1、 UNIN INTERNACIONAL DE TELECOMUNICACIONES UIT-T X.805SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (10/2003) SERIE X: REDES DE DATOS Y COMUNICACIN ENTRE SISTEMAS ABIERTOS Seguridad Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo Recomendacin UIT-T X.805 RECOM
2、ENDACIONES UIT-T DE LA SERIE X REDES DE DATOS Y COMUNICACIN ENTRE SISTEMAS ABIERTOS REDES PBLICAS DE DATOS Servicios y facilidades X.1X.19 Interfaces X.20X.49 Transmisin, sealizacin y conmutacin X.50X.89 Aspectos de redes X.90X.149 Mantenimiento X.150X.179 Disposiciones administrativas X.180X.199 IN
3、TERCONEXIN DE SISTEMAS ABIERTOS Modelo y notacin X.200X.209 Definiciones de los servicios X.210X.219 Especificaciones de los protocolos en modo conexin X.220X.229 Especificaciones de los protocolos en modo sin conexin X.230X.239 Formularios para declaraciones de conformidad de implementacin de proto
4、colo X.240X.259 Identificacin de protocolos X.260X.269 Protocolos de seguridad X.270X.279 Objetos gestionados de capa X.280X.289 Pruebas de conformidad X.290X.299 INTERFUNCIONAMIENTO ENTRE REDES Generalidades X.300X.349 Sistemas de transmisin de datos por satlite X.350X.369 Redes basadas en el proto
5、colo Internet X.370X.399 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS Gestin de redes X.600X.629 Eficacia X.630X.639 Calidad de servicio X.640X.649 Denominacin, direccionamiento y registro X.650X.679
6、Notacin de sintaxis abstracta uno X.680X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS Marco y arquitectura de la gestin de sistemas X.700X.709 Servicio y protocolo de comunicacin de gestin X.710X.719 Estructura de la informacin de gestin X.720X.729 Funciones de gestin y funciones de arquitectura
7、de gestin distribuida abierta X.730X.799 SEGURIDAD X.800X.849 APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOS Compromiso, concurrencia y recuperacin X.850X.859 Procesamiento de transacciones X.860X.879 Operaciones a distancia X.880X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 Para ms informac
8、in, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.805 (10/2003) i Recomendacin UIT-T X.805 Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo Resumen En esta Recomendacin se definen los elementos de seguridad generales de la arquitectura, que pueden garantizar la
9、seguridad de red extremo a extremo si son empleados correctamente. Orgenes La Recomendacin UIT-T X.805 fue aprobada el 29 de octubre de 2003 por la Comisin de Estudio 17 (2001-2004) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. ii Rec. UIT-T X.805 (10/2003) PREFACIO La UIT (Unin Inter
10、nacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y pu
11、blica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a
12、 su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se prep
13、aran las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Re
14、comendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obliga
15、toriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ningu
16、na de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de
17、 los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que pued
18、e ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB. UIT 2004 Reservados todos los der
19、echos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T X.805 (10/2003) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 3 Trminos y definiciones . 1 4 Abreviaturas y acrnimos. 1 5 Arquitectura de seguridad. 2 6
20、 Dimensiones de seguridad 3 6.1 Dimensin de seguridad control de acceso 3 6.2 Dimensin de seguridad autenticacin. 3 6.3 Dimensin de seguridad no repudio. 3 6.4 Dimensin de seguridad confidencialidad de los datos 4 6.5 Dimensin de seguridad seguridad de la comunicacin. 4 6.6 Dimensin de seguridad int
21、egridad de los datos 4 6.7 Dimensin de seguridad disponibilidad . 4 6.8 Dimensin de seguridad privacidad . 4 7 Capas de seguridad . 4 7.1 Capa de seguridad infraestructura 5 7.2 Capa de seguridad servicios . 5 7.3 Capa de seguridad aplicaciones 5 8 Planos de seguridad 6 8.1 Plano de seguridad gestin
