Cómo gestionar la seguridad de las redes de comunicación

(1)

Cómo gestionar

la seguridad de las

redes de comunicación

(2)

ISBN: 978-0-580-48985-3

Título en castellano: Cómo gestionar la seguridad de las redes de comunicación Traducción: GAAP Editorial

ISBN: 978-84-8143-572-6 Depósito Legal: M-21535-2008 Impreso en España - Printed in Spain Edita: AENOR

Maqueta y diseño de cubierta: AENOR Imprime: Dayton

Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695 [email protected] • www.aenor.es

(3)

1. Introducción . . . 11 2. Alcance . . . 15 3. Visión general de ISO/IEC 18028-1 a -5 . . . 17

3.1. Introducción

3.2. ISO/IEC 18028-1 Gestión de la seguridad de la red (Network Security

Management) . . . 17 3.2.1. Contenido . . . 17 3.2.2. Audiencia . . . 24

3.3. ISO/IEC 18028-2 Arquitectura de seguridad de red (Network Security

Architecture) . . . 25 3.3.1. Contenido . . . 25 3.3.2. Audiencia . . . 27

3.4. ISO/IEC 18028-3 Seguridad de las comunicaciones entre redes

utilizando pasarelas de seguridad (Securing communications between networks using security gateways) . . . 27 3.4.1. Contenido . . . 27 3.4.2. Audiencia . . . 29

3.5. ISO/IEC 18028-4 Seguridad de los accesos remotos (Securing remote

access) . . . 29 3.5.1. Contenido . . . 29 3.5.2. Audiencia . . . 33

Índice

(4)

3.6. ISO/IEC 18028-5 Seguridad en las comunicaciones entre redes utilizando redes privadas virtuales (VPN) (Securing communications across networks using virtual private networks) . . . 33 3.6.1. Contenido . . . 33 3.6.2. Audiencia . . . 37 4. Identificación de los riesgos de seguridad de red y los controles de

seguridad relacionados . . . 39 4.1. Introducción . . . 39

4.2. Procesos y componentes de la gestión y la valoración de riesgos . . . 41

4.2.1. Visión general . . . 41 4.2.2. Establecimiento del ámbito de la revisión y sus límites . . . 43 4.2.3. Identificación de activos . . . 44 4.2.4. Determinación de la importancia de la información y del

servicio a través del análisis del impacto para la empresa (valoración de activos) . . . 44 4.2.5. Valoración de las amenazas . . . 48 4.2.6. Valoración de las vulnerabilidades . . . 50 4.2.7. Identificación de los controles de seguridad existentes y

planificados . . . 51 4.2.8. Valoración de los riesgos . . . 52 4.2.9. Identificación y selección de los controles de seguridad . . . . 53 4.2.10. Identificación y estudio de las restricciones . . . 55 4.2.11. Aceptación del riesgo . . . 55 4.2.12. Gestión del riesgo de seguridad actual . . . 56 5. Asegurar una correcta arquitectura de seguridad técnica del entorno

de red . . . 59 5.1. Introducción . . . 59 5.2. El proceso de desarrollo de la arquitectura de la seguridad técnica

del entorno de red . . . 60 5.2.1. Visión general del proceso . . . 60 5.2.2. Inicio del proyecto de seguridad del entorno de red . . . 62 5.2.3. Necesidades de amplitud del entorno de red de la empresa

o comunidad . . . 62 5.2.4. Estudio o revisión de la arquitectura técnica actual o

(5)

5.2.5. Estudio o revisión de los controles de seguridad y valoración

de riesgos actuales o planificados . . . 63

5.2.6. Estudio de las necesidades de rendimiento y los criterios de confirmación . . . 63

5.2.7. Diseño de la seguridad técnica . . . 64

5.2.8. Prueba de concepto . . . 65

5.2.9. Selección de los productos . . . 66

5.2.10. La arquitectura de seguridad técnica del entorno de red y la documentación relacionada . . . 66

5.2.11. Planes de prueba y realización de las mismas . . . 67

5.2.12. Conformidad formal de la arquitectura de seguridad técnica del entorno de red . . . 69

5.3. Principios generales de diseño . . . 69

5.3.1. Introducción . . . 69

5.3.2. Principios de diseño de la arquitectura de seguridad de las pasarelas y cortafuegos . . . 69

5.3.3. Robustez del diseño . . . 70

5.3.4. Contabilidad y auditoría de seguridad . . . 72

5.3.5. Gestión de sistemas y servicios . . . 72

5.3.6. Reforzado del sistema operativo . . . 73

5.3.7. Copia de seguridad . . . 73

5.3.8. Direcciones IP . . . 73

5.3.9. PDC/BDC/WINS . . . 73

5.3.10. Otros aspectos . . . 74

5.4. Conclusión . . . 75

6. Aspectos de la arquitectura de seguridad técnica de la red de área local . . 77

6.1. Introducción . . . 77

6.2. Riesgos de seguridad . . . 78

6.3. Controles de seguridad . . . 79

7. Aspectos de la arquitectura de seguridad técnica de la red de área extensa . . . 83 7.1. Introducción . . . 83 7.2. Riesgos de seguridad . . . 83 7.3. Controles de seguridad . . . 85 7 Índice

