Telecomunicaciones Utcd Mayo 2006

viernes, junio 09, 2006

INTRODUCCIÓN


EN ESTE MATERIAL SE PROPORCIONA UNA VISIÓN GLOBAL DE LOS ASPECTOS DE SEGURIDAD DE LAS TELECOMUNICACIONES Y DE LAS TECNOLOGÍAS DE LA INFORMACIÓN SE DESCRIBEN ASPECTOS PRACTICOS Y SE INDICA COMO SE ESTUDIAN EN EL UIT-T . LOS DIVERSOS ASPECTOS DE SEGURIDAD DE LAS APLICACIONES ACTUALES.

TAMBIEN LOS ASPECTOS DE SEGURIDAD RELATIVOS A MULTIMEDIO Y VOIP. LOS REQUISITOS DEL MARCO DE SEGURIDAD, LAS DIFERENTES CAPAS DE SEGURIDAD Y POR ULTIMO LAS AMENAZAS, VULNERABILIDAD Y RIESGOS.

………..

& ARQUITECTURA Y DIMENSIONES BASICAS DE SEGURIDAD

La arquitectura de seguridad se define teniendo en cuenta dos conceptos principales, a saber las capas y los planos .Las capas de seguridad tienen que ver con los requisitos aplicables alo elementos de red y sistema que constituyen la red extremo a extremo. El sistema de capas proporciona una jerarquía de la seguridad extremo a extremo de la red basada en la seguridad capa por capa.

Hay tres capas de seguridad:

-La capa de infraestructura -La capa de servicios y -La capa de aplicaciones

Ø VENTAJAS:

Unas de las ventajas del modelo es que garantiza la seguridad extremo a extremo aun cuando se utilicen diferentes aplicaciones. Cada capa tiene sus vulnerabilidades y, por tanto sean de definir medidas para contrarrestarlas en cada una de ellas. La capa de infraestructura comprende los dispositivos de transmisión de red, así como los elementos que la compone. Por ejemplo: son parte de dicha capa los encaminadores, los centros de conmutación y los servidores, así como los enlaces de comunicación entre ellos. La capa de servicios tienen que ver con la seguridad de los servicios de red que los proveedores prestan a sus clientes, yendo desde servicios básicos de transporte y conectividad, como las líneas arrendadas, hasta los servicios de valor añadido como la mensajeria instantánea. La capa de aplicación tiene que ver con la seguridad de las aplicaciones de red a las que acceden los usuarios, y que van desde las básicas como el correo electrónico hasta las sosificadas colaboración en video, en la que se utilizan transferencia de video mucho mas elaboradas, por ejemplo para la prospección petrolera, el diseño de automóviles, etc

Ø PLANOS DE SEGURIDAD:

Tiene que ver con la seguridad de las actividades que se efectúan en una red. Para ello se definen tres planos de seguridad que representan los tres tipos de actividades protegidas que se realizan en ellas.

1. El plano de gestión

2. El plano de control

3. El plano usuario de extremo

Estos planos de seguridad corresponden a necesidades de seguridad particulares relativas a las actividades de gestión de red, control red o señalización, así como a las de usuario de extremo.

El plano de seguridad de gestión tiene que ver con las actividades (OAM&P) relacionados con, por ejemplo configuración de un usuario o de una red, y otras. El plano de seguridad de control se relaciona con los aspectos de señalización necesarios para establecer y modificar la comunicación extremo a extremo a través de la red, sin importar el medio y la tecnología utilizados en ella. El plano de seguridad de usuario de extremo tiene que ver con la seguridad cuando se accede y utiliza la red; en este plano también se considera la seguridad de flujos de datos del usuario extremo.

Ø AUTENTICACIÓN.

La autenticación consiste en probar la veracidad de la identidad reclamada por una entidad por una entidad. En este contexto se consideran entidades no solamente a las personas sino también los mecanismos, servicios y aplicaciones. Con la autenticación se pretende también garantizar que una entidad no este tratando de usurpar una entidad o de emitir una respuesta no autorizada a una comunicación previa.

