tecnologias y seguridad

INGENIERÍA EN SISTEMAS COMPUTACIONALES

REDES INALÁMBRICAS

TECNOLOGÍAS Y SEGURIDAD PARA LAS REDES DE BANDA ANCHA

Profesor: I. E. Fernando Jiménez Valencia

Alumnos:Blancas Marroquín José EduardoMedrano Mendoza Jesús DanielRosales Cisneros Luis Eduardo

Chimalhuacán a 10 de Abril de 2015

1

TECNOLOGÍAS

Tabla de contenidoINTRODUCCIÓN 2

MARCO TEORICO………………………………………………………………………………………………………………………….3

TECNOLOGIAS……………………………………………………………………………………………………………………………..3

SEGURIDAD…………………………………………………………………………………………………………………………………13

CONCLUSION……………………………………………………………………………………………………………………………….21

REFERENCIAS……………………………………………………………………………………………………………………………….21

04/2015 Blancas-Medrano-Rosales

2

TECNOLOGÍAS

INTRODUCCIÓN.

La presencia de un gran número de servicios de muy diversa índole es uno de los factores que más influyen en el desarrollo de la futura red Digital de Servicios Integrados de Banda Ancha (RDSI-BA). Sin embargo, todos estos servicios presentan un denominador común: la necesidad de proteger los datos ante un uso no autorizado. Por lo tanto, parece necesario la implantación de sistemas de seguridad adecuados a las necesidades de los distintos servicios.

En cuanto a las Tecnologías de Red de Banda Ancha, la Red de Acceso abarca los elementos tecnológicos que soportan los enlaces de telecomunicaciones entre los usuarios finales y el último nodo de la red. A menudo se denomina lazo de abonado o simplemente la última milla. Sus principales componentes son: los medios de comunicación (par de cobre, cable coaxial, fibra óptica, canal radioeléctrico) y los elementos que realizan la adecuación de la señal a los mismos.

En este documento se presentan las características generales que deben satisfacer estos servicios de seguridad, teniendo en cuenta las restricciones impuestas por las características intrínsecas de las redes de banda ancha. Se analizará la arquitectura y ubicación de los servicios de seguridad, y se apuntarán algunas características que deben satisfacer los protocolos de gestión de claves, teniendo en cuenta su coste y comportamiento ante posibles amenazas.


3

TECNOLOGÍAS

MARCO TEÓRICO.

TECNOLOGÍAS

RDSI

La RDSI (Red Digital de Servicios Integrados) es una red que procede por evolución de la RTB convencional, que facilita conexiones digitales extremo a extremo entre los terminales conectados a ella (teléfono, fax, ordenador, etc.) para proporcionar una amplia gama de servicios, tanto de voz como de datos.

El acceso básico RDSI está constituido por dos canales B a 64 Kbps cada uno y un canal D a 16 Kbps. Los canales B pueden utilizarse independiente o simultáneamente, para voz y datos, sólo para voz o sólo para datos; el canal D se utiliza para señalización y provisión de servicios suplementarios.

La RDSI aprovecha la infraestructura de usuario actualmente existente. Cuando el cliente solicita un acceso básico RDSI, se le instalará un dispositivo de terminación de red o TR1 en forma de cajetín o roseta conectado permanentemente a la red eléctrica, con dos puertos para que pueda conectar directamente sus terminales RDSI (teléfono, tarjeta de red) como se muestra en la Figura 1. Si lo desea, se le puede instalar un modelo de terminación de red TR1 mixto con dos puertos adicionales específicos para conectar hasta dos dispositivos analógicos (teléfono, fax, etc.).

Figura 1: Estructura de acceso de la RDSI.


4

TECNOLOGÍAS

ADSL

La tecnología de línea de abonado digital asimétrica o ADSL (Asyncronous Digital Subscriber Line) es una nueva tecnología para modems, que proporciona un acceso asimétrico y de alta velocidad a través del par trenzado de cobre actualmente instalado en las oficinas y casas de los usuarios de la RTB.

El sistema de acceso ADSL se compone de dos modems en cada extremo de la línea telefónica, tal y como se ilustra en la Figura 1, creándose tres canales de información: uno descendente (de la central al domicilio del abonado) de hasta 2 Mbps -que podrá llegar hasta los 8 Mbps en un futuro-, otro ascendente (del domicilio del abonado a la central) de hasta 300 Kbps y el del servicio telefónico básico a 64 Kbps. El hecho de que el canal de recepción tenga mayor velocidad que el canal de envío de datos, es decir, que el acceso sea asimétrico; se adapta perfectamente a los servicios de acceso a información como en la navegación por Internet, en los que normalmente el volumen de información recibido es mucho mayor que el enviado. El ADSL sólo es factible actualmente si la distancia entre la central y el domicilio del usuario es menor a 3,5 Km.

El canal del servicio telefónico básico es separado del módem digital mediante filtros, garantizando así la continuidad del servicio telefónico ante una caída o fallo de dicho módem