(6)

8. Aspectos de la arquitectura de seguridad técnica de la red inalámbrica . 87

9. Aspectos de la arquitectura de seguridad técnica de las redes por radio . 99 9.1. Introducción . . . 99

9.2.1. Generales . . . 100

9.2.2. Riesgos de seguridad de TETRA . . . 101

9.2.3. Riesgos de seguridad de GSM . . . 102

9.2.4. Riesgo de seguridad de 3G . . . 103

9.2.5. Riesgos de seguridad de Bluetooth . . . 104

9.2.6. Riesgos de seguridad de GPRS . . . 105

9.2.7. Riesgos de seguridad de CDPD . . . 106

9.2.8. Riesgos de seguridad de CDMA . . . 106

9.2.9. Riesgos de seguridad RFID . . . 107

9.2.10. Riesgos de seguridad de WAP . . . 108

9.3.1. Controles de seguridad generales . . . 109

9.3.2. Controles de seguridad para TETRA . . . 110

9.3.3. Controles de seguridad para GSM . . . 111

9.3.4. Controles de seguridad para 3G . . . 112

9.3.5. Controles de seguridad para Bluetooth . . . 112

9.3.6. Controles de seguridad para GPRS . . . 113

9.3.7. Controles de seguridad para CDPD . . . 114

9.3.8. Controles de seguridad para CDMA . . . 115

9.3.9. Controles de seguridad para RFID . . . 116

9.3.10. Controles de seguridad para WAP . . . 116

10. Aspectos de la arquitectura de seguridad técnica para las redes de banda ancha . . . 119

(7)

11. Aspectos de seguridad técnica para pasarelas de seguridad . . . 125

12. Aspectos de seguridad técnica para el acceso remoto . . . 131

13. Aspectos de seguridad técnica para las redes privadas virtuales . . . 139

14. Aspectos de la arquitectura de seguridad técnica de las redes de voz . . . 145

15. Aspectos de la arquitectura de seguridad técnica de las redes de convergencia IP (datos, voz, vídeo) . . . 149

15.3 Controles de seguridad . . . 153

16. Aspectos de la arquitectura de seguridad técnica de las arquitecturas de alojamiento web . . . 157

16.3 Controles de seguridad . . . 158

17. Aspectos de seguridad técnica de las arquitecturas de correo electrónico de Internet . . . 163 17.1. Introducción . . . 163 17.2. Riesgos de seguridad . . . 165 17.3. Controles de seguridad . . . 165 9 Índice

(8)

18. Aspectos de seguridad técnica del acceso de salida a Internet . . . 171

19. Aspectos de seguridad técnica del acceso de entrada desde Internet . . . . 177

20. Aspectos de seguridad técnica del acceso dirigido a terceros . . . 183

Apéndice A. Bibliografía . . . 187

Apéndice B. Definiciones y términos . . . 189

Apéndice C. Un ejemplo de plantilla del documento de arquitectura de seguridad técnica del entorno de red . . . 199

Apéndice D. Un ejemplo de plantilla del documento de requisitos (de seguridad) para el acceso a un servicio . . . 207

(9)

En el mundo actual, la mayoría de las empresas del sector público y del privado tie-nen sus sistemas de información conectados con redes, interconectadas a su vez de una o más de las siguientes formas: dentro de la empresa, entre diferentes empre-sas, y entre la empresa y el público general.

El rápido desarrollo del acceso público a la tecnología de red (en particular a Inter-net), con las nuevas oportunidades de negocio que ofrece, ha contribuido a que las empresas lleven su negocio a un entorno electrónico global, presentando servicios

onlinea sus clientes. Estas oportunidades incluyen unos costes menores en las comu-nicaciones de datos, utilizando Internet como un medio de conexión sencillo, incluso hasta los servicios más sofisticados proporcionados por los proveedores de acceso a Internet (ISP, Internet Service Providers). Esto puede suponer desde el uso de un punto de conexión relativamente barato, como los terminales de una gran red, hasta un circuito complejo de comunicación para sistemas de comercio electrónico o prestación de servicios, utilizando para ello servicios y aplicaciones web. Aún más, las nuevas tecnologías (incluyendo la integración de datos, voz y vídeo) incremen-tan las oportunidades de teletrabajo, que permite a los empleados desarrollar su labor desde sus casas en períodos de tiempo o en fechas determinadas. Pueden man-tenerse en contacto perfectamente con la empresa, los sistemas de trabajo en grupo y los sistemas de soporte a través de los servicios de comunicación remota.

Existe una cuantiosa información sobre la gestión de la seguridad, el funciona-miento operativo y el uso de las redes de sistemas de información en las cinco par-tes de la Norma internacional ISO/IEC 18028 Tecnología de la información. Técnicas de seguridad. Seguridad de la red de TI.

