UM Arquitectura Seguridad 201112

ARQUITECTURA DE SEGURIDAD PARA SISTEMAS DE COMUNICACIONES
Asignatura: Seguridad en Redes de Telecomunicaciones Carrera: Ingeniera Civil Electrnica

Diciembre 2011
UNIVERSIDAD
MAYOR
G. Vsquez Y.
Arquitectura de seguridad para sistemas de comunicaciones

Introduccin Objetivos generales Temario
G. Vsquez Y.
Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011
Introduccin
En la industria de telecomunicaciones, ha aumentado ltimamente el
nmero de productos que se combinan para ofrecer una solucin global.
En la actualidad, no es suficiente considerar la seguridad separadamente para cada producto o elemento de servicio de telecomunicacin, sino como una combinacin de capacidades de seguridad en la solucin extremo a extremo global. La integracin de distintos proveedores exige una norma de arquitectura de seguridad de red para lograr una solucin satisfactoria.
Por lo anterior, el UIT-T ha definido una arquitectura de seguridad de

red que garantiza la seguridad de comunicaciones extremo a extremo.
Esta arquitectura puede aplicarse a distintas clases de redes en las que hay que garantizar la seguridad extremo a extremo, siendo indiferente la tecnologa de red subyacente.
En esta presentacin, se define los elementos de seguridad generales

de la arquitectura de red del UIT-T que son necesarios para garantizar la seguridad extremo a extremo si son empleados correctamente.
G. Vsquez Y. Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011
Objetivos generales
Explicar los requisitos y el nuevo enfoque de la seguridad de las
comunicaciones de extremo a extremo. Identificar las variadas amenazas a la seguridad de las comunicaciones y relacionarlas con las principales contramedidas usadas para mitigar los riesgos consecuentes. Describir los elementos centrales de la Arquitectura de Seguridad de redes formalizada por el UIT-T. Explicar la metodologa de aplicacin de la Arquitectura de Seguridad de redes en el marco de un programa de seguridad.
G. Vsquez Y.
Temario
1. 2. 3. 4. 5. Concepto seguridad de redes de comunicaciones Amenazas y ataques a la seguridad de las comunicaciones Arquitectura de Seguridad de redes Aplicacin de la Arquitectura de Seguridad de redes Servicios y mecanismos de seguridad Bibliografa
Presentaciones personalizadas:
1) <Arquitectura de seguridad Nociones>. 2) <Arquitectura de seguridad Abreviada>.
G. Vsquez Y.
1. CONCEPTO SEGURIDAD DE REDES DE COMUNICACIONES

Antecedentes. Conceptos generales
G. Vsquez Y.
Seccin 1 Concepto Seguridad de Redes de Comunicaciones

Contenido:
1.1 Antecedentes. 1.2 Conceptos generales de la seguridad de redes.
Objetivos:
Sealar los requisitos clave para
ofrecer garantas de seguridad de las comunicaciones de extremo a extremo. Explicar la utilidad de una arquitectura de seguridad de red en el diseo e implementacin de soluciones de comunicacin de extremo a extremo, en que participan mltiples operadores/proveedores y suministradores.
G. Vsquez Y.
1.1 Antecedentes
G. Vsquez Y.
Requisitos de la seguridad en la industria de las telecomunicaciones

Las industrias de las telecomunicaciones y las tecnologas de la informacin necesitan soluciones de seguridad completas y rentables. Para ofrecer una red segura se requiere:
una proteccin contra ataques malintencionados o imprevistos; garantizar condiciones de alta disponibilidad, tiempo de respuesta apropiado, fiabilidad, integridad y adaptacin a otra escala; y proporcionar informacin exacta para facturacin.
Las capacidades de seguridad en los productos de los

proveedores son esenciales para la seguridad general de la red (que incluye las aplicaciones y los servicios).
G. Vsquez Y.
Nuevo enfoque de la seguridad en la industria de las telecomunicaciones

Ha aumentado el nmero de productos que se combinan para ofrecer una solucin global, por lo que la compatibilidad entre productos determinar si la solucin es satisfactoria. En la actualidad No es suficiente considerar la seguridad separadamente para cada producto o servicio. La seguridad debe ser considerada e implementada como una combinacin de capacidades de seguridad en la solucin extremo a extremo global. La integracin de distintos proveedores exige una norma de arquitectura de seguridad de red para lograr una solucin satisfactoria.
G. Vsquez Y.
10
1.2 Conceptos generales de la seguridad de redes
G. Vsquez Y.
11
Concepto seguridad y otros conceptos relacionados

El trmino seguridad se utiliza en el sentido de minimizar las
vulnerabilidades de los bienes y recursos. Un bien es todo elemento de valor. Vulnerabilidad es toda debilidad que pudiera explotarse para violar un sistema o las informaciones que ste contiene. Una amenaza es una violacin potencial de la seguridad. Una amenaza intencional que se concretiza puede considerarse como un ataque.
G. Vsquez Y.
12
Qu debe protegerse en la industria de las telecomunicaciones?

En general, los elementos siguientes pueden necesitar proteccin: Informaciones y datos (incluidos el acervo de conocimientos de la organizacin y los datos pasivos relativos a las medidas de seguridad, tales como las contraseas). Los servicios de comunicacin y de procesamiento de datos. Los equipos y facilidades.
G. Vsquez Y.
13
Fin de la Seccin 1 CONCEPTO SEGURIDAD DE REDES DE COMUNICACIONES
G. Vsquez Y.
14
2. AMENAZAS Y ATAQUES A LA SEGURIDAD DE LAS COMUNICACIONES

Clasificacin de las amenazas y ataques Evaluacin de las amenazas
G. Vsquez Y.
15
Seccin 2 Amenazas y Ataques a la Seguridad de las Comunicaciones

