ITU-T M 3016 3 SPANISH-2005 Security for the management plane Security mechanism《管理平面的安全 安全机构 4号研究组》.pdf

1、 Unin Internacional de TelecomunicacionesUIT-T M.3016.3SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (04/2005) SERIE M: GESTIN DE LAS TELECOMUNICACIONES, INCLUIDA LA RGT Y EL MANTENIMIENTO DE REDES Red de gestin de las telecomunicaciones Seguridad en el plano de gestin: Mecanismo de seg

2、uridad Recomendacin UIT-T M.3016.3 RECOMENDACIONES UIT-T DE LA SERIE M GESTIN DE LAS TELECOMUNICACIONES, INCLUIDA LA RGT Y EL MANTENIMIENTO DE REDES Introduccin y principios generales de mantenimiento y organizacin del mantenimiento M.10M.299 Sistemas internacionales de transmisin M.300M.559 Circuit

3、os telefnicos internacionales M.560M.759 Sistemas de sealizacin por canal comn M.760M.799 Circuitos internacionales utilizados para transmisiones de telegrafa y de telefotografa M.800M.899 Enlaces internacionales arrendados en grupo primario y secundario M.900M.999 Circuitos internacionales arrendad

4、os M.1000M.1099 Sistemas y servicios de telecomunicaciones mviles M.1100M.1199 Red telefnica pblica internacional M.1200M.1299 Sistemas internacionales de transmisin de datos M.1300M.1399 Designaciones e intercambio de informacin M.1400M.1999 Red de transporte internacional M.2000M.2999 Red de gesti

5、n de las telecomunicaciones M.3000M.3599 Redes digitales de servicios integrados M.3600M.3999 Sistemas de sealizacin por canal comn M.4000M.4999 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T M.3016.3 (04/2005) i Recomendacin UIT-T M.3016.3 Seguridad en el plano de gestin

6、: Mecanismo de seguridad Resumen Esta Recomendacin, en la que se determinan los mecanismos de seguridad en el plano de gestin de las telecomunicaciones, se refiere especficamente al aspecto de seguridad en el plano de gestin de los elementos de red (NE) y los sistemas de gestin (MS), que forman part

7、e de la infraestructura de telecomunicaciones. Orgenes La Recomendacin UIT-T M.3016.3 fue aprobada el 13 de abril de 2005 por la Comisin de Estudio 4 (2005-2008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. ii Rec. UIT-T M.3016.3 (04/2005) PREFACIO La UIT (Unin Internacional de Telec

8、omunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaci

9、ones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen

10、Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas n

11、ecesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es vol

12、untaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un el

13、emento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes.

14、 PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de

15、propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria p

16、ara aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB. UIT 2005 Reservados todos los derechos. Ninguna pa

17、rte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T M.3016.3 (04/2005) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Definiciones 2 4 Abreviaturas, siglas o acrnimos 2 5 Convenios . 3 6 Mecanismos de seguridad. 3 6.1 Au

18、tenticacin del usuario. 4 6.2 Autenticacin de la entidad par y del origen de los datos 6 6.3 Control de acceso . 7 6.4 Confidencialidad de los datos. 8 6.5 Integridad de los datos 11 6.6 Registro de auditora. 12 6.7 Intercambio de claves. 13 6.8 Informe de alarmas. 14 6.9 Filtrado de paquetes 14 Apn

19、dice I Mecanismos de seguridad IPSec, SSL/TLS y SSH 15 I.1 IPSec. 15 I.2 SSL/TLS. 15 I.3 SSH. 16 Apndice II. 17 II.1 Objetivos. 18 II.2 Consideraciones en torno al diseo de la red que afectan el filtrado de paquetes 18 II.3 Filtrado bsico de paquetes 20 II.4 Filtrado de paquetes mejorado 21 BIBLIOGR

20、AFA . 22 iv Rec. UIT-T M.3016.3 (04/2005) Introduccin La infraestructura de las telecomunicaciones es crucial para las comunicaciones y la economa mundiales. En consecuencia, resulta esencial disponer de una seguridad apropiada para las funciones de gestin que permita controlar esa infraestructura.