• Parte 1: Gestión de la seguridad de red (Network security architecture) define y describe los conceptos asociados, da unas normas sobre la gestión de la

Introducción

(10)

seguridad de red (incluyendo cómo identificar y analizar los factores rela-cionados con las comunicaciones que deben tenerse en cuenta para estable-cer los requisitos de la seguridad de red), y proporciona una introducción a las posibles áreas de control, aun con las que se trabajarán en las siguientes partes de la norma.

• Parte 2: Arquitectura de la seguridad de red (Network security architecture), define una arquitectura de seguridad de referencia y describe un marco para ayudar a la planificación, diseño e implementación de la seguridad de red. • Parte 3: Seguridad de las comunicaciones entre redes utilizando pasarelas (Curing

communications between networks using security gateways) define las técnicas para asegurar las transmisiones de información entre redes empleando puertas de enlace.

• Parte 4: Seguridad del acceso remoto, define las técnicas para asegurar los acce-sos remotos a redes.

• Parte 5: Seguridad en las comunicaciones entre redes utilizando redes privadas virtuales (Securing communications across networks using private networks) (VPN), define las técnicas para asegurar la interconexión de redes cuando se utilizan conexiones del tipo VPN.

Sin embargo, las cinco partes de ISO/IEC 18028 no sólo esbozan varios temas importantes en la seguridad de redes en la actualidad y que preocupan a las empre-sas y a los particulares. Esta guía es una introducción a la Norma ISO/IEC 18028 y sus suplementos, y además traza unas directrices sobre los temas no recogidos en ella.

Con este libro será capaz de:

• Identificar los riesgos de seguridad en redes y los controles de seguridad relacionados (y asegurar su compatibilidad con la Norma ISO/IEC 17799:2005 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, que ha sustituido a BS 7799-1, y la Norma ISO/IEC 27001:2005 Tecnología de la información. Técnicas de segu-ridad. Sistemas de Gestión de la Seguridad de la Información (SGSI), que ha sustituido a BS 7799-2.

• Asegurarse de que tiene implantada una arquitectura de seguridad de red correcta.

• Identificar y trabajar con los aspectos del mundo real sobre la arquitectura de seguridad técnica y los aspectos de relevancia del mundo real de las redes (véase la lista de temas del capítulo 2).

(11)

Nuestra guía está dirigida a:

• Los responsables máximos de las comunicaciones de datos, voz y vídeo de una empresa.

• Los responsables máximos de la seguridad global y las políticas asociadas de la empresa, y sus empleados clave.

• Los responsables específicos de la seguridad de la información y de red de la empresa, y sus empleados clave.

• Los responsables específicos de la planificación detallada, el diseño y la implementación de los elementos de seguridad de red, y sus empleados clave.

• Los responsables específicos de la operación de red, y sus empleados clave. • Los responsables de tecnología de información y comunicaciones, y sus

empleados clave.

Siguiendo esta guía para identificar los requisitos de seguridad de red y los aspec-tos de control y la arquitectura de seguridad técnica para cumplir esos requisiaspec-tos, el lector será capaz de alcanzar de forma satisfactoria el nivel de seguridad de red necesario. Aún más, los responsables de la seguridad de la información de una empresa en general, y, en concreto, los responsables de las comunicaciones de datos, voz y vídeo serán capaces de adaptar el material de esta guía para cumplir las necesidades específicas de la empresa.

13

(12)

En los siguientes capítulos, esta guía proporciona:

• Una visión general de la Norma ISO/IEC 18028-1 a -5 (capítulo 3).

• Una guía sobre cómo identificar los riesgos de seguridad de red y los aspectos de seguridad técnica relacionados, y los controles de seguridad (capítulo 4). • Una guía sobre cómo asegurar que se tiene implantada una arquitectura de

seguridad técnica de red correcta (capítulo 5).

• Una guía de los riesgos y los aspectos de seguridad técnica relacionados para: – Redes de área local (capítulo 6).

– Redes de área extensa (capítulo 7). – Redes inalámbricas (capítulo 8). – Redes vía radio (capítulo 9).

– Redes de banda ancha (capítulo 10).

– Comunicaciones entre redes utilizando puertas de enlace (pasarelas) segu-ras (capítulo 11).

– Acceso remoto (capítulo 12).

– Comunicaciones entre redes utilizando redes privadas virtuales (VPN,

Virtual Private Network) (capítulo 13). – Redes de voz (capítulo 14).

– Redes de convergencia IP (datos, voz y vídeo) (capítulo 15).

Alcance

(13)

– Arquitecturas de servidor web (capítulo 16).

– Arquitecturas de correo electrónico a través de Internet (capítulo 17). – Comunicaciones de salida a Internet (capítulo 18).

– Comunicaciones de entrada desde Internet (capítulo 19). – Comunicaciones redirigidas a otras empresas (capítulo 20).