Contenido:
2.1 Clasificacin de las amenazas y ataques. 2.2 Evaluacin de las amenazas.
Objetivos:
Clasificar las amenazas a la seguridad
de las comunicaciones segn intencionalidad y dao resultante de la informacin/infraestructura. Sealar los principales aspectos que es necesario considerar en la evaluacin de las amenazas a la seguridad de las comunicaciones.
G. Vsquez Y.
16
2.1 Clasificacin de las amenazas y ataques
G. Vsquez Y.
17
Amenazas a la seguridad de las comunicaciones

Las amenazas contra un sistema de comunicacin de datos son las siguientes: Destruccin de informacin y/o de otros recursos; Corrupcin o modificacin de informacin; Robo, supresin o prdida de informacin y/o de otros recursos; Revelacin de informacin; Interrupcin de servicios.
G. Vsquez Y.
18
Vulnerabilidades y amenazas a la seguridad de las comunicaciones
AMENAZAS
Destruccin
VULNERABILIDADES
RED O SISTEMA DE COMUNICACIONES
Corrupcin Prdida
Revelacin
Interrupcin
ATAQUES
G. Vsquez Y.
19
Clasificacin de las amenazas

Las amenazas pueden clasificarse segn la intencionalidad y segn el alcance del efecto producido: Amenazas accidentales o amenazas intencionales. Amenazas activas o amenazas pasivas.
G. Vsquez Y.
20
Amenazas accidentales e intencionales

Amenazas accidentales
Las amenazas accidentales son las que existen sin que haya premeditacin.
Ejemplos: fallas del sistema, equivocaciones en la operacin y errores en los programas.
Amenazas intencionales
Las amenazas intencionales son las que se realizan haciendo uso malicioso de medios para lograr deliberadamente objetivos ilcitos. Una amenaza intencional que se concretiza es considerada como un ataque.
Ejemplos: las amenazas intencionales pueden ir desde el examen ocasional, mediante el empleo de instrumentos de monitorizacin de fcil adquisicin, hasta ataques sofisticados, gracias a un conocimiento especial del sistema.
G. Vsquez Y.
21
Amenazas pasivas y activas

Amenazas pasivas
Las amenazas pasivas son las que, si se concretizan, no produciran ninguna modificacin de las informaciones contenidas en el(los) sistema(s) y que no modifican el funcionamiento ni el estado del sistema.
Ejemplo: La interceptacin pasiva para observar informaciones transmitidas por una lnea de comunicaciones.
Amenazas activas
Las amenazas activas contra un sistema conllevan la alteracin de informacin contenida en el sistema, o las modificaciones del estado o de la operacin del sistema.
Ejemplo: La modificacin maliciosa de las tablas de rutas de los nodos de una red de comunicacin por un usuario no autorizado.
G. Vsquez Y.
22
Principales tipos especficos de ataque

Usurpacin de identidad (o impostura). Reproduccin. Modificacin de los mensajes. Negacin de servicio (DoS). Ataques del interior. Ataques del exterior. Trampa. Caballo de Troya.
Ver Pgina de Notas

23
Amenazas a la seguridad
AMENAZAS A LA SEGURIDAD
Amenazas Accidentales Configuraciones desfavorables Equivocaciones Interceptacin pasiva Anlisis de Trfico Amenazas Pasivas
Amenazas Intencionales
Amenazas Activas Impostura Reproduccin Modificacin de mensajes Negacin de servicio Revelacin Ataques del interior
G. Vsquez Y.
25
2.2 Evaluacin de las amenazas
G. Vsquez Y.
26
Evaluacin de amenazas, riesgos y contramedidas (1/2)

La evaluacin de las amenazas, en general, abarca los siguientes aspectos: Identificacin de las vulnerabilidades del sistema. Anlisis de la probabilidad de las amenazas destinadas a explotar estas vulnerabilidades. Evaluacin de las consecuencias que tendra la ejecucin de cada amenaza. Estimacin del costo de cada ataque. Determinacin del costo de posibles contramedidas. Eleccin de mecanismos de seguridad justificados (eventualmente mediante un anlisis de la relacin costo/beneficio).
G. Vsquez Y.
27
Evaluacin de amenazas, riesgos y contramedidas (2/2)

El objetivo de la evaluacin de las amenazas debera ser hacer
que el costo de un ataque sea suficientemente elevado para reducir el riesgo a niveles aceptables.
G. Vsquez Y.
28
Fin de la Seccin 2 AMENAZAS Y ATAQUES A LA SEGURIDAD DE LAS COMUNICACIONES
G. Vsquez Y.
29
3. ARQUITECTURA DE SEGURIDAD DE REDES

Arquitectura de seguridad Dimensiones de la seguridad Capas de seguridad Planos de seguridad
G. Vsquez Y.
30
Seccin 3 Arquitectura de Seguridad de Redes

Contenido:
3.1 3.2 3.3 3.4 Arquitectura de seguridad. Dimensiones de la seguridad. Capas de seguridad. Planos de seguridad.
Objetivos:
Describir la organizacin de la
arquitectura de seguridad de redes: dimensiones, capas y planos de la seguridad. Reconocer los tipos de problemas de la seguridad de las comunicaciones de extremo a extremo que pueden ser abordados con ayuda de las partes centrales de la arquitectura de seguridad de redes.
G. Vsquez Y.
31
3.1 Arquitectura de seguridad
G. Vsquez Y.
32
Arquitectura de Seguridad de redes

El UIT-T est desarrollando actualmente una Arquitectura de Seguridad para enfrentar las amenazas a la seguridad de Proveedores de Servicio, empresas y clientes. Sus caractersticas fundamentales son: Es aplicable a redes para voz, datos y convergentes, basadas en tecnologa inalmbrica, ptica, y conductores metlicos. Trata los asuntos de seguridad para la gestin, control, y uso de las aplicaciones, servicios, e infraestructura de red. Proporciona una perspectiva de la seguridad de red de arriba hacia abajo y de extremo a extremo, y puede ser aplicada a los elementos de red, servicios, y aplicaciones con el fin de detectar, predecir y corregir las vulnerabilidades de la seguridad.
G. Vsquez Y.
33
Organizacin de la Arquitectura de Seguridad

