1、 Unin Internacional de TelecomunicacionesUIT-T Y.2704SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (01/2010) SERIE Y: INFRAESTRUCTURA MUNDIAL DE LA INFORMACIN, ASPECTOS DEL PROTOCOLO INTERNET Y REDES DE LA PRXIMA GENERACIN Redes de la prxima generacin Seguridad Mecanismos y procedimient
2、os de seguridad para las NGN Recomendacin UIT-T Y.2704 RECOMENDACIONES UIT-T DE LA SERIE Y INFRAESTRUCTURA MUNDIAL DE LA INFORMACIN, ASPECTOS DEL PROTOCOLO INTERNET Y REDES DE LA PRXIMA GENERACIN INFRAESTRUCTURA MUNDIAL DE LA INFORMACIN Generalidades Y.100Y.199 Servicios, aplicaciones y programas in
3、termedios Y.200Y.299 Aspectos de red Y.300Y.399 Interfaces y protocolos Y.400Y.499 Numeracin, direccionamiento y denominacin Y.500Y.599 Operaciones, administracin y mantenimiento Y.600Y.699 Seguridad Y.700Y.799 Caractersticas Y.800Y.899 ASPECTOS DEL PROTOCOLO INTERNET Generalidades Y.1000Y.1099 Serv
4、icios y aplicaciones Y.1100Y.1199 Arquitectura, acceso, capacidades de red y gestin de recursos Y.1200Y.1299 Transporte Y.1300Y.1399 Interfuncionamiento Y.1400Y.1499Calidad de servicio y caractersticas de red Y.1500Y.1599 Sealizacin Y.1600Y.1699 Operaciones, administracin y mantenimiento Y.1700Y.179
5、9 Tasacin Y.1800Y.1899 Televisin IP sobre redes de prxima generacin Y.1900Y.1999 REDES DE LA PRXIMA GENERACIN Marcos y modelos arquitecturales funcionales Y.2000Y.2099 Calidad de servicio y calidad de funcionamiento Y.2100Y.2199 Aspectos relativos a los servicios: capacidades y arquitectura de servi
6、cios Y.2200Y.2249 Aspectos relativos a los servicios: interoperabilidad de servicios y redes en las redes de la prxima generacin Y.2250Y.2299 Numeracin, denominacin y direccionamiento Y.2300Y.2399 Gestin de red Y.2400Y.2499 Arquitecturas y protocolos de control de red Y.2500Y.2599 Redes futuras Y.26
7、00Y.2699 Seguridad Y.2700Y.2799Movilidad generalizada Y.2800Y.2899 Entorno abierto con calidad de operador Y.2900Y.2999 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T Y.2704 (01/2010) i Recomendacin UIT-T Y.2704 Mecanismos y procedimientos de seguridad para las NGN Resume
8、n En la Recomendacin UIT-T Y.2701, Requisitos de seguridad para las redes de la prxima generacin, versin 1, se proporcionan requisitos de seguridad en relacin con las redes de la prxima generacin (NGN) y sus interfaces (por ejemplo, UNI, NNI y ANI). En la Recomendacin UIT-T Y.2704 se describen algun
9、os de los mecanismos de seguridad que cabe utilizar para atender a los requisitos descritos en la Recomendacin UIT-T Y.2701 y se especifica el conjunto de opciones correspondiente a cada mecanismo seleccionado. Concretamente, en la Recomendacin se describe una serie de mecanismos de identificacin, a
10、utentificacin y autorizacin y, acto seguido, se pasa a examinar la seguridad de transporte para la sealizacin y OAMP, as como la seguridad de medios de comunicacin. Ulteriormente, se exponen los mecanismos de registro de auditora y, por ltimo, el aprovisionamiento. Los mecanismos de seguridad descri
11、tos en esta Recomendacin se basan en el modelo de confianza definido en la Recomendacin UIT-T Y.2701. La lista de mecanismos de seguridad expuestos en esta Recomendacin no es exhaustiva, por lo cual se alienta a los proveedores a soportar las herramientas de seguridad, capacidades y medidas operacio
12、nales adicionales que se requieran, aparte de los mecanismos especificados en la presente Recomendacin, con miras a la proteccin de la seguridad de las NGN. Historia Edicin Recomendacin Aprobacin Comisin de estudios 1.0 ITU-T Y.2704 2010-01-29 13 ii Rec. UIT-T Y.2704 (01/2010) PREFACIO La Unin Inter
