Professional Documents
Culture Documents
FNI/ELT-ETN/UT 3
Ver.
Pag.
SEMESTRE I/2014
Contenido:
3.1. Introduccin.
3.2. Arquitectura de Seguridad para Redes de Telecomunicacin.
3.3. Sistemas de Gestin de Seguridad de Redes de Telecomunicaciones.
2014
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
3.1. INTRODUCCIN.
La industria de las telecomunicaciones y de la informacin est trabajando en busca de
nuevas soluciones de seguridad que puedan ser aplicadas a cualquier tipo de red, servicios y
aplicaciones. Para lograr esto, en un mundo tan heterogneo en cuanto a fabricantes,
proveedores y clientes, se requiere del trabajo con soluciones estndares.
Hasta el momento, se han desarrollado un grupo de normas de seguridad para el entorno de
las telecomunicaciones a partir de los enfoques de la Gestin de la Informacin y de la
Gestin de Redes. Desde la precursora del Sector de Normalizacin de la Unin
Internacional de Telecomunicaciones (UIT-T), incluyendo la ISO 270012 de la International
Standard Organization, se han definido conceptos, arquitecturas y esquemas de trabajo, que
han sido adoptados en alguna medida por los operadores de redes de telefona, de video y
de datos, en busca de asegurar el funcionamiento de sus sistemas.
3.2. ARQUITECTURA DE SEGURIDAD PARA REDES DE TELECOMUNICACION
A partir de todo el anlisis realizado sobre las normas de trabajo existentes, las
caractersticas de las redes de telecomunicaciones actuales, las tendencias de los problemas
y las soluciones de seguridad y de la experiencia de los autores, se propone una Arquitectura
de Seguridad para redes de Telecomunicaciones. Ver Figura 1.
Esta arquitectura constituye un modelo de trabajo general, sencillo y flexible, para las tareas
de Planificacin, Implantacin y Mantenimiento de la seguridad. Adems, integra un grupo de
componentes que contemplan los aspectos ms importantes inherentes a la seguridad de las
redes:
-
Modelo de Amenazas. Compuesto por los grupos de amenazas a las que estn
expuestas las redes de telecomunicaciones y sus elementos (dispositivos, servicios e
informacin).
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
Este Modelo de Amenazas no tiene que ser asumido de forma rgida. Lo ms recomendable
es realizar un anlisis en cada red, servicio, aplicacin u otros, para determinar aquellos
grupos de amenazas que mejor se corresponden a cada caso.
3.2.2. Estructura modular de la Red
Este componente representa la red que se pretende proteger o en la cual se persigue
gestionar la seguridad mediante el empleo de la Arquitectura de Seguridad propuesta.
Empleando este componente se pueden analizar las caractersticas propias de la red como
son: funcionalidades, dispositivos, versiones de software, protocolos, servicios,
vulnerabilidades y otros.
La representacin de la red de telecomunicaciones se realiza mediante una estructura
modular que generalmente responde a la arquitectura funcional de la red y a las actividades
fundamentales que en ella se desarrollan.
Por ejemplo, todos los servicios y mecanismos de seguridad se definen para la arquitectura
de comunicaciones OSI (Open Systems Interconnect). La estructura modular de ese caso
pudiera utilizar la clsica arquitectura de siete capas para representar la red que se pretende
Docente: Ing. Roly Chvez Villca
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
Tercero. Obtener el registro de cada accin o evento que tenga lugar en la red de
telecomunicaciones. Estos registros deben servir para contrarrestar el repudio de eventos por
parte de los usuarios.
Cuarto. Limitar el acceso a los elementos de la red para que slo sean accedidos por los
usuarios y sistemas autorizados.
Quinto. Restringir los privilegios de modificacin de los elementos que componen la red, y en
particular la informacin, slo a los usuarios y sistemas autorizados.
Sexto. Lograr el acceso continuo de los usuarios y sistemas a todos los elementos de la red
a los cuales estn autorizados.
El primer objetivo se refiere a la capacidad de que todas las entidades (usuarios y sistemas)
que forman parte y utilizan la red de telecomunicaciones, tengan identidad propia,
comprobable y autntica. Las entidades son todos los elementos activos e inteligentes de la
red y estn identificadas, en la mayor parte de los casos, por cuentas de usuario.
El segundo objetivo se refiere a la necesidad de establecer los niveles de autorizacin para
cada accin que se ejecute en la red. Todas las entidades deben tener privilegios especficos
y estos deben ser verificados en cada accin.
El tercer objetivo se refiere a la necesidad de generar evidencias vlidas de la actividad que
tiene lugar en las redes.
Para generar estas evidencias se utilizan fundamentalmente los mecanismos de registro de
eventos o trazas y la certificacin digital.
El cuarto objetivo se refiere al control que se establece para que las diferentes entidades slo
tengan acceso a los recursos a los cuales estn autorizados. En el caso particular de la
informacin, se trata directamente de los problemas de confidencialidad.