La Arquitectura de Seguridad divide de manera lgica un conjunto complejo de caractersticas relacionadas con la seguridad de la red de extremo a extremo en componentes arquitecturales separados en Capas y Planos. Esta separacin permite aplicar una metodologa sistemtica a la seguridad de extremo a extremo que puede ser usada para la planificacin de nuevas soluciones de seguridad y tambin para evaluar la seguridad de las redes existentes.
G. Vsquez Y.
34
Componentes de la Arquitectura de Seguridad

La Arquitectura de Seguridad trata tres preguntas esenciales relacionadas con la seguridad de extremo a extremo: 1. Qu tipos de protecciones son necesarias y contra cules tipos de amenazas? 2. Cules son los distintos tipos de equipos y agrupaciones de facilidades de red que es necesario proteger? 3. Cules son los distintos tipos de actividades de red que es necesario proteger? Estas tres preguntas son tratadas respectivamente por tres componentes arquitecturales: 1. Dimensiones de la Seguridad. 2. Capas de Seguridad. 3. Planos de Seguridad.
35
3.2 Dimensiones de la Seguridad
G. Vsquez Y.
36
Dimensiones de la Seguridad
Una Dimensin de la Seguridad es un conjunto de medidas de seguridad diseadas para tratar un aspecto particular de la seguridad de red. Se ha identificado 8 Dimensiones de la Seguridad que protegen contra las principales amenazas a la seguridad:
1) 2) 3) 4) 5) 6) 7) 8) Control de Acceso. Autenticacin. No Repudio. Confidencialidad de los Datos. Seguridad de la Comunicacin. Integridad de los Datos. Disponibilidad. Privacidad.
Ver Pgina de Notas

37
Aplicacin de las Dimensiones de la Seguridad
Seguridad de la Comunicacin
Confidencialidad de los Datos
Integridad de los Datos
AMENAZAS
Disponibilidad Privacidad
Destruccin Corrupcin Prdida
Control de Acceso
Autenticacin
VULNERABILIDADES
RED O SISTEMA DE COMUNICACIONES
No repudio
Revelacin
Interrupcin
ATAQUES
8 Dimensiones de la Seguridad
Pulsar sobre los bloques de las 8 Dimensiones de la Seguridad para ver las descripciones
38
Dimensin de Seguridad: 1) Control de Acceso

La dimensin Control de Acceso protege contra el uso no autorizado de los recursos de red. Garantiza que slo se permite que personal o dispositivos autorizados tengan acceso a los elementos de red, informacin almacenada, flujos de informacin, servicios y aplicaciones.
Ver Pgina de Notas

39
Dimensin de Seguridad: 2) Autenticacin

La dimensin Autenticacin sirve para confirmar las identidades de las entidades comunicantes. La autenticacin garantiza la validez de las identidades pretendidas por las entidades participantes en una comunicacin (p. ej. persona, dispositivo, servicio o aplicacin). Garantiza que una entidad no est tratando de realizar una suplantacin o una reproduccin no autorizada de una comunicacin anterior.
Ver Pgina de Notas

40
Dimensin de Seguridad: 3) No Repudio

La dimensin No Repudio proporciona los medios para prevenir que un individuo o entidad niegue haber realizado una accin particular relacionada con los datos, dejando disponibles pruebas de las variadas acciones relacionadas con la red. Garantiza la disponibilidad de evidencia que puede ser presentada a una tercera parte y usada para demostrar que algn tipo de evento o accin ha tenido lugar
Ejemplos de evidencias para no repudio: prueba de obligacin, intento, o compromiso; prueba del origen de los datos, prueba de propiedad, prueba de uso de recursos.
Ver Pgina de Notas

41
Dimensin de Seguridad: 4) Confidencialidad de los Datos

La dimensin Confidencialidad de los Datos protege los datos de una revelacin no autorizada. Garantiza que el contenido de los datos no pueda ser entendido por entidades no autorizadas.
Ejemplos de mtodos usados para proporcionar confidencialidad de los datos: cifrado, listas de control de acceso, y archivos de permisos.
Ver Pgina de Notas

42
Dimensin de Seguridad: 5) Seguridad de la Comunicacin

La dimensin de Seguridad de la Comunicacin garantiza que la informacin fluya slo entre los puntos extremos autorizados. Garantiza que la informacin no es desviada o interceptada durante el recorrido entre esos puntos extremos.
G. Vsquez Y.
43
Dimensin de Seguridad: 6) Integridad de los Datos

La dimensin Integridad de los Datos garantiza la correccin o exactitud de los datos. Los datos son protegidos contra modificacin, eliminacin, creacin, y repeticin no autorizada y proporciona una indicacin de estas actividades no autorizadas.
Ver Pgina de Notas

44
Dimensin de Seguridad: 7) Disponibilidad

La dimensin Disponibilidad garantiza que no haya denegacin de acceso autorizado a elementos de red, informacin almacenada, flujos de informacin, servicios y aplicaciones debido a eventos que impacten a la red. Las soluciones de recuperacin de desastres estn incluidas en esta categora.
G. Vsquez Y.
45
Dimensin de Seguridad: 8) Privacidad

La dimensin Privacidad proporciona la proteccin de la informacin que podra ser obtenida a partir de la observacin de las actividades de la red.
Ejemplos de esta informacin incluyen los sitios web que un usuario ha visitado, la localizacin geogrfica de un usuario, y las direcciones IP y nombres DNS de los dispositivos de una red de un Proveedor de Servicio.
G. Vsquez Y.
46
Asociacin de las Dimensiones de la Seguridad a las Amenazas a la Seguridad