13、nacional de Telecomunicaciones (UIT) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones y de las tecnologas de la informacin y la comunicacin. El Sector de Normalizacin de las Telecomunicaciones de la UIT (UIT-T) es un rgano permanente de la UIT. Este rgano es
14、tudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunicaciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que
15、han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que
16、corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin r
17、econocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendacin puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y
18、puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se expresa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta
19、formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posi
20、cin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin
21、 de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos s
22、obre patentes de la TSB en la direccin http:/www.itu.int/ITU-T/ipr/. UIT 2010 Reservados todos los derechos. Ninguna parte de esta publicacin puede reproducirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T Y.2704 (01/2010) iii NDICE Pgina 1 Alcance . 1 1.1 H
23、iptesis . 1 1.2 Resumen . 2 2 Referencias . 2 3 Definiciones 3 3.1 Trminos definidos en otros documentos . 3 3.2 Trminos definidos en esta Recomendacin 4 4 Abreviaturas y acrnimos . 5 5 Convenios . 7 6 Riesgos y amenazas en materia de seguridad . 7 7 Modelo de confianza en la seguridad . 8 7.1 Model
24、o nico de confianza en la red 8 7.2 Modelo de confianza en redes entre pares 10 8 Identificacin, autentificacin y autorizacin . 10 8.1 Abonados 11 8.2 Elemento de red 11 8.3 Utilizacin de credenciales en el marco de la seguridad de las NGN 11 8.4 Identificacin y autentificacin de abonado . 15 8.5 Id
25、entificacin y autentificacin de usuarios finales . 20 8.6 Identificador y autentificacin mediante TE-BE 21 8.7 Autentificador-interfaz SAA/TAA-FE . 22 8.8 Identificacin y autentificacin del trfico de portadora 23 9 Seguridad de transporte para la sealizacin y OAMP 24 9.1 TLS . 25 9.2 IPsec en zonas
26、viables y fiables pero vulnerables 29 9.3 Protocolo de acuerdo de claves entre una zona no fiable y una zona fiable pero vulnerable . 32 9.4 IPsec entre una zona no fiable y una zona fiable pero vulnerable 33 10 Seguridad de medios . 33 10.1 SRTP . 35 11 OAMP . 37 11.1 Interfaz de los elementos de r
27、ed con los sistemas de registro 37 11.2 Utilizacin del protocolo SNMP por parte de los elementos de red 37 11.3 Gestin de parches de seguridad 38 11.4 Gestin de versiones . 38 11.5 Registro de auditora, arranque e inicio de sesin en los TE-BE . 38 12 Aprovisionamiento de equipos en zonas no fiables
28、39 iv Rec. UIT-T Y.2704 (01/2010) Pgina Apndice I Ejemplos de garanta de direccin de origen y su aplicacin al mecanismo de identificacin autentificacin de abonado . 40 I.1 Identificacin y autentificacin de abonado relacionada con la autentificacin de la lnea de acceso 40 I.2 Identificacin y autentif
29、icacin de abonado vinculadas a las autentificaciones explcitas de acceso en el establecimiento de la conectividad IP . 42 Apndice II Seguridad de la interconexin en el servicio de telecomunicaciones de emergencia (STE) . 45 II.1 Antecedentes . 45 II.2 Alcance/objetivo . 45 II.3 Objetivo de seguridad
30、 y directrices para la interconexin en el STE . 45 II.4 Autentificacin y autorizacin . 45 II.5 Seguridad de transporte para la sealizacin y OAMP 46 II.6 Trfico de medios . 46 II.7 Caractersticas restrictivas del soporte de la identidad de nmero llamante y de la identidad de nombre de llamante 46 II.