22、 . 6 8.2 Plano de seguridad control . 7 8.3 Plano de seguridad usuario de extremo 7 9 Amenazas contra la seguridad 7 10 Objetivos que se consiguen aplicando dimensiones de seguridad a las capas de seguridad. 9 10.1 Garantizar la seguridad de la capa infraestructura . 10 10.2 Garantizar la seguridad
23、de la capa servicios. 13 10.3 Garantizar la seguridad de la capa aplicaciones . 16 iv Rec. UIT-T X.805 (10/2003) Introduccin Las industrias de las telecomunicaciones y las tecnologas de la informacin necesitan soluciones de seguridad completas y rentables. Para ofrecer una red segura es necesaria un
24、a proteccin contra ataques malintencionados o imprevistos, y garantizar condiciones de alta disponibilidad, tiempo de respuesta apropiado, fiabilidad, integridad y adaptacin a otra escala, y tambin proporcionar informacin exacta para facturacin. Las capacidades de seguridad en los productos son esen
25、ciales para la seguridad general de la red (que incluye las aplicaciones y los servicios). Ahora bien, ha aumentado el nmero de productos que se combinan para ofrecer una solucin global, y la compatibilidad entre productos determinar si la solucin es satisfactoria. No es suficiente considerar la seg
26、uridad separadamente para cada producto o servicio, ms bien como una combinacin de capacidades de seguridad en la solucin extremo a extremo global. La integracin de distintos proveedores exige una norma de arquitectura de seguridad de red para lograr una solucin satisfactoria. Rec. UIT-T X.805 (10/2
27、003) 1 Recomendacin UIT-T X.805 Arquitectura de seguridad para sistemas de comunicaciones extremo a extremo 1 Alcance Esta Recomendacin define una arquitectura de seguridad de red que garantiza la seguridad de comunicaciones extremo a extremo. Esta arquitectura puede aplicarse a distintas clases de
28、redes en las que hay que garantizar la seguridad extremo a extremo, siendo indiferente la tecnologa de red subyacente. En esta Recomendacin se definen los elementos de seguridad generales de la arquitectura que son necesarios para garantizar la seguridad extremo a extremo. El objetivo es hacer de es
29、ta Recomendacin una base para redactar Recomendaciones detalladas para la seguridad de red extremo a extremo. 2 Referencias Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomen
30、dacin. Las ediciones indicadas estaban en vigor en la fecha de publicacin. Los usuarios deben tener presente que todas las Recomendaciones y otras referencias son objeto de revisiones, y deben comprobar si es pertinente aplicar ediciones ms recientes de las Recomendaciones y otras referencias citada
31、s a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que autnomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T X.800 (1991), Arquitectura de seguridad de la interconexin de
32、 sistemas abiertos para aplicaciones del CCITT. 3 Trminos y definiciones En esta Recomendacin se utilizan los siguientes trminos de la Rec. UIT-T X.800: control de acceso; disponibilidad; autenticacin; confidencialidad; integridad de los datos; no repudio; privacidad. 4 Abreviaturas y acrnimos En es
33、ta Recomendacin se utilizan las siguientes siglas. AAA Autenticacin, autorizacin y contabilidad (authentication, authorization and accounting) ASP Proveedor de servicio de aplicacin (application service provider) ATM Modo de transferencia asncrono (asynchronous transfer mode) DHCP Protocolo dinmico
34、de configuracin de anfitrin (dynamic host configuration protocol) 2 Rec. UIT-T X.805 (10/2003) DNS Servicio de nombres de dominio (domain name service) DoS Denegacin de servicio (denial of service) DS-3 Seal digital de nivel 3 (digital signal level 3) FTP Protocolo de transferencia de ficheros (file
35、 transfer protocol) IP Protocolo Internet (Internet protocol) IPSec Protocolo de seguridad IP (IP security protocol) OAM 2) autenticacin; 3) no repudio; 4) confidencialidad de datos; 5) seguridad de la comunicacin; 6) integridad de los datos; 7) disponibilidad; 8) privacidad. Las dimensiones de segu
36、ridad definidas e implementadas correctamente soportan la poltica de seguridad definida para una determinada red y facilitan la aplicacin de las normas de gestin de la seguridad. 6.1 Dimensin de seguridad control de acceso La dimensin de seguridad control de acceso protege contra la utilizacin de re