Amenaza a la Seguridad Dimensin de la Destruccin de Corrupcin o Robo, Supresin Informacin o o Prdida de Seguridad Modificacin de
de Otros Recursos S Informacin S Revelacin de Informacin S S S S S S Interrupcin de Servicios
informacin o de Otros Recursos S S
Control de Acceso
Autenticacin No Repudio Confidencialidad de Datos Seguridad de la Comunicacin Integridad de Datos Disponibilidad Privacidad
S S S
S S
S S
G. Vsquez Y.
47
3.3 Capas de Seguridad
G. Vsquez Y.
48
Capas de Seguridad
(1/2)
Para proporcionar una solucin de seguridad de extremo a extremo, las Dimensiones de la Seguridad deben ser aplicadas a una jerarqua de equipos y agrupaciones de facilidades de red, que son denominadas Capas de Seguridad. La Arquitectura de Seguridad define tres Capas de Seguridad:
1) Capa de Seguridad de Infraestructura. 2) Capa de Seguridad de Servicios. 3) Capa de Seguridad de Aplicaciones. Estas capas estn construidas unas sobre otras para proporcionar soluciones basadas en red.
G. Vsquez Y.
49
Capas de Seguridad
(2/2)
La Arquitectura de Seguridad se ocupa del hecho que cada

Capa de Seguridad tiene diferentes vulnerabilidades de seguridad, y ofrece la flexibilidad de contrarrestar las amenazas potenciales de la manera ms adecuada para una Capa de Seguridad particular.
G. Vsquez Y.
50
Aplicacin de las Dimensiones de la Seguridad a las Capas de Seguridad
Capas de Seguridad Seguridad de la Comunicacin Confidencialidad de los Datos

Seguridad de las Aplicaciones
AMENAZAS
Control de Acceso
Autenticacin
VULNERABILIDADES
Seguridad de los Servicios
No repudio
Revelacin
Interrupcin
Seguridad de la Infraestructura
ATAQUES
Pulsar sobre los bloques de las Capas de Seguridad para ver las descripciones
51
Capa de Seguridad de Infraestructura

La Capa de Seguridad de Infraestructura consiste de las facilidades de transmisin de red y tambin de los elementos de red individuales protegidos por las Dimensiones de la Seguridad. La Capa de Infraestructura representa los bloques constituyentes fundamentales de las redes, sus servicios y aplicaciones.
Ejemplos de componentes pertenecientes a la Capa de Infraestructura: enrutadores, conmutadores y servidores individuales; enlaces de comunicacin entre los enrutadores, conmutadores y servidores individuales.
G. Vsquez Y.
52
Capa de Seguridad de Servicios

La Capa de Seguridad de Servicios se ocupa de la seguridad de los servicios que los Proveedores de Servicio suministran a sus clientes. La Capa de Seguridad de Servicios es usada para proteger a los Proveedores de Servicio y sus clientes, pues ambos son objetivos potenciales de amenazas a la seguridad.
Por ejemplo, los agresores pueden intentar anular la capacidad de un Proveedor de Servicio para ofrecer los servicios, o pueden intentar interrumpir el servicio para un cliente individual del Proveedor de Servicio (p. ej., una corporacin).
Ver Pgina de Notas

53
Capa de Seguridad de Aplicaciones

La Capa de Seguridad de Aplicaciones se centra en la seguridad de las aplicaciones basadas en red a las que acceden los clientes de un Proveedor de Servicio. En esta capa existen cuatro objetivos potenciales para los ataques a la seguridad:
La aplicacin de usuario. El proveedor de la aplicacin. La intermediacin proporcionada por terceras partes en el rol de integradores (p. ej., servicios de hosting de sitios web). El Proveedor de Servicio.
Ver Pgina de Notas

54
3.4 Planos de Seguridad
G. Vsquez Y.
55
Planos de Seguridad
Un Plano de Seguridad es un cierto tipo de actividad de red protegida por las Dimensiones de la Seguridad. La Arquitectura de Seguridad define tres Planos de Seguridad para representar los tres tipos de actividades protegidas que tienen lugar en una red:
1) Plano de Gestin. 2) Plano de Control. 3) Plano de Usuario Extremo.
Estos Planos de Seguridad se ocupan de las necesidades de

seguridad especficas asociadas con las actividades de gestin de red, actividades de control de red o sealizacin, y actividades de usuario extremo, respectivamente.
G. Vsquez Y.
56
Arquitectura de Seguridad para la Seguridad de Red de Extremo a Extremo
Capas de Seguridad
Seguridad de las Aplicaciones
Seguridad de la Comunicacin
Confidencialidad de los Datos
AMENAZAS
Control de Acceso
Autenticacin
VULNERABILIDADES
No repudio
Revelacin
Interrupcin
ATAQUES
Plano de Usuario Extremo Plano de Control Plano de Gestin
Pulsar sobre los bloques de los Planos de Seguridad para ver las descripciones
57
Plano de Seguridad de Gestin

El Plano de Seguridad de Gestin se ocupa de la proteccin de las siguientes actividades: Funciones de OAM&P de los elementos de red.
El Plano de Seguridad de Gestin soporta las funciones de Fallas, Capacidad, Administracin, Provisin, y Seguridad (Fault, Capacity, Administration, Provisioning, and Security, FCAPS). La red que transporta el trfico para estas actividades puede estar dentro de banda o fuera de banda con respecto al trfico de usuario del Proveedor de Servicio.
Facilidades de transmisin. Sistemas de Back-Office:

Sistemas de Soporte de Operaciones (Operations Support Systems, OSS), Sistemas de Soporte de Negocio (Business Support Systems, BSS), Sistemas de Atencin al Cliente (Customer Care Systems), etc.,
Centros de datos (Data Center).