El quinto objetivo, se refiere al control de la integridad de los elementos de la red. Lograr este
objetivo redunda en la eliminacin de posibles robos de identidad, modificaciones,
duplicaciones o falsificaciones.
El ltimo objetivo se refiere, esencialmente, a mantener la disponibilidad de los elementos de
la red para aquellas entidades que estn autorizadas a utilizarlos.
Estos seis objetivos bsicos deben regir las implementaciones de seguridad en las redes de
telecomunicaciones. En cada empresa u organizacin deben adaptarse al objeto social y a
las caractersticas de la red que se pretende proteger. Son aplicables en todas las tareas de
desarrollo de la red, incluyendo el diseo e implantacin de servicios y la construccin de
aplicaciones.
3.2.3.2. Dimensiones de Seguridad para las Redes de Telecomunicaciones.
Segn la UIT, una Dimensin de seguridad es un conjunto de medidas que responden a un
determinado aspecto de la seguridad de red. Las dimensiones de seguridad incluyen la
infraestructura de la red, las aplicaciones y la informacin del usuario. Adems, son
Docente: Ing. Roly Chvez Villca
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
aplicables por los proveedores de servicios y por las empresas que ofrecen asistencias de
seguridad a sus clientes.
En la Arquitectura de Seguridad que proponen los autores de este trabajo se reutiliza y
ampla el concepto de Dimensiones de seguridad. Se ha considerado que un grupo de
Dimensiones de seguridad est dirigido a hacer cumplir los Objetivos de seguridad
establecidos para una red o servicio de telecomunicaciones. Una dimensin agrupa
mecanismos de seguridad, los cuales se materializan en diferentes herramientas de software
y hardware e incluso, en las polticas y procedimientos de trabajo que se establezcan.
Las Dimensiones de seguridad correctamente definidas e implementadas, se convierten en
centro de atencin de la gestin de seguridad. Del anlisis de los Objetivos bsicos de
seguridad definidos anteriormente se derivan directamente las Dimensiones de seguridad
siguientes: Autenticacin, Control de Acceso, No Repudio, Confidencialidad, Integridad y
Disponibilidad.
La redefinicin planteada para la dimensin de Confidencialidad, induce a realizar la misma
aclaracin para el caso de la Integridad. Esta, de igual forma, debe abarcar toda la
informacin que se genera, almacena y transmite a travs de la red.
El grupo de Dimensiones propuesto permite obtener una arquitectura ms general, aplicable
a todas las redes de telecomunicaciones actuales, desde las redes de datos tradicionales
hasta las NGN.
3.2.3.3. Mecanismos de Seguridad.
En ninguna de las recomendaciones de la UIT-T, existe una definicin exacta de lo que
representa un Mecanismo de seguridad. Para el trabajo con la Arquitectura de Seguridad que
se propone en este artculo, se introduce la definicin que sigue: un mecanismo de seguridad
es un conjunto de soluciones tecnolgicas (hardware, software y/o su combinacin) y/o de
procesos (polticas y procedimientos) de seguridad, que persiguen un mismo objetivo.
Resulta muy difcil elaborar una lista de mecanismos que satisfaga todos los conceptos y
visiones que poseen especialistas, cientficos y tcnicos. Lo que si puede afirmarse es que
los Mecanismos de seguridad requieren ser actualizados, debido al desarrollo tecnolgico
incorporado a los dispositivos y servicios, la amplia dependencia que estos tienen del
software, y a otros aspectos que en la actualidad caracterizan las redes de
telecomunicaciones y las soluciones de seguridad. Una propuesta de Mecanismos de
seguridad es la siguiente:
-
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
Revisar de forma constante los cambios que se pueden producir en las amenazas que
existen sobre la red a proteger.
Revisar permanentemente las variaciones en las caractersticas de la red
(dispositivos, servicios, protocolos, vulnerabilidades y otros).
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
Fig. 2 Relacin entre los Sistemas de Gestin de Seguridad y la Arquitectura de Seguridad para redes de Telecomunicacin
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
Por otra parte, las caractersticas fundamentales del SGS-T en forma resumida son:
-
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
10
En general, las tareas que componen este grupo son las siguientes:
- Planificacin
- Implantacin
10
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
11
3.3.2. Administracin
La tarea fundamental de este grupo es mantener un monitoreo constante del funcionamiento
de todas las soluciones de seguridad implantadas en el SGS-T. En forma resumida, tiene los
siguientes objetivos:
-
11
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
12
12
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
13
A partir de los resultados que arrojen los Diagnsticos y las Auditorias se realizan
actualizaciones a la Planificacin e Implantacin de la seguridad de la red. Adems, puede
ofrecerse una categora de certificacin del elemento evaluado.
Las tareas de este grupo pueden ser realizadas por personal interno o externo a la
organizacin.