21、Ya existen muchas normas sobre seguridad aplicadas a la gestin de la red de telecomunicaciones. No obstante, se considera que la conformidad es reducida y que las implementaciones de los diversos equipos de telecomunicaciones y componentes de soporte lgico son incompatibles. Esta Recomendacin define

22、 los mecanismos de seguridad mediante los cuales los fabricantes, organismos y proveedores de servicio podrn implementar una infraestructura segura de gestin de las telecomunicaciones. Aunque el conjunto de mecanismos de seguridad que se propone en esta Recomendacin representa la mejor interpretacin

23、 de los ltimos adelantos, las tecnologas seguirn avanzando y las condiciones cambiarn. Para obtener los resultados previstos, esta Recomendacin deber evolucionar si las condiciones lo justifican. El objetivo de esta Recomendacin ser sentar las bases correspondientes en la materia. Los proveedores de

24、 servicio podrn incluir otros mecanismos de seguridad para responder a sus necesidades concretas aparte de las ya indicadas en la presente Recomendacin. Esta Recomendacin forma parte de las Recomendaciones de la serie M.3016.x del UIT-T que tiene por objeto formular directrices y recomendaciones par

25、a la seguridad en el plano de gestin de las redes en evolucin: Recomendacin UIT-T M.3016.0 Seguridad en el plano de gestin: Visin general. Recomendacin UIT-T M.3016.1 Seguridad en el plano de gestin: Requisitos de seguridad. Recomendacin UIT-T M.3016.2 Seguridad en el plano de gestin: Servicios de s

26、eguridad. Recomendacin UIT-T M.3016.3 Seguridad en el plano de gestin: Mecanismo de seguridad. Recomendacin UIT-T M.3016.4 Seguridad en el plano de gestin: Formulario de los perfiles. Rec. UIT-T M.3016.3 (04/2005) 1 Recomendacin UIT-T M.3016.3 Seguridad en el plano de gestin: Mecanismo de seguridad

27、1 Alcance En las Recs. UIT-T M.1316.1 a M.3016.3 se especifica un conjunto de requisitos, servicios y mecanismos para lograr la seguridad que exigen las funciones de gestin necesarias para soportar la infraestructura de telecomunicaciones. En ellas no se seala si un determinado requisito/servicio/me

28、canismo es obligatorio o facultativo ya que las distintas administraciones y organizaciones requieren niveles diferentes de soporte de seguridad. Esta Recomendacin permite identificar los mecanismos de seguridad en el plano de gestin de las telecomunicaciones, centrndose especficamente en el aspecto

29、 de seguridad en el plano de gestin de los elementos de red (NE, network elements) y los sistemas de gestin (MS, management systems), que forman parte de la infraestructura de telecomunicaciones. Esta Recomendacin es de carcter genrico y por lo tanto no determina ni hace alusin a los mecanismos de s

30、eguridad de una interfaz especfica de la red de gestin de las telecomunicaciones (RGT). El formulario definido en la Rec. UIT-T M.3016.4 est previsto para ayudar a las organizaciones, administraciones y otros organismos nacionales e internacionales a especificar el soporte obligatorio y facultativo

31、de los requisitos, as como las gamas de valores, valores, etc., necesarios para implementar sus polticas de seguridad. 2 Referencias Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la present

32、e Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza que los usuarios de esta Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomend

33、aciones y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T G.8080/Y.1304 (2001), Arqui

34、tectura de la red ptica con conmutacin automtica, ms enmienda 2 (2005). Recomendacin UIT-T M.3010 (2000), Principios para una red de gestin de las telecomunicaciones. Recomendacin UIT-T M.3016.0 (2005), Seguridad en el plano de gestin: Visin general. Recomendacin UIT-T M.3016.2 (2005), Seguridad en

35、el plano de gestin: Servicios de seguridad. Recomendacin UIT-T M.3016.3 (2005), Seguridad en el plano de gestin: Mecanismo de seguridad. Recomendacin UIT-T M.3016.4 (2005), Seguridad en el plano de gestin: Formulario de los perfiles. Recomendacin UIT-T X.509 (2000), Tecnologa de la informacin Interc