58
Plano de Seguridad de Control

El Plano de Seguridad de Control se ocupa de la proteccin de las actividades que permiten la entrega eficiente de informacin, servicios y aplicaciones a travs de la red. Involucra tpicamente comunicacin de informacin entre mquinas (p. ej., conmutadores o enrutadores) que les permite determinar cmo enrutar o conmutar mejor el trfico a travs de la red de transporte subyacente. Este tipo de informacin es denominado algunas veces como informacin de control o sealizacin.
La red que transporta estos tipos de mensajes puede estar dentro de banda o fuera de banda con respecto al trfico de usuario del Proveedor de Servicio.
Ejemplos de trfico de control o sealizacin: protocolos de enrutamiento (dentro de banda), DNS, SIP, Megaco/H.248, SS7 (fuera de banda), etc.
G. Vsquez Y.
59
Plano de Seguridad de Usuario Extremo

El Plano de Seguridad de Usuario Extremo se ocupa de la seguridad del acceso y uso de la red del Proveedor de Servicio por los clientes. Este plano representa tambin los flujos de datos de usuario extremo reales.
Los usuarios extremos pueden usar una red que slo proporciona conectividad, pueden usarla para servicios de valor agregado tales como VPNs, o pueden usarla para acceder a aplicaciones basadas en red.
G. Vsquez Y.
60
Fin de la Seccin 3 ARQUITECTURA DE SEGURIDAD DE REDES
G. Vsquez Y.
61
4. APLICACIN DE LA ARQUITECTURA DE SEGURIDAD DE REDES

Programa y poltica de seguridad Forma tabular de la Arquitectura de Seguridad
G. Vsquez Y.
62
Seccin 4 Aplicacin de la Arquitectura de Seguridad de Redes

Contenido: Objetivos:
4.1 Programa y poltica de seguridad. Sealar el rol que tienen las polticas de seguridad dentro de un programa 4.2 Forma tabular de la Arquitectura de de seguridad de infraestructura, Seguridad. servicios o aplicaciones. Describir la forma tabular de la arquitectura de seguridad de redes, destinada a definir metdicamente objetivos y medidas de seguridad.
G. Vsquez Y.
63
4.1 Programa y poltica de seguridad
G. Vsquez Y.
64
Aplicacin de la Arquitectura de Seguridad

La Arquitectura de Seguridad puede ser aplicada a todos los aspectos y fases de un Programa de Seguridad, y a cualquier tipo de red en cualquier nivel de la pila de protocolos. Un Programa de Seguridad consiste de polticas y procedimientos apoyados por tecnologas, y progresa a travs de tres fases en el transcurso de su ciclo de vida:
1) Fase de Definicin y Planeamiento. 2) Fase de Implementacin. 3) Fase de Mantenimiento.
Ver Pgina de Notas

65
Aplicacin de la Arquitectura de Seguridad a los Programas de Seguridad
Mantenimiento
Capas de Seguridad
Seguridad de las Aplicaciones Control de Acceso Seguridad de la Comunicacin Confidencialidad de los Datos
Implementacin Definiciones y Planeamiento

Programa de seguridad Polticas y Procedimientos
VULNERABILIDADES
AMENAZAS
Destruccin Corrupcin Prdida Revelacin Interrupcin
Autenticacin
No repudio
ATAQUES
Plano de Usuario Extremo
Tecnologa
Plano de Control Plano de Gestin
G. Vsquez Y.
66
Poltica de seguridad: objetivo y alcance

Poltica de seguridad: Conjunto de criterios para la prestacin de servicios de seguridad que establece, en trminos generales, lo que se permite y lo que no se permite, en el campo de la seguridad durante el funcionamiento en general del sistema en cuestin. Una poltica de seguridad no suele ser especfica; indica lo que tiene una importancia capital sin decir precisamente cmo deben obtenerse los resultados deseados.
Una poltica de seguridad fija el nivel mximo de una especificacin de seguridad.
G. Vsquez Y.
67
Poltica de seguridad: Componentes (1/2)

Las polticas de seguridad comprenden dos aspectos, que dependen del concepto de comportamiento autorizado para los usuarios: Autorizacin basada en identidad. Autorizacin basada en reglas.
G. Vsquez Y.
68
Poltica de seguridad: Componentes (2/2)

Poltica de seguridad basada en la identidad. Poltica de
seguridad basada en las identidades y/o atributos de los usuarios, de un grupo de usuarios o entidades que actan en nombre de los usuarios y en los recursos/objetos a que se accede. Poltica de seguridad basada en reglas. Poltica de seguridad basada en reglas globales impuestas a todos los usuarios.
Estas reglas suelen depender de una comparacin de la sensibilidad de los recursos a los que se accede con los atributos correspondientes de los usuarios, de un grupo de usuarios o de entidades que actan en nombre de los usuarios.
G. Vsquez Y.
69
4.2 Forma tabular de la Arquitectura de Seguridad
G. Vsquez Y.
70
Forma tabular de la Arquitectura de Seguridad

La Arquitectura de Seguridad presentada en una forma tabular ilustra una manera metdica para garantizar la seguridad de una red. La interseccin de una Capa de Seguridad con un Plano de Seguridad representa una perspectiva nica para la consideracin de las ocho Dimensiones de la Seguridad y la consecuente definicin de sus objetivos.
Cada uno de los nueve mdulos combina las ocho Dimensiones de la Seguridad que son aplicadas a una Capa de Seguridad particular en un Plano de Seguridad particular. Las Dimensiones de la Seguridad de diferentes mdulos tienen diferentes objetivos y consecuentemente comprende diferentes conjuntos de medidas de seguridad.
G. Vsquez Y.
71
Forma tabular de la Arquitectura de Seguridad Esquema