No obstante, se recomienda que la entidad (sobre todo en los casos de operadores y
proveedores de servicios), tomando en cuenta la frecuencia, importancia y nivel de
confidencialidad de estas tareas, posea personal preparado para ejecutarlas.
Los Diagnsticos y Auditorias de seguridad se recomiendan principalmente en los siguientes
casos:
-
Por otra parte, basado en los resultados de los Diagnsticos y Auditorias se pueden emitir
diferentes grupos de certificaciones:
-
Los contratos de los operadores o proveedores con sus clientes deben implicar niveles de
seguridad certificados en los servicios que ofrecen.
3.3.4. Respuesta a Incidentes (RI)
An con la mejor gestin de seguridad en redes y sistemas no se puede garantizar la
ausencia de intrusiones u otro acto malicioso. Resulta crtico para cualquier entidad tener
mtodos efectivos de respuesta cuando ocurre un incidente de seguridad.
La capacidad de una organizacin para prevenir, detectar, analizar y responder a un
incidente limitar el dao causado y minimizar el costo de la recuperacin. Esto cobra
especial relevancia en el caso de los operadores de telecomunicaciones y de los
proveedores de servicios.
Es por lo anterior que se propone este como uno de los grupos de tareas del SGS-T. Debe
tenerse en cuenta que el costo de preparar un equipo de personas y un plan para la
Respuesta a Incidentes es mucho menor que el enfrentamiento a los hechos sin preparacin
previa.
Docente: Ing. Roly Chvez Villca
13
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
14
El objetivo de este grupo de tareas es permitir que la red y sus servicios estn disponibles y
en correcto funcionamiento, a pesar de que ocurra un incidente de seguridad, minimizando
las posibles interrupciones o daos. Para esto, dentro del grupo de tareas de RI se incluyen
algunas como detectar y verificar el incidente, contenerlo, eliminarlo e investigar sus causas y
culpables.
La ejecucin de este grupo de tareas puede requerir la intervencin de personal externo para
encargarse de las tareas de contencin y erradicacin, para coordinar todo el trabajo de
respuesta (como los CSIRT (Computer Security Incident Response Team) en las redes de
datos tradicionales) o para realizar las tareas de investigacin forense. No obstante, un
operador o proveedor de servicios de telecomunicaciones no puede prescindir de un equipo
de especialistas que encabece los trabajos de Respuesta a Incidentes pues necesita
garantizar los siguientes aspectos:
- Mantener la continuidad de la operacin de la red y de los servicios de
telecomunicaciones.
- Minimizar las prdidas.
- Evaluar los daos y el impacto.
- Recuperar los sistemas y la informacin.
- Descubrir la forma en que ocurri el incidente.
14
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
15
Contratos con empresas de seguros para cubrir las actividades o riesgos que no
dependen de la empresa.
Contratacin de la infraestructura encargada de la seguridad fsica de la organizacin y
la red de telecomunicaciones en general. Incluye la seguridad de los medios de
comunicacin, dispositivos, instalaciones y otros. Generalmente, se contratan agencias
externas. En ocasiones, de acuerdo con los recursos que integran la red y su
despliegue, se requiere relaciones con los organismos de orden interior.
Contratos de terceros (outsourcing) para ejecutar determinadas tareas dentro de los
otros grupos (diagnsticos, implantaciones, evaluacin de riesgos, respuesta a
incidentes).
Adquisicin del software y hardware necesarios. Incluye la relacin con fabricantes
externos e internos a la organizacin.
Mantenimiento y revisin de dispositivos.
Gestin de Recursos Humanos:
Convenios de confidencialidad con los empleados, procesos de seleccin,
trminos de la contratacin.
Superacin de especialistas y usuarios a travs de soluciones propias o de
terceros (outsourcing). Se debe garantizar el conocimiento de la actualizacin
tecnolgica, las vulnerabilidades ms recientes, las nuevas normas de trabajo y
otros. Estas actividades de capacitacin deben quedar registradas, as como
las categoras alcanzadas en las mismas.
Despidos o bajas de personal.
Procesos disciplinarios por el incumplimiento de lo definido en contratos,
reglamentos, procedimientos u otros.
Servicios informativos. Distribucin de informacin de seguridad contenida en la
documentacin preparada y autorizada.
Asesora jurdica o legal con personal propio, en coordinacin con el rea afn de la
empresa y con entidades externas. Esto da soporte oficial a la implantacin del SGS-T,
as como respaldo legal a las relaciones con clientes, especialistas, directivos y terceras
partes.
15
UNIDAD TEMATICA
GESTION DE REDES DE TELECOMUNICACION
ELT- 3962
FNI/ELT-ETN/UT 3
Ver.
Pag.
16
En muchas ocasiones, el personal que atiende este grupo de tareas se encuentra distribuido
en la infraestructura de la organizacin o empresa. Debido a esto se requiere una
coordinacin de esos esfuerzos alrededor de los objetivos de la gestin de seguridad y lo
establecido en el plan.
16