36、onexin de sistemas abiertos El directorio: Marcos para certificados de claves pblicas y atributos, ms Corrigendum 1 (2001), Corrigendum 2 (2002) y Corrigendum 3 (2003). 2 Rec. UIT-T M.3016.3 (04/2005) Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad de la interconexin de sistemas abiertos

37、para aplicaciones del CCITT, ms enmienda 1 (1996). Recomendacin UIT-T X.805 (2003), Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo. 3 Definiciones En esta Recomendacin no se definen trminos nuevos. 4 Abreviaturas, siglas o acrnimos En esta Recomendacin se utilizan las si

38、guientes abreviaturas, siglas o acrnimos: CORBA Arquitectura de intermediario de peticin de objeto comn (common object request broker architecture) DoS Denegacin de servicio (denial of service) EMS Sistema de gestin de elementos (element management system) FTP Protocolo de transferencia de ficheros

39、(file transfer protocol) HTTP Protocolo de transferencia de hipertexto (hypertext transfer protocol) IETF Grupo de tareas especiales de ingeniera en Internet (Internet engineering task force) IP Protocolo Internet (Internet protocol) IPSec Seguridad del protocolo Internet (Internet protocol security

40、) ISO/CEI Organizacin Internacional de Normalizacin/Comisin Electrotcnica Internacional (International Organization for Standardization/International Electrotechnical Commission) MS Sistema de gestin; cualquier EMS, NMS u OSS1(management system; any EMS, NMS, or OSS) NE Elemento de red (network elem

41、ent) NE/MS NE o MS NMS Sistema de gestin de red (network management system) NTP Protocolo de seales horarias de red (network time protocol) NTPv3 NTP versin 3 OAM se omiten otros servicios posibles (por ejemplo, la deteccin de negacin de servicio). 4 Rec. UIT-T M.3016.3 (04/2005) Cuadro 1/M.3016.3 C

42、orrespondencia entre los requisitos de seguridad y los servicios de seguridad Requisito funcional de seguridad Servicio de seguridad Verificacin de identidades autenticacin del usuario autenticacin de la entidad par autenticacin del origen de los datos Acceso controlado y autorizacin control de acce

43、so Proteccin de la confidencialidad datos almacenados control de acceso confidencialidad Proteccin de la confidencialidad datos transferidos confidencialidad Proteccin de la integridad de los datos datos almacenados control de acceso Proteccin de la integridad de los datos datos transferidos integri

44、dad Imputabilidad no repudio Registro de actividades registro de auditora Notificacin de alarma de seguridad alarma de seguridad Auditora de seguridad registro de auditora Proteccin de la RCD inspeccin de paquetes En el cuadro 2, a continuacin, se esboza la manera en que se organiza esta clusula: Cu

45、adro 2/M.3016.3 Disposicin de la presente clusula Clusula Contenido 6.1 Se examinan los mecanismos de seguridad relacionados con la autenticacin, incluidas la autenticacin del usuario y la autenticacin de la entidad par. 6.2 Se examina la autenticacin del origen de los datos. 6.3 Se examinan los mec

46、anismos de seguridad del control de acceso. 6.4 Se examinan los mecanismos de seguridad de la confidencialidad de los datos. 6.5 Se examinan los mecanismos de seguridad de la integridad de los datos. 6.6 Se examinan los mecanismos de seguridad del registro de auditora. 6.1 Autenticacin del usuario L

47、a autenticacin del usuario es el acto de verificar la identidad declarada de una persona. La autenticacin del usuario puede basarse en mecanismos de seguridad que incluyen: Una combinacin del identificador del usuario y la contrasea (con contraseas convenientemente complejas) en donde la contrasea p

48、uede ser una contrasea que se da una sola vez (por ejemplo, SecureID). La autenticacin con mltiples factores. La autenticacin nica al inicio de la sesin. En la presente clusula se abordan los mecanismos de seguridad relacionados con la autenticacin del usuario. 6.1.1 Autenticacin empleando el identificador de usuario y contraseas Cabe utilizar un identificador de usuario y contraseas estticas para la autenticacin del usuario. Mediante la autenticacin del usuario se comprueba la verdadera identidad del usuario legtimo del sistema y se evita que haya impostores que usurpen su ident