1、 Unin Internacional de TelecomunicacionesUIT-T X.1206SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (04/2008) SERIE X: REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD Seguridad en el ciberespacio Ciberseguridad Marco independiente del proveedor para la notificacin automti
2、ca de informacin relacionada con la seguridad y para la difusin automtica de actualizaciones Recomendacin UIT-T X.1206 RECOMENDACIONES UIT-T DE LA SERIE X REDES DE DATOS, COMUNICACIONES DE SISTEMAS ABIERTOS Y SEGURIDAD REDES PBLICAS DE DATOS X.1X.199 INTERCONEXIN DE SISTEMAS ABIERTOS X.200X.299 INTE
3、RFUNCIONAMIENTO ENTRE REDES X.300X.399 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS X.600X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS X.700X.799 SEGURIDAD X.800X.849 APLICACIONES DE INTERCONEXIN
4、DE SISTEMAS ABIERTOS X.850X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 SEGURIDAD DE LA INFORMACIN Y DE LAS REDES Aspectos generales de la seguridad X.1000X.1029 Seguridad de las redes X.1030X.1049 Gestin de la seguridad X.1050X.1069 Telebiometra X.1080X.1099 APLICACIONES Y SERVICIOS CON SEGURI
5、DAD Seguridad en la multidifusin X.1100X.1109 Seguridad en la red residencial X.1110X.1119 Seguridad en las redes mviles X.1120X.1139 Seguridad en la web X.1140X.1149 Protocolos de seguridad X.1150X.1159 Seguridad en las comunicaciones punto a punto X.1160X.1169 Seguridad de la identidad en las rede
6、s X.1170X.1179 Seguridad en la TVIP X.1180X.1199 SEGURIDAD EN EL CIBERESPACIO Ciberseguridad X.1200X.1229 Lucha contra el correo basura X.1230X.1249 Gestin de identidades X.1250X.1279 APLICACIONES Y SERVICIOS CON SEGURIDAD Comunicaciones de emergencia X.1300X.1309 Seguridad en las redes de sensores
7、ubicuos X.1310X.1339 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.1206 (04/2008) i Recomendacin UIT-T X.1206 Marco independiente del proveedor para la notificacin automtica de informacin relacionada con la seguridad y para la difusin automtica de actualizaciones Resum
8、en En la presente Recomendacin UIT-T X.1206 se describe un marco para la notificacin automtica de informacin relacionada con la seguridad y para la difusin automtica de actualizaciones. La caracterstica ms importante de este marco es que no depende del proveedor. Una vez registrado el recurso, puede
9、n ponerse automticamente a la disposicin de los usuarios, o directamente de las aplicaciones correspondientes, informacin actualizada sobre sus vulnerabilidades, y los parches (“patches“) o actualizaciones del mismo. Orgenes La Recomendacin UIT-T X.1206 fue aprobada el 18 de abril de 2008 por la Com
10、isin de Estudio 17 (2005-2008) del UIT-T por el procedimiento de la Resolucin 1 de la AMNT. ii Rec. UIT-T X.1206 (04/2008) PREFACIO La Unin Internacional de Telecomunicaciones (UIT) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones y de las tecnologas de la i
11、nformacin y la comunicacin. El Sector de Normalizacin de las Telecomunicaciones de la UIT (UIT-T) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunicaciones en
12、 el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miem
13、bros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expr
14、esin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obliga
15、torias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber d
16、e, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utiliz
17、acin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por ter
18、ceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que pue
19、de que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB en la direccin http:/www.itu.int/ITU-T/ipr/. UIT 2009 Reservados todos los derechos. Ninguna parte de esta publicacin puede reprodu
20、cirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T X.1206 (04/2008) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Definiciones 1 3.1 Trminos definidos en esta Recomendacin 1 4 Siglas y acrnimos 2 5 Convenciones 2 6 Introduccin 3 7 Situacin actual con res
21、pecto a la informacin sobre vulnerabilidad. 4 8 Descripcin general del marco independiente del proveedor. 5 8.1 Fuentes mltiples de informacin sobre vulnerabilidad, actualizaciones y parches 6 8.2 Ejemplo del funcionamiento de una aplicacin 6 8.3 Aspectos relacionados con la seguridad. 8 9 Arquitect