Ø EXISTEN DOS TIPOS DE AUTENTICACIÓN

1. La autenticación de origen de datos: Es decir aquella necesaria en caso de asociación orientada a la conexión.

2. La autenticación de entidad par: Es decir aquella presente en una asociación sin conexión. La red debe garantizar que se establece un intercambio de datos con la entidad par destinataria y no con una que trate de suplantar la identidad o de responder a una comunicación previa, y que el origen de los datos sea el que se reclama. En general tras la identificación viene la autenticación. La red debe proteger la información que se utiliza para la identificación, la autenticación y la autorización.

Ø Integridad de datos

Propiedad que consisten en que los datos no han sido alterados de una manera no autorizada. Además la integridad de los datos garantiza que la información esté protegida contra las siguientes operaciones no autorizadas: modificación, supresión, creación, y copia de los datos

.

LA SEGURIDAD DE LAS TELECOMUNICACIONES Y LAS TECNOLOGÍAS DE LA INFORMACIÓN

Ø Vulnerabilidades, amenazas y riesgos

La dimensión de seguridad comunicación es una nueva dimensión que se define en la Rec. UIT-T X.805 y que garantiza que los flujos de información sólo circulan entre los puntos extremos autorizados. Está relacionada con las medidas para controlar los flujos de tráfico de red tendientes a evitar la desviación y la interceptación de la información que circula.

La dimensión de seguridad disponibilidad garantiza que una interrupción de la red no impida el acceso autorizado a los elementos de ésta, la información almacenada, los flujos de información, los servicios y las aplicaciones. Esta categoría incluye soluciones para recuperación en caso de desastre y para restablecimiento de la red.

Ø Vulnerabilidades, amenazas y riesgos

Suele ocurrir que ante el imperativo deseo de poner en marcha la solución IT más ventajosa o de querer determinar cuál de las últimas aplicaciones, servidores y bases de datos en Internet se acomodan mejor a los objetivos de una organización, se deje en un segundo plano la protección de la información que contienen todos estos elementos. Es probable que en muchas empresas se piense erróneamente que al no haber sido aún víctimas de algún intento de ataque, no existe ninguna amenaza para ellos.

Los organismos de normalización poseen capacidades y responsabilidades únicas para tratar el tema de las vulnerabilidades de la seguridad en los protocolos. Hay algunas medidas inmediatas y relativamente simples que éstos pueden emprender a fin de mejorar la seguridad de todos los protocolos que se están normalizando actualmente.

-Una vulnerabilidad de seguridad es un defecto o debilidad en el diseño, implementación o funcionamiento de un sistema que podría ser utilizado para violar su seguridad (RFC 2828).

Una vulnerabilidad de seguridad no es un riesgo, amenaza o ataque

Ø HAY CUATROS TIPOS DE VULNERABILIDADES:

1. Vulnerabilidad modelo de amenaza, que resulta de la dificultad para prever amenazas futuras

2. Vulnerabilidad diseño y especificación, producida de errores o descuidos en el diseño del protocolo que lo hacen inherentemente vulnerables por ejemplo(la norma WEP 802.11b del IEEE, también conocida como WiFi)

3. Vulnerabilidad implementación, que se produce como resultado de errores en la implementación del protocolo

4. Vulnerabilidad funcionamiento y configuración, que resulta de la utilización errónea de opciones en las implementaciones o de políticas insuficientes de instalación (por ejemplo, cuando el administrador de red no facilita la utilización de la criptación en una red WiFi, o cuando escoge un cifrado de trenes que no es suficientemente robusto).

Ø AMENAZA DE SEGURIDAD:

Una amenaza de seguridad es una violación potencial de la seguridad, que puede ser activada, es decir que existe la posibilidad de un cambio deliberado y no autorizado del estado del sistema, o, pasiva, cuando hay amenaza de revelación no autorizada de la información sin que se modifique el estado del sistema. Ejemplos de amenaza de seguridad activa son: -La usurpación de identidad, como entidad autorizada, y la negación de servicios. Otro ejemplo de amenaza pasiva:- Es las escuchas clandestinas tendientes a robar contraseñas no criptazas. Estas amenazas pueden provenir de piratas informáticos, terroristas, vándalos, del crimen organizados, o pueden tener origen en alguna entidad estatal, pero en muchas ocasiones provienen del interior mismo de la organización.