37、cursos de red sin autorizacin. El control de acceso garantiza que slo las personas y los dispositivos autorizados pueden acceder a los elementos de red, la informacin almacenada, los flujos de informacin, los servicios y las aplicaciones. Adems, el control de acceso basado en las funciones (RBAC, ro
38、le-based access control) establece varios niveles para restringir el acceso a los elementos de red, la informacin almacenada, los flujos de informacin, los servicios y las aplicaciones, a las personas y los dispositivos autorizados. 6.2 Dimensin de seguridad autenticacin La dimensin de seguridad aut
39、enticacin se utiliza para confirmar la identidad de las entidades comunicantes. La autenticacin garantiza la validez de la identidad que se atribuyen las entidades de una comunicacin (por ejemplo, personas, dispositivos, servicios o aplicaciones) y que una entidad no interviene usurpando una identid
40、ad o reproduciendo una comunicacin anterior sin autorizacin. 6.3 Dimensin de seguridad no repudio La dimensin de seguridad no repudio evita que una persona o una entidad niegue que ha realizado una accin de tratamiento de datos, proporcionando la prueba de distintas acciones de red (por ejemplo, de
41、obligacin, de intencin o de compromiso; prueba de origen de los datos; prueba de 4 Rec. UIT-T X.805 (10/2003) propiedad; prueba de utilizacin del recurso). Garantiza la disponibilidad de pruebas que se pueden presentar a terceros y utilizar para demostrar que un determinado evento o accin s ha tenid
42、o lugar. 6.4 Dimensin de seguridad confidencialidad de los datos La dimensin de seguridad confidencialidad de los datos impide que los datos sean divulgados sin autorizacin. La confidencialidad garantiza que las entidades no autorizadas no pueden entender el contenido de datos. Los mtodos utilizados
43、 habitualmente son la criptacin, las listas de control de acceso o las autorizaciones de archivos. 6.5 Dimensin de seguridad seguridad de la comunicacin La dimensin de seguridad de la comunicacin garantiza que la informacin slo circula entre los puntos extremo autorizados (no hay desviacin ni interc
44、eptacin de la informacin que circula entre estos puntos extremo). 6.6 Dimensin de seguridad integridad de los datos La dimensin de seguridad integridad de los datos garantiza la exactitud y la veracidad de los datos. Protege los datos contra acciones no autorizadas de modificacin, supresin, creacin
45、o reactuacin, y seala estas acciones no autorizadas. 6.7 Dimensin de seguridad disponibilidad La dimensin de seguridad disponibilidad garantiza que las circunstancias de la red no impiden el acceso autorizado a los elementos de red, la informacin almacenada, los flujos de informacin, los servicios y
46、 las aplicaciones. Esta categora incluye soluciones para recuperacin en caso de anomala. 6.8 Dimensin de seguridad privacidad La dimensin de seguridad privacidad protege la informacin que sera posible conocer observando las actividades de la red. Por ejemplo: los sitios web visitados por un usuario,
47、 la posicin geogrfica del usuario y las direcciones IP y los nombres de dominio (DNS) de los dispositivos en la red de un proveedor de servicio. 7 Capas de seguridad Para realizar una solucin de seguridad extremo a extremo es necesario aplicar las dimensiones de seguridad descritas en la clasula 6 a
48、 una jerarqua de equipos de red y dispositivos: las capas de seguridad. En esta Recomendacin se definen tres capas de seguridad: capa de seguridad de infraestructura; capa de seguridad de servicios; y capa de seguridad de aplicaciones; que se complementan mutuamente para realizar soluciones de red.
49、Las capas de seguridad son sistemas de potenciacin que permiten realizar soluciones de red seguras: la capa infraestructura potencia la capa servicios, y sta potencia la capa aplicaciones. La arquitectura de seguridad tiene en cuenta que las vulnerabilidades de seguridad de cada capa son diferentes, y ofrece la flexibilidad