22、ura recomendada 8 9.1 Capa de ncleo del mensaje . 8 9.2 Capa de mensaje/aplicacin . 9 9.3 Escalabilidad. 9 9.4 Extensibilidad. 9 9.5 Independencia de la plataforma 10 9.6 Comunicacin cliente/servidor. 10 10 Componentes del marco . 10 10.1 Contenedor de mensaje. 10 10.2 Mensaje de versin. 15 11 Esque
23、mas 21 11.1 Message_Core 21 11.2 Message_Version . 23 Bibliografa 28 Rec. UIT-T X.1206 (04/2008) 1 Recomendacin UIT-T X.1206 Marco independiente del proveedor para la notificacin automtica de informacin relacionada con la seguridad y para la difusin automtica de actualizaciones 1 Alcance En la prese
24、nte Recomendacin se describe un marco para el flujo bidireccional de notificacin y difusin automticas de la informacin sobre las vulnerabilidades, as como la distribucin de o actualizaciones o parches (“patches“). Adems, permite que los administradores de sistemas conozcan el estado de cualquier rec
25、urso (“asset“) que pertenezca a su mbito de responsabilidad. En las clusulas 6 y 7 se describen los problemas de mantenimiento de los recursos desde el punto de vista de su identificacin, la difusin de informacin y la gestin de sistemas/redes. En la clusula 8 figura una descripcin general del marco
26、independiente del proveedor, y un ejemplo de sistema basado en dicho marco, su funcionamiento y un ejemplo de una secuencia de intercambio de mensajes. Tambin se tratan en esta clusula los aspectos de seguridad que se han de tener en cuenta en este marco independiente del proveedor. En la clusula 9
27、se describen las funcionalidades y las caractersticas de la presente Recomendacin. La clusula 10 proporciona las definiciones de las estructuras de datos de los componentes de la presente Recomendacin. La clusula 11 contiene el cdigo XML, definido y descrito en la clusula 10. En esta Recomendacin se
28、 describe un marco al que pueden recurrir los proveedores para la notificacin y la recepcin de informacin sobre vulnerabilidades, y para la distribucin de parches/actualizaciones relacionados con los recursos que pertenecen a su mbito de responsabilidad. Se define adems el formato de la informacin q
29、ue ha de emplearse dentro de los componentes que se utilizan en este marco y entre ellos. Esta Recomendacin no define protocolos para la comunicacin entre componentes, puesto que pueden utilizarse muchos sin mayor problema. Si bien es necesario fijar algunas funciones y responsabilidades comunes par
30、a poder recurrir al marco independiente del proveedor, dichas funciones y las responsabilidades que de ellas emanan quedan fuera del alcance de esta Recomendacin. 2 Referencias Ninguna. 3 Definiciones 3.1 Trminos definidos en esta Recomendacin En la presente Recomendacin se definen los siguientes tr
31、minos: 3.1.1 agente: Entidad que aplica esta Recomendacin a un recurso instalado en un determinado dispositivo, que puede funcionar como servidor o como servidor local. 3.1.2 recurso (asset): Dispositivo, pieza de equipo independientemente identificable, aplicacin, sistema operativo o cdigo ejecutab
32、le. 2 Rec. UIT-T X.1206 (04/2008) 3.1.3 cliente: Dispositivo que solicita servicios de otro dispositivo. 3.1.4 dispositivo: Sistema que acta como cliente, servidor, o ambos, o bien como servidor local. 3.1.5 grupo: Conjunto de dispositivos que funcionan como una sola unidad. 3.1.6 servidor local: Cl
33、iente que acta como nodo servidor para otros clientes en sentido descendente. 3.1.7 mensaje: Solicitud de una determinada accin; puede tratarse de una accin general, por ejemplo “Registrar“ que un recurso dado es de una cierta versin y/o contiene componentes de determinadas versiones, “Solicitar“ ac
34、tualizaciones, parches o informacin sobre vulnerabilidades existentes o futuros, etc. En otros contextos ajenos a la funcionalidad de la presente Recomendacin pueden definirse otros tipos de mensajes. 3.1.8 datos del mensaje: Informacin que se proporciona en un determinado mensaje. Entre las casi in
35、finitas posibilidades que existen, pueden citarse algunos ejemplos concretos de datos definidos en esta Recomendacin: informacin sobre la versin, informacin sobre las vulnerabilidades de determinadas versiones y parches o actualizaciones de versiones especficas. 3.1.9 conjunto de mensaje (message se