Ø RIESGOS DE SEGURIDAD

Un riesgo de seguridad ocurre cuando se combinan una vulnerabilidad y una amenaza de seguridad.

Por ejemplo: Un problema de programación que origine desbordamientos en una aplicación del sistema operativo(es decir una vulnerabilidad) que se asocie con el conocimiento de un pirata, y las herramientas y acceso correspondientes(Es decir, una amenaza) puede degenerar en un riesgo de ataque al servidor Internet

Ø LAS CONSECUENCIAS SON:

Las consecuencias de los riesgos de seguridad son las pérdidas, y corrupción de datos, la pérdida de privacidad, el fraude, el tiempo fuera de servicio y la disminución de la confianza del público.

Ø REQUISITOS DEL MARCO DE SEGURIDAD.

Aunque las amenazas cambien, siempre habrá vulnerabilidad de seguridad durante toda la vida de un protocolo. Si se trata de protocolos normalizados, los riesgos de seguridad basados en protocolos pueden ser bastante importantes y de escala global, por lo que es importante entender e identificar las vulnerabilidades en los protocolos.

Los requisitos necesarios para contar con un marco de seguridad de red genérico se originan de cuatro fuentes diferentes:

  1. Los clientes/ abonados deben confiar en la red y los servicios que ofrece, incluida la disponibilidad de estos( en particular, los de urgencias) en caso de grandes catástrofe( incluido los atentados terroristas)
  2. Las autoridades exigen un nivel de seguridad mediante normas y leyes, a fin de garantizar la disponibilidad de los servicios, la libre competencia y proteger la privacidad.
  3. Los operadores de red y los proveedores de servicios necesitan seguridad para salvaguardar su funcionamiento e intereses comerciales, y cumplir con sus obligaciones ante los clientes y el público.

COMBIENE QUE LOS REQUISITOS DE SEGURIDAD DE LAS REDES Y SERVICIOS DE TELECOMUNICACIONES SE BASEN EN:

- Normas de seguridad internacionalmente aceptadas, puesto que así se incremente el

Interfuncionamiento y se evita la duplicación de esfuerzos. Puede ocurrir que la prestación y utilización de servicios y mecanismos de seguridad sea bastante costosa con respecto al valor de las transacciones que se protegen, por lo que debe encontrarse un equilibrio entre el costo de las medidas de seguridad y los efectos financieros potenciales de posibles fallos en ella. Siendo así, es importante ser capaz de adaptar la seguridad disponible con los servicios que se protegen, y para ello se deben suministrar mecanismos y servicios de seguridad que permitan dicha adaptación. Debido a la gran

Cantidad de combinaciones posibles de las características de seguridad, cabe esperar que haya perfiles de seguridad que cubran una amplia gama de servicios de redes de telecomunicaciones.

- Gracias a la normalización, se podrán reutilizar más fácilmente las soluciones y productos, lo que implica lograr la seguridad de una manera más rápida y a un menor costo

- Tanto los fabricantes como los usuarios de sistemas gozan de importantes beneficios gracias a las soluciones normalizadas: la economía de escala en el desarrollo del producto y el interfuncionamiento de los componentes en la red de telecomunicaciones en lo que respecta a la seguridad.

- Los servicios y mecanismos de seguridad que se pueden suministrar a las redes de telecomunicaciones o a los proveedores de servicios tienen que ver con la protección contra ataques malintencionados, como por ejemplo la negación de servicio, la escucha clandestina, la simulación, la manipulación de mensajes (modificación, retardo, supresión, inserción, reenvío, reencaminamiento, encaminamiento erróneo, o reordenamiento de mensajes), el repudio o la falsificación. La protección incluye la

prevención, detección y recuperación tras ataques, medidas para prever cortes de servicio debido a eventos naturales (clima, etc.) así como la gestión de la información relativa a la seguridad. Es necesario prever disposiciones que permitan la intercepción legal cuando las autoridades correspondientes así lo demanden.