Capa de Infraestructura Plano de Gestin Plano de Control
Mdulo 1 Mdulo 2
Capa de Servicio
Mdulo 4 Mdulo 5
Capa de Aplicacin
Mdulo 7 Mdulo 8
Control de Acceso: Garantizar que se permita slo al personal o los dispositivos autorizados (p. ej., en el Plano de Autenticacin: Verificar la identidad realizar caso de dispositivos administrados por SNMP)de la persona o Mdulo 3 Mdulo 6 Mdulo 9 dispositivo que realiza gestin sobre el Usuario actividades administrativas o dela actividad administrativa o de gestin sobre el dispositivo de red o dispositivo de red o enlace de comunicacin. enlace de comunicaciones. Esto se aplica a la gestin directa del dispositivo va un Seguridad de Las tcnicas de autenticacin pueden ser requeridas Control puerto especial y una gestin remota del dispositivo de Acceso Comunicacin Mdulo 1: Capa de Infraestructura, Plano parte del Control de Acceso. como de Gestin Dimensin de Seguridad Objetivos de Seguridad Autenticacin Integridad de Datos
Control de Acceso
Autenticacin No Repudio
Confidencialidad de Datos Seguridad de Comunicacin Integridad de Datos Disponibilidad Privacidad
No Repudio Confidencialidad de Datos
G. Vsquez Y.
72
Fin de la Seccin 4 APLICACIN DE LA ARQUITECTURA DE SEGURIDAD DE REDES
G. Vsquez Y.
73
5. SERVICIOS Y MECANISMOS DE SEGURIDAD

Servicios de seguridad Mecanismos de seguridad Seguridad en capas del modelo OSI
G. Vsquez Y.
74
Seccin 5 Servicios y Mecanismos de Seguridad

Contenido:
5.1 Servicios de seguridad. 5.2 Mecanismos de seguridad. 5.3 Seguridad en redes de capa 2.
Objetivos:
Explicar las relaciones entre poltica
de seguridad, servicio de seguridad, y mecanismo de seguridad. Explicar en forma resumida la naturaleza y aplicabilidad de los mecanismos de seguridad ms importantes en comunicaciones. Asociar los servicios de seguridad con los requisitos de seguridad de las capas del modelo OSI.
G. Vsquez Y.
75
5.1 Servicios de seguridad
G. Vsquez Y.
76
Servicios de Seguridad
Control de acceso. Autenticacin.

(1/2)
Autenticacin de entidad par. Autenticacin del origen de los datos. No repudio con prueba del origen. No repudio con prueba de la entrega. Confidencialidad de los datos en modo con conexin. Confidencialidad de los datos en modo sin conexin. Confidencialidad de campos seleccionados.
No repudio.

Confidencialidad de los datos.

Confidencialidad del flujo de trfico.
G. Vsquez Y.
77
Servicios de Seguridad
Integridad de los datos.
(2/2)
Integridad en modo con conexin con recuperacin. Integridad en modo con conexin sin recuperacin. Integridad de campos seleccionados en modo con conexin. Integridad en modo sin conexin. Integridad de campos seleccionados en modo sin conexin.
G. Vsquez Y.
78
5.2 Mecanismos de seguridad
G. Vsquez Y.
79
Mecanismos de seguridad
Una poltica de seguridad puede aplicarse utilizando diversos mecanismos. Segn los objetivos de la poltica de seguridad y los mecanismos utilizados, cada mecanismo puede emplearse solo o combinado con otros mecanismos. En general, un mecanismo pertenecer a una de las tres clases siguientes (que se superponen):

Prevencin. Deteccin. Recuperacin.
G. Vsquez Y.
80
Mecanismos de seguridad especficos

Cifrado Mecanismos de firma digital Mecanismos de control de acceso Mecanismos de integridad de los datos Mecanismos de intercambio de autentificacin Mecanismos de relleno de trfico Mecanismo de control de enrutamiento Mecanismo de notarizacin
G. Vsquez Y.
81
Tcnicas criptogrficas y cifrado

La criptografa es el fundamento de numerosos servicios y mecanismos de seguridad. Pueden utilizarse funciones criptogrficas en el cifrado, el descifrado, la integridad de los datos, los intercambios de autenticacin, el almacenamiento y la verificacin de las contraseas, etc., para ayudar a obtener la confidencialidad, la integridad y/o la autenticacin. El cifrado utilizado en la confidencialidad, transforma los datos sensibles (es decir, los datos que deben protegerse) en datos menos sensibles. En la integridad o la autenticacin, se utilizan tcnicas criptogrficas para computar funciones inforzables.
Ver Pgina de Notas

82
Mecanismos de firma digital

El trmino firma digital designa una tcnica particular consistente en aadir datos a una unidad de datos, o realizar una transformacin criptogrfica de una unidad de datos que permite al recibiente de la unidad de datos probar la fuente y la integridad de la unidad de datos y proteger contra la falsificacin (por ejemplo, por el recibiente). La firma digital puede utilizarse para suministrar servicios de seguridad tales como el no repudio y la autenticacin.
La unidad de datos firmada slo puede ser creada por el tenedor de la clave privada. El recibiente no puede crear la unidad de datos firmada. El expedidor no puede negar haber enviado la unidad de datos firmada.
Los mecanismos de firma digital requieren la utilizacin de

algoritmos criptogrficos asimtricos.
Ver Pgina de Notas
83
Mecanismos de control de acceso

Los mecanismos de control de acceso son los que se utilizan para aplicar una poltica de limitacin del acceso a un recurso a los usuarios autorizados. Estas tcnicas comprenden la utilizacin de listas o de matrices de control de acceso (que por lo general contienen las identidades de los tems controlados y de los usuarios autorizados; estos usuarios son, por ejemplo, personas o procesos). Estas tcnicas utilizan tambin contraseas y capacidades, etiquetas o testigos, cuya posesin puede emplearse para indicar derechos de acceso.
Cuando se utilizan capacidades, stas deben ser inforzables y transportarse de manera segura.
Ver Pgina de Notas

84
Mecanismos de integridad de datos

Los mecanismos de integridad de datos son de dos tipos: Mecanismos que protegen la integridad de una sola unidad de datos; y Mecanismos que protegen a la vez la integridad de una sola unidad de datos y la secuencia de unidades de datos en el curso de una conexin.
Las tcnicas de deteccin de corrupciones, normalmente asociadas a la deteccin de errores de bit, de errores de bloque y de errores de secuenciacin introducidos por los enlaces y redes de comunicacin, pueden emplearse tambin para detectar las modificaciones del flujo de mensajes.
Ver Pgina de Notas