36、t): Combinacin y asociacin de un identificador nico universal, un mensaje y los datos contenidos en el mismo, que se definen mediante un cdigo XML generado a partir del Message_Core definido en esta Recomendacin y que lo amplan. 3.1.10 parche: Modificacin de difusin general que sirve para solucionar
37、 una vulnerabilidad especfica de un producto relacionada con la seguridad. Mtodo de actualizacin de un fichero que consiste en reemplazar nicamente las partes que se modifican, en lugar de todo el fichero. 3.1.11 servidor: Dispositivo que recibe las solicitudes de otros dispositivos. 3.1.12 vulnerab
38、ilidad: Cualquier punto dbil, proceso o mecanismo administrativo, o exposicin fsica de un computador o una red que sean susceptibles de ser aprovechados por una amenaza. 4 Siglas y acrnimos En esta Recomendacin se emplean las siguientes siglas y acrnimos: API Interfaz de programacin de aplicaciones
39、(application programming interface) GUID Identificador nico global (globally unique IDentifier) HTTP Protocolo de transferencia de hipertexto (hypertext transfer protocol) ISIRT Equipos de intervencin en caso de emergencia informtica (information security incident response team) ISP Proveedor de ser
40、vicio Internet (Internet service provider) OS Sistema operativo (operating system) POAS Plataforma/sistema operativo/aplicacin/servicio (platform/operating system/application/service) URI Identificador de recursos uniforme (uniform resource identifier) 5 Convenciones Ninguna. Rec. UIT-T X.1206 (04/2
41、008) 3 6 Introduccin A medida que aumenta el nmero de personas que comienzan a utilizar computadores en sus trabajos y hogares, la mayora sin la formacin necesaria para ello, ni mucho menos en los aspectos relacionados con la seguridad, se acerca rpidamente el momento en que ser imposible no solamen
42、te mantener un mnimo de seguridad sino que cada vez ser ms difcil para los encargados de la seguridad a nivel del sistema tener una idea del estado de los sistemas de los que se encargan y a los que prestan servicios, antes de que ocurra algn incidente o brecha en la seguridad, cuando ya sea demasia
43、do tarde. Esto se debe sobre todo a la gran cantidad de computadores diferentes que existe, todos en estados diferentes de mantenimiento y actualizacin. En lo que respecta a la seguridad, la gestin de sistemas es ms un proceso de gestin de desastres y recuperacin que uno de prevencin. Si bien varias
44、 aplicaciones, e incluso algunos sistemas operativos (OS), tienen sus propios mecanismos de actualizacin, todos tienen problemas en comn, entre los que cabe citar que el mecanismo de actualizacin debe, en primer lugar, haber sido activado y, en segundo lugar, que slo se ejecuta previa notificacin al
45、 usuario de que existe una actualizacin disponible, siempre y cuando ste permita las notificaciones. Probablemente la peor consecuencia de todos estos problemas sea que el administrador de sistema est completamente por fuera del proceso, de tal manera que si no instala su propio sistema de verificac
46、in en cada computador del que se encarga no puede tener idea del nivel general de seguridad en sus redes y sistemas. Otro aspecto que cabe tener en cuenta es que si bien es importante actualizar el software con la versin ms reciente disponible, a menudo las actualizaciones por s solas no son la solu
47、cin, sino que es necesario que el usuario mejore su forma de utilizar su sistema, para la cual no existe mejor “actualizacin“ que si la informacin recibida por el usuario a este respecto es til. Aunque algunas aplicaciones y sistemas operativos tienen sus propios mecanismos de actualizacin, ninguno
48、de ellos dispone de una metodologa uniforme para mantener informados a los usuarios acerca de las prcticas ms recomendadas en aras de la seguridad. Los mtodos empleados para distribuir las actualizaciones tambin son importantes. Actualmente, todas las actualizaciones se reciben de las fuentes a trav
49、s de canales especiales, uno por cada sesin de actualizacin. Sin embargo, si las actualizaciones, u otra informacin importante, se pusieran a disposicin de varios centros de redistribucin, por ejemplo, el ISP o las redes de la empresa, y luego se distribuyeran los paquetes dentro de cada red de una manera fiable y segura, se podr