Introducción En la industria de telecomunicaciones, ha aumentado últimamente el número de productos que se combinan para ofrecer una solución global. En la actualidad, no es suficiente considerar la seguridad separadamente para cada producto o elemento de servicio de telecomunicación, sino como una combinación de capacidades de seguridad en la solución extremo a extremo global. La integración de distintos proveedores exige una norma de arquitectura de seguridad de red para lograr una solución satisfactoria. Por lo anterior, el UIT-T ha definido una arquitectura de seguridad de red que garantiza la seguridad de comunicaciones extremo a extremo. Esta arquitectura puede aplicarse a distintas clases de redes en las que hay que garantizar la seguridad extremo a extremo, siendo indiferente la tecnología de red subyacente. En esta presentación, se define los elementos de seguridad generales de la arquitectura de red del UIT-T que son necesarios para garantizar la seguridad extremo a extremo si son empleados correctamente.
Objetivos generales Explicar los requisitos y el nuevo enfoque de la seguridad de las comunicaciones de extremo a extremo. Identificar las variadas amenazas a la seguridad de las comunicaciones y relacionarlas con las principales contramedidas usadas para mitigar los riesgos consecuentes. Describir los elementos centrales de la Arquitectura de Seguridad de redes formalizada por el UIT-T. Explicar la metodología de aplicación de la Arquitectura de Seguridad de redes en el marco de un programa de seguridad.
Requisitos de la seguridad en la industria de las telecomunicaciones Las industrias de las telecomunicaciones y las tecnologías de la información necesitan soluciones de seguridad completas y rentables. Para ofrecer una red segura se requiere: una protección contra ataques malintencionados o imprevistos; garantizar condiciones de alta disponibilidad, tiempo de respuesta apropiado, fiabilidad, integridad y adaptación a otra escala; y proporcionar información exacta para facturación. Las capacidades de seguridad en los productos de los proveedores son esenciales para la seguridad general de la red (que incluye las aplicaciones y los servicios).
Nuevo enfoque de la seguridad en la industria de las telecomunicaciones Ha aumentado el número de productos que se combinan para ofrecer una solución global, por lo que la compatibilidad entre productos determinará si la solución es satisfactoria. En la actualidad No es suficiente considerar la seguridad separadamente para cada producto o servicio. La seguridad debe ser considerada e implementada como una combinación de capacidades de seguridad en la solución extremo a extremo global. La integración de distintos proveedores exige una norma de arquitectura de seguridad de red para lograr una solución satisfactoria.
Concepto seguridad y otros conceptos relacionados El término «seguridad» se utiliza en el sentido de minimizar las vulnerabilidades de los bienes y recursos. Un «bien» es todo elemento de valor. «Vulnerabilidad» es toda debilidad que pudiera explotarse para violar un sistema o las informaciones que éste contiene. Una «amenaza» es una violación potencial de la seguridad. Una amenaza intencional que se concretiza puede considerarse como un «ataque».
¿Qué debe protegerse en la industria de las telecomunicaciones? En general, los elementos siguientes pueden necesitar protección: Informaciones y datos (incluidos el acervo de conocimientos de la organización y los datos pasivos relativos a las medidas de seguridad, tales como las contraseñas). Los servicios de comunicación y de procesamiento de datos. Los equipos y facilidades.
Amenazas a la seguridad de las comunicaciones Las amenazas contra un sistema de comunicación de datos son las siguientes: Destrucción de información y/o de otros recursos; Corrupción o modificación de información; Robo, supresión o pérdida de información y/o de otros recursos; Revelación de información; Interrupción de servicios.
Vulnerabilidades y amenazas a la seguridad de las comunicaciones RED O SISTEMA DE COMUNICACIONES AMENAZAS ATAQUES Destrucción Corrupción Pérdida Revelación Interrupción VULNERABILIDADES
Clasificación de las amenazas Las amenazas pueden clasificarse según la intencionalidad y según el alcance del efecto producido: Amenazas accidentales o amenazas intencionales. Amenazas activas o amenazas pasivas.
Amenazas accidentales e intencionales Amenazas accidentales Las amenazas accidentales son las que existen sin que haya premeditación. Ejemplos: fallas del sistema, equivocaciones en la operación y errores en los programas. Amenazas intencionales Las amenazas intencionales son las que se realizan haciendo uso malicioso de medios para lograr deliberadamente objetivos ilícitos. Una amenaza intencional que se concretiza es considerada como un «ataque». Ejemplos: las amenazas intencionales pueden ir desde el examen ocasional, mediante el empleo de instrumentos de monitorización de fácil adquisición, hasta ataques sofisticados, gracias a un conocimiento especial del sistema.
Amenazas pasivas y activas Amenazas pasivas Las amenazas pasivas son las que, si se concretizan, no producirían ninguna modificación de las informaciones contenidas en el(los) sistema(s) y que no modifican el funcionamiento ni el estado del sistema. Ejemplo: La interceptación pasiva para observar informaciones transmitidas por una línea de comunicaciones. Amenazas activas Las amenazas activas contra un sistema conllevan la alteración de información contenida en el sistema, o las modificaciones del estado o de la operación del sistema. Ejemplo: La modificación maliciosa de las tablas de rutas de los nodos de una red de comunicación por un usuario no autorizado.
Principales tipos específicos de ataque Usurpación de identidad (o impostura). Reproducción. Modificación de los mensajes. Negación de servicio (DoS). Ataques del interior. Ataques del exterior. Trampa. Caballo de Troya.
Amenazas a la seguridad AMENAZAS A LA SEGURIDAD AmenazasAccidentales AmenazasIntencionales AmenazasPasivas Amenazas Activas Interceptación pasiva Análisis de Tráfico Impostura Reproducción Modificación de mensajes Negación de servicio Revelación Ataques del interior Configuraciones desfavorables Equivocaciones
Evaluación de amenazas, riesgos y contramedidas La evaluación de las amenazas, en general, abarca los siguientes aspectos: Identificación de las vulnerabilidades del sistema. Análisis de la probabilidad de las amenazas destinadas a explotar estas vulnerabilidades. Evaluación de las consecuencias que tendría la ejecución de cada amenaza. Estimación del costo de cada ataque. Determinación del costo de posibles contramedidas. Elección de mecanismos de seguridad justificados (eventualmente mediante un análisis de la relación costo/beneficio).
Evaluación de amenazas, riesgos y contramedidas El objetivo de la evaluación de las amenazas debería ser hacer que el costo de un ataque sea suficientemente elevado para reducir el riesgo a niveles aceptables.
Arquitectura de Seguridad de redes El UIT-T está desarrollando actualmente una Arquitectura de Seguridad para enfrentar las amenazas a la seguridad de Proveedores de Servicio, empresas y clientes. Sus características fundamentales son: Es aplicable a redes para voz, datos y convergentes, basadas en tecnología inalámbrica, óptica, y conductores metálicos. Trata los asuntos de seguridad para la gestión, control, y uso de las aplicaciones, servicios, e infraestructura de red. Proporciona una perspectiva de la seguridad de red de arriba hacia abajo y de extremo a extremo, y puede ser aplicada a los elementos de red, servicios, y aplicaciones con el fin de detectar, predecir y corregir las vulnerabilidades de la seguridad.
| Página siguiente |