85
Mecanismos de intercambio de autenticacin

La eleccin y las combinaciones de mecanismos de intercambio de autenticacin apropiados para diferentes circunstancias son numerosos. Por ejemplo: Cuando las entidades pares y los medios de comunicacin son fiables, la identificacin de una entidad par puede confirmarse mediante una contrasea. Cuando cada entidad confa en sus entidades pares pero no confa en los medios de comunicacin, puede proporcionarse proteccin contra ataques activos mediante combinaciones de contraseas y cifrado o por medios criptogrficos. Cuando las entidades no confan (o piensan que no podrn confiar en el futuro) en sus entidades pares o en los medios de comunicacin, pueden utilizarse servicios de no repudio.
El servicio de no repudio puede prestarse utilizando un mecanismo de firma digital y/o de notarizacin.
86
Ver Pgina de Notas

Mecanismos de relleno de trfico

La produccin de trfico espurio y el relleno de unidades de datos de protocolo hasta una longitud fija puede suministrar una proteccin limitada contra el anlisis del trfico. Para ser eficaz, el nivel de trfico espurio debe aproximarse al nivel mximo previsto del trfico real ms elevado. Adems, el contenido de las unidades de datos de protocolo debe cifrarse o disfrazarse de modo que el trfico espurio no pueda identificarse y diferenciarse del trfico real.
G. Vsquez Y.
87
Mecanismo de control de enrutamiento

La especificacin de las restricciones de enrutamiento para la transferencia de datos (incluida la especificacin de una ruta completa) puede utilizarse para asegurar que los datos slo se encaminan por rutas fsicamente seguras o para asegurar que las informaciones sensibles slo se encaminan por rutas con un nivel de proteccin apropiado.
Ver Pgina de Notas

88
Mecanismo de notarizacin
El mecanismo de notarizacin se basa en el concepto de un tercero de confianza (un notario) que realiza un registro de datos para garantizar ciertas propiedades relativas a las informaciones intercambiadas entre dos entidades, tales como su origen, su integridad, o la hora en que se enviaron o recibieron.
Ver Pgina de Notas

89
Relacin entre servicios de seguridad y mecanismos de seguridad.

Mecanismo de Seguridad Servicio de Seguridad
Autenticacin de la entidad par Autenticacin del origen de los datos Servicio de control de acceso Confidencialidad en modo con conexin Confidencialidad en modo sin conexin Confidencialidad de campos seleccionados Confidencialidad del flujo de trfico Integridad en modo con conexin con recuperacin Integridad en modo con conexin sin recuperacin Integridad de campos seleccionados en modo con conexin Integridad en modo sin conexin Integridad de campos seleccionados en modo sin conexin por campos selectivos No repudio. Origen No repudio. Entrega
Cifrado S S S S S S S S S S
Firma digital S S
Control Integridad Intercambio Relleno Control de Notarizade de de de enrutamiento cin acceso datos autenticacin trfico S S S S
S S S S S S
S
S S
S
S S S S
G. Vsquez Y.
90
5.3 Seguridad en redes de capa 2
G. Vsquez Y.
91
Servicios de seguridad de redes de capa 2

El UIT-T reconoce que en los entornos de redes de rea local se puede requerir servicios de seguridad de capa de enlace de datos (capa 2) relativos a la autenticacin, control de acceso, confidencialidad e integridad de los datos. En consecuencia, recomienda que la capa de enlace de datos pueda proporcionar los siguientes servicios de seguridad de las redes LAN individualmente o combinados:

Autenticacin de entidad par. Autenticacin del origen de los datos. Servicio de control de acceso. Confidencialidad en modo con conexin. Confidencialidad en modo sin conexin. Integridad en modo con conexin sin recuperacin. Integridad en modo sin conexin.
G. Vsquez Y.
92
Relacin entre los servicios de seguridad y las capas del modelo OSI
Servicio Autenticacin de la entidad par Autenticacin del origen de los datos Capas 1 2 S S 3 S S 4 S S 5 6 7 S S
Servicio de control de acceso

Confidencialidad en modo con conexin Confidencialidad en modo sin conexin S
S
S S
S
S S
S
S S S S
S
S S
Confidencialidad de campos seleccionados

Confidencialidad del tren de datos S S
S
S
Integridad en modo con conexin con recuperacin

Integridad en modo con conexin sin recuperacin Integridad en modo con conexin de campos seleccionados Integridad en modo sin conexin Integridad en modo sin conexin de campos seleccionados No repudio. Origen No repudio. Entrega S S S S
S
S
S
S S
S S S S
G. Vsquez Y.
93
Mecanismos de seguridad de redes de capa 2

Los servicios de seguridad de capa 2 identificados se proporcionan como sigue: Servicio de autenticacin de entidad par:
(1/2)
Proporcionado por una combinacin apropiada de intercambios de autenticacin o protegidos, mecanismos de intercambio derivados criptogrficamente o protegidos, o por mecanismos protegidos de intercambio de contraseas y firmas. Puede proporcionarse por mecanismos de cifrado o de firma digital. Se proporciona mediante el uso apropiado de mecanismos especficos de control de acceso.
Servicio de autenticacin de origen de los datos:
Servicio de control de acceso:
G. Vsquez Y.
94
Mecanismos de seguridad de redes de capa 2

Servicio de confidencialidad en modo con conexin:
(2/2)
Se proporciona mediante un mecanismo de cifrado.