Ø LA SEGURIDAD DE LAS TELECOMUNICACIONES Y LAS TECNOLOGÍAS DE LA INFORMACIÓN

PKI y gestión de privilegios según el marco para los certificados de claves públicas y de atributos

La infraestructura de clave pública (PKI) y los marcos para los certificados de clave publica y de atributos proporciona una norma para autenticación robusta, que se basa en certificados de clave pública y en autoridades de certificación.

Gracias a ella se tiene una metodología adaptable para autenticar los mensajes entre las partes que se comunican. Una PKI está compuesta fundamentalmente por la tecnología de criptografía de clave pública, por lo que ésta se describe en primera instancia. Además, en el marco para los certificados de clave publica y de atributos también se propone una infraestructura de gestión de privilegios (PMI), que define una norma para la autorización robusta basándose en certificados de atributos y autoridades de atributos. Esta infraestructura se utiliza para establecer los derechos y privilegios de los usuarios. En la figura se muestran los componentes de la PKI y la PMI.

LA SEGURIDAD DE LAS TELECOMUNICACIONES Y LAS TECNOLOGÍAS DE LA INFORMACIÓN

Ø Aplicaciones

-VoIP con sistemas de comunicación multimedios basados en paquetes

La VoIP, también conocida como telefonía IP, consiste en la prestación de los servicios que tradicionalmente se ofrecen a través de la red telefónica pública conmutada (RTPC) con conmutación de circuitos mediante una red que utilice el protocolo IP (en el que también se basa la Internet). Estos servicios incluyen antes que nada el tráfico de voz, y los servicios suplementarios correspondientes tales como la conferencia vocal (puenteada), reenvío de llamada, llamada en espera, multilínea, desviación de llamada, depósito y extracción de llamada, consulta, y seguimiento de llamada, entre otros servicios de red inteligente, y así como para algunos datos de la banda vocal. La voz por Internet es un caso particular de la VoIP, en el que el tráfico vocal se hace pasar a través de la red troncal pública de Internet.

-Los sistemas de comunicación multimedios basados en paquetes es una Recomendación UIT-T general que proporciona los fundamentos de las comunicaciones de audio, vídeo y datos por redes de área local (LAN), o a través de redes basadas en el IP, incluida Internet, que no proporcionan una calidad de servicio (QoS) garantizada. Este tipo de redes son las que se imponen en la industria hoy en día y entre ellas se encuentran las redes TCP/IP con conmutación de paquetes y la IPX por Ethernet, Ethernet rápido y las tecnologías de red en anillo con paso de testigo (token ring). Al conformarse a la Rec. UIT-T de la comunicación multimedios basados en paquetes, los productos y aplicaciones multimedios de los diferentes fabricantes pueden ínter funcionar entre ellos, permitiendo así que los usuarios se comuniquen sin tener que preocuparse por los aspectos de compatibilidad. El primer protocolo VoIP que se definió fue la comunicación multimedios basados en paquetes, considerado como la piedra angular de los productos basados en las LAN para aplicaciones destinadas al usuario individual, a las empresas, al entretenimiento y a los profesionales

Ø SISTEMAS MULTIMEDIOS BASADOS EN PAQUETES Y CASOS DE IMPLEMENTACION.

En dicha Recomendación se definen cuatro componentes principales de un sistema de comunicaciones basado en redes: terminales, pasarelas, controladores de acceso y unidades de control multipunto. Además, se permiten los elementos de frontera o pares .En la figura se puede ver todos estos elementos.

Ø Aspectos de seguridad relativos a multimedios y VoIP

Al estar geográficamente distribuidos y debido a la naturaleza abierta de las redes IP, todos los elementos de un sistema de comunicación multimedio están expuestos a amenazas, como se muestra en la figura