31、8 Ausencia de rastro 46 II.9 Encriptado entre pares de extremo a extremo 46 Apndice III Prcticas ptimas en materia de seguridad 47 III.1 Introduccin 47 III.2 Cortafuegos . 47 III.3 Fortalecimiento de los sistemas operativos 48 III.4 Evaluacin de la vulnerabilidad . 49 III.5 Sistemas de deteccin de i
32、ntrusiones . 49 Bibliografa 50 Rec. UIT-T Y.2704 (01/2010) 1 Recomendacin UIT-T Y.2704 Mecanismos y procedimientos de seguridad para las NGN 1 Alcance En UIT-T Y.2701, Requisitos de seguridad para las redes de la prxima generacin, versin 1, se ofrecen requisitos de seguridad con respecto a las redes
33、 de la prxima generacin (NGN) y sus interfaces (por ejemplo, UNI, NNI y ANI), lo que incluye un modelo de confianza. Aunque los mecanismos de seguridad seleccionados para atender a estos requisitos contendrn algunas opciones, las opciones discordantes no son deseables, ya que suelen aparejar factore
34、s de vulnerabilidad de la seguridad y dificultan el logro de la compatibilidad. As pues, en la Recomendacin se destacan algunos importantes mecanismos de seguridad que cabe utilizar para atender a los requisitos sealados en UIT-T Y.2701 y se especifica el conjunto de opciones que pueden utilizarse p
35、ara cada mecanismo seleccionado con el fin de reducir los problemas de compatibilidad y discordancia. La lista de mecanismos descritos en esta Recomendacin no es exhaustiva por lo cual se alienta a los proveedores a soportar las herramientas de seguridad, capacidades y medidas operacionales adiciona
36、les que se requieran, aparte de los mecanismos especificados en esta Recomendacin con miras a la proteccin de la seguridad de las NGN. El objetivo es que la presente Recomendacin se utilice junto con UIT-T Y.2701 para servir de base a la seguridad de las NGN. La Recomendacin debera utilizarse junto
37、con otras Recomendaciones relacionadas con la seguridad y, en su caso, otras especificaciones aplicables a aspectos de seguridad especficos. NOTA Los mecanismos de identificacin y autentificacin expuestos en la Recomendacin forman parte de un tema ms amplio, generalmente conocido con el nombre “gest
38、in de identidad“ (IdM). 1.1 Hiptesis La Recomendacin se basa en los siguientes supuestos: 1) La agregacin de identidades funcionales, segn se definen stas en UIT-T Y.2012, para constituir un solo elemento de red variar de un vendedor a otro. 2) A cada proveedor de NGN incumben responsabilidades espe
39、cficas dentro de su dominio de seguridad. As por ejemplo, la implementacin de los servicios y prcticas de seguridad aplicables para garantizar: a) su propia proteccin, b) que la seguridad de extremo a extremo no quede comprometida dentro de su red, y c) elevada disponibilidad e integridad de las com
40、unicaciones NGN. 3) Cada dominio de la red establecer una serie de polticas relativas en relacin con los acuerdos de nivel de servicio (SLA), y vigilar su obligado cumplimiento con el fin de garantizar la seguridad de dicho dominio y la seguridad de las interconexiones de la red. Est previsto que lo
41、s SLA especifiquen los servicios, mecanismos y prcticas de seguridad que habrn de implementar para proteger las redes interconectadas y las comunicaciones (sealizacin/trfico de control, trfico de portadora y trfico de gestin) a travs de las UNI, las ANI y las NNI correspondientes. 4) En esta Recomen
42、dacin se aborda la seguridad de la red, que es una arquitectura de varias capas y consiste en la seguridad de los permetros de los dominios fiables, la seguridad fsica del equipo del proveedor y, posiblemente, la utilizacin de encriptado. 2 Rec. UIT-T Y.2704 (01/2010) 1.2 Resumen La presente Recomen
43、dacin se estructura como sigue: Clusula 2 (Referencias) En esta clusula se presentan las referencias normativas. Clusula 3 (Definiciones) En esta clusula se presentan las definiciones que se utilizan en esta Recomendacin. Clusula 4 (Abreviaturas y acrnimos) En esta clusula se presenta la lista de ab
44、reviaturas y acrnimos que se utilizan en esta Recomendacin. Clusula 5 (Convenios) Esta clusula se deja voluntariamente vaca. Clusula 6 (Amenazas y riesgos contra la seguridad) En esta clusula se referencian los riesgos y amenazas contra la seguridad aplicables a las NGN. Clusula 7 (Modelo de confian
45、za en la seguridad) En esta clusula se proporciona un resumen del modelo de confianza definido en UIT-T Y.2701. Clusula 8 (Identificacin, autentificacin y autorizacin) En esta clusula se proporcionan mecanismos y medidas de seguridad de la identificacin, la autentificacin y la autorizacin. Clusula 9
46、 (Seguridad de transporte para la sealizacin y OAMP) En esta clusula se ofrecen mecanismos de encriptado de la sealizacin y OAMP, as como de proteccin de la integridad. Clusula 10 (Seguridad de medios de comunicacin) En esta clusula se proporcionan mecanismos para proteger los medios de comunicacin
47、(esto es, el trfico de portadora). Clusula 11 (OAMP) Esta clusula proporciona informacin y referencias en lo que respecta al registro de autora, la interrogacin y el registro cronolgico. Clusula 12 (Provisionamiento de equipo en zona no objeto de confianza) En esta clusula se proporciona informacin
48、sobre la prestacin de equipo de abonado en la zona no fiable de que se trate. Apndice I Ejemplos de garanta de la direccin de origen y de su aplicacin al mecanismo de identificacin y autentificacin de abonado. Apndice II Seguridad de interconexin en el servicio de telecomunicaciones de emergencia (STE). Apndice III Prcticas ptimas en materia de seguridad. Bibliografa. 2 Referencias Las siguientes Recomendaciones del UIT-T y otras referencias contienen disposiciones que, mediante su