Se proporciona mediante un mecanismo de cifrado. Se proporciona utilizando un mecanismo de integridad de los datos, algunas veces combinado con un mecanismo de cifrado. Se proporciona utilizando un mecanismo de integridad de los datos, algunas veces combinado con un mecanismo de cifrado.
Servicio de confidencialidad en modo sin conexin:
Servicio de integridad en modo con conexin sin recuperacin:
Servicio de integridad en modo sin conexin:
G. Vsquez Y.
95
Fin de la Seccin 5 SERVICIOS Y MECANISMOS DE SEGURIDAD
G. Vsquez Y.
96
BIBLIOGRAFA
G. Vsquez Y.
97
Bibliografa Marco de seguridad OSI

Recomendacin UIT-T X.200 (07/1994), Tecnologa de la
informacin - Interconexin de sistemas abiertos - Modelo de referencia bsico: El modelo bsico. Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad de la interconexin de sistemas abiertos para aplicaciones del CCITT. Recomendacin UIT-T X.802 (04/1995), Tecnologa de la informacin - Modelo de seguridad de capas ms bajas. Recomendacin UIT-T X.803 (07/1994), Tecnologa de la informacin - Interconexin de sistemas abiertos - Modelo de seguridad de capas superiores. Recomendacin UIT-T X.810 (11/1995), Tecnologa de la informacin - Interconexin de sistemas abiertos - Marcos de seguridad para sistemas abiertos: Visin general.
98
Bibliografa Marco de seguridad NGN

Recomendacin UIT-T E.408 (05/2004), Requisitos de seguridad
para las redes de telecomunicaciones. Recomendacin UIT-T X.805 (10/2003), Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo. Recomendacin UIT-T X.1031 (03/2008), Aspectos de la arquitectura de seguridad de usuarios finales y redes en telecomunicaciones. Recomendacin UIT-T Y.2701 (04/2007), Requisitos de seguridad de la versin 1 de la red de prxima generacin. Recomendacin UIT-T Y.2702 (09/2008), Requisitos de autentificacin y autorizacin en las redes de prxima generacin, versin 1. Recomendacin UIT-T Y.2704 (01/2010), Mecanismos y procedimientos de seguridad en las redes de prxima generacin. Recomendacin UIT-T Y.2760 (05/2011), Marco de seguridad de la movilidad en las NGN.
99
Bibliografa Marcos de tecnologas de la seguridad

Recomendacin UIT-T X.1111 (02/2007), Marco de tecnologas de
la seguridad para redes domsticas. Recomendacin UIT-T X.1121 (04/2004), Marco general de tecnologas de seguridad para las comunicaciones mviles de datos de extremo a extremo. Recomendacin UIT-T X.1161 (05/2008), Marco para comunicaciones seguras entre pares. Recomendacin UIT-T X.1162 (05/2008), Arquitectura y operaciones de seguridad para redes entre pares. Recomendacin UIT-T X.1191 (02/2009), Requisitos funcionales y arquitectura de los aspectos relativos a la seguridad de la TVIP. Recomendacin UIT-T X.1311 (02/2011), Tecnologa de la informacin Marco de seguridad para red de sensores ubicuos. Recomendacin UIT-T X.1081 (04/2004), El modelo telebiomtrico multimodal - Marco para la especificacin de los aspectos de la telebiometra relativos a proteccin y seguridad.
100
Fin de la BIBLIOGRAFA
G. Vsquez Y.
101
Fin de la Presentacin ARQUITECTURA DE SEGURIDAD PARA SISTEMAS DE COMUNICACIONES
G. Vsquez Y.
102

UM Arquitectura Seguridad 201112

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

UM Arquitectura Seguridad 201112

Загружено:

Авторское право:

Доступные форматы

ARQUITECTURA DE SEGURIDAD PARA SISTEMAS DE COMUNICACIONES

Asignatura: Seguridad en Redes de Telecomunicaciones Carrera: Ingeniera Civil Electrnica

Arquitectura de seguridad para sistemas de comunicaciones

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Por lo anterior, el UIT-T ha definido una arquitectura de seguridad de

En esta presentacin, se define los elementos de seguridad generales

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

1. CONCEPTO SEGURIDAD DE REDES DE COMUNICACIONES

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Seccin 1 Concepto Seguridad de Redes de Comunicaciones

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Requisitos de la seguridad en la industria de las telecomunicaciones

Las capacidades de seguridad en los productos de los

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Nuevo enfoque de la seguridad en la industria de las telecomunicaciones

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

1.2 Conceptos generales de la seguridad de redes

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Concepto seguridad y otros conceptos relacionados

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Qu debe protegerse en la industria de las telecomunicaciones?

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Fin de la Seccin 1 CONCEPTO SEGURIDAD DE REDES DE COMUNICACIONES

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

2. AMENAZAS Y ATAQUES A LA SEGURIDAD DE LAS COMUNICACIONES

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Seccin 2 Amenazas y Ataques a la Seguridad de las Comunicaciones

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

2.1 Clasificacin de las amenazas y ataques

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Amenazas a la seguridad de las comunicaciones

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Vulnerabilidades y amenazas a la seguridad de las comunicaciones

RED O SISTEMA DE COMUNICACIONES

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Clasificacin de las amenazas

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Amenazas accidentales e intencionales

Ejemplos: fallas del sistema, equivocaciones en la operacin y errores en los programas.

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Amenazas pasivas y activas

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Principales tipos especficos de ataque

Ver Pgina de Notas

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

2.2 Evaluacin de las amenazas

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Evaluacin de amenazas, riesgos y contramedidas (1/2)

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Evaluacin de amenazas, riesgos y contramedidas (2/2)

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Fin de la Seccin 2 AMENAZAS Y ATAQUES A LA SEGURIDAD DE LAS COMUNICACIONES

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

3. ARQUITECTURA DE SEGURIDAD DE REDES

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Seccin 3 Arquitectura de Seguridad de Redes

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

3.1 Arquitectura de seguridad

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Arquitectura de Seguridad de redes

Seguridad en redes de telecomunicaciones. Ingeniera Civil Electrnica 2011

Organizacin de la Arquitectura de Seguridad