seguro, y reducir el número de exploits OpenSSL a los que nuestros paquetes pudieran ser vulnerables.

– Respaldos Encriptados –

La utilería preservador de vida (Life-Preserver) ha tenido la habilidad desde hace un tiempo de replicar su sistema desde otro equipo corriendo FreeBSD, tal como FreeNAS. Este respaldo se realiza via comandos send/recv de ZFS usando SSH, pero los datos en el equipo remoto eran almacenados sin encriptar y podían ser leídos por quien quiera que administrara ese equipo remoto. Para proporcionar una medida extra de seguridad a los respaldos, estamos en el proceso de agregar soporte para respaldos completamente encriptados, usando volúmenes GELI basados en iSCSI. Esto nos permite usar los comandos send/recv de ZFS  sobre una conexión, con todos los datos que salen del equipo orígen ya encriptados vía GELI. Sus datos en el equipo remoto estarán completamente encriptados, y solo son accesibles con el archivo clave que tiene instalado del lado del cliente. Esto aún esta en desarrollo activo y deberá aparecer en el repositorio EDGE en las próximas semanas, junto con algunos detalles adicionales en cuanto a su uso.

Esperamos que hayan disfrutado esta vista anticipada de lo que esta ocurriendo ahora con el desarrollo de PC-BSD. Como siempre, nos encanta que la gente pruebe estas nuevas características en nuestro repositorio EDGE, y nos hagan saber de problemas por medio de nuestro rastreador de bugs:

https://​bugs​.pcbsd​.org

Escrito por  Kris Moore. Posteado en 10.1, nuevas características

 

_________________________

Nos leeremos en el siguiente artículo.

FreeBSD rulez!

Si esta información te resultó útil considera hacer una donación a mis cuentas de BitCoin o LiteCoin:

BTC:   37Eyuc6a9YFw3NYAWriBRdsNztjeUCjeBY

LTC:    LhyHJC2eXVCrwHKX1jnMuSHgSijW3XHX2j

_________________________

Eric De La Cruz Lugo, es Licenciado en Informática Administrativa (LIA) con especialidad en sistemas, egresado del Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO), ha sido usuario de FreeBSD desde 1993 y de sistemas UNIX desde 1992, y de Linux desde 1997 (actualmente cuenta con certificación Linux+CompTIA) es profesor de asignatura de la Universidad Tecnológica Metropolitana en Mérida, Yucatán, donde administra servidores corriendo con FreeBSD que hospedan aplicaciones administrativas y la plataforma educativa en línea de la división de TIC (Tecnologías de la Información y Comunicación) de la Universidad. También brinda de forma independiente consultoría profesional a empresas e instituciones, e imparte cursos relacionados con UNIXLinux y desde luego FreeBSD!, forma parte del equipo de traducción al español del sitio bsdcertification.org, así como Proofreader y betatester de artículos de la revista BSDMag editada en Polonia, que se puede leer mensualmente en bsdmag.org,  también es astrónomo amateur y asesor externo del Planetario Arcadio Poveda Ricalde de Mérida, Yucatán y esta felizmente casado con su amada esposa Marisol Alvarez, puede ser alcanzado en: eric@freebsd.mx, eric_delacruz@yahoo.com y en eric@iteso.mx y en twitter: @COSMICBOY123)

“No podemos confiar” en criptografía basada en chips de Intel y VIA, indican desarrolladores de FreeBSD, Despues de las declaraciones de Snowden, los ingenieros pierden la fe en la aleatoriedad del hardware.

 

 

Esta es una traducción del siguiente sitio http://arstechnica.com/security/2013/12/we-cannot-trust-intel-and-vias-chip-based-crypto-freebsd-developers-say/

Por – Diciembre 10 2013, 7:00am -0600

 

Desarrolladores del sistema operativo FreeBSD ya no permitirán que usuarios confíen en procesadores manofacturados por Intel y VIA Technologies como su única fuente de números aleatorios necesarios para generar llaves criptográficas que no puedan ser rotas fácilmente por espías gubernamentales y otros adversarios.

El cambio, será efectivo en el próximo FreeBSD versión 10.0, viene tres meses después de que documentos secretos fueran filtrados por el antiguo empleado subcontratado de la National Security Agency-Agencia Nacional de Seguridad (NSA) Edward Snowden donde decía que la agencia de espionaje de los EUA era capaz de decodificar grandes filas del tráfico encriptado de internet. Entre otras vías de comunicación, El New York Times, La Pro Publica, y El Guardian reportaron en Septiembre, que la NSA y su contraparte Britanica derrotan a las tecnologías de encripción por medio de trabajar con los fabricantes de chips para insertar puertas traseras, o debilidades criptográficas, en sus productos.

Las revelaciones estan teniendo un efecto directo en la manera en la que FreeBSD usa generadores de números aleatorios basados  en hardware para modificar los datos que aseguren que los sistemas de encripción no puedan

Usando la nueva encripción completa de disco para ZFS de FreeNAS

 

FreeNAS2

 

Posteado por Gary Sims el Lunes 22 de Abril de 2013

En la liberación del mes pasado de  FreeNAS 8.3.1 se agregó nueva funcionalidad que permite a los administradores de sistemas de la solución de almacenamiento NAS de código abierto, el encriptar discos completos mientras usan ZFS.

ZFS ha sido el sistemas de archivos primario para FreeNAS desde FreeNAS 8, y ha suplantado al UFS de freeBSD como el enfoque del proyecto. La nueva funcionalidad de seguridad aplica solo a ZFS y es la primera vez que FreeNAS ha soportado encripción.

Por qué usar encripción de disco? Los sistemas operativos modernos tales como FreeBSD, el cual esta en el corazón de  FreeNAS, estan diseñados para proteger contra accesos no autorizados a datos, y si se emplea una buena política de seguridad, deberá ser dificil para un atacante externo el obtener acceso a datos sensitivos almacenados bajo FreeBSD. Si un atacante tiene acceso físico a un servidor, de cualquier forma, el puede remover el disco del servidor y llevarselo, y examinarlo a voluntad – pero no si esta encriptado.

También esta el problema de disponer de discos obsoletos o dañados que contienen datos sensibles. A menos que usted los rompa físicamente (lo cual hacen algunas compañías) Siempre hay un riesgo de que alguien pueda extraer esos datos a partir de dispositivos desechados – a menos que este encriptado.

Con la encripción habilitada, todos los datos escritos en el disco son inaccesibles sin las credenciales correctas. Las características de seguridad más nuevas en la última versión de  FreeNAS soporta encripción de disco completo, Lo que significa que la encripción esta hecha al nivel de disco, abajo del sistema de archivos ZFS. FreeNAS emplea GELI, un subsistema de capa de encripción de disco a nivel del dispositivo de bloques, escrito para FreeBSD, el cual lo hace más eficiente de lo que sería solamente agregar herramientas de encripción.

Consideraciones

Antes de usar las nuevas características de encripción de disco de FreeNAS, usted deberá entender algunas cosas importantes:

  • La encripción de disco en FreeNAS 8.3.1 y posterior no es la misma que la encripción de disco diseñada por Oracle en ZFS v30. Esto significa que no es posible importar volúmenes encriptados de sistemas que esten corriendo el ZFS de Oracle en FreeNAS.
  • Si pierde u olvida la llave maestra de su disco encriptado, todos los datos en el disco seran irrecuperables.
  • Encriptar datos al vuelo puede ser costos en terminos de rendimiento. Intel, en sus CPUs i5 e i7, yAMD, en sus núcleos Bulldozer y Piledriver, han agregado un nuevo juego de instrucciones de encripción AES  para algunos de sus procesadores. Sin estas instrucciones AES usted sufrirá un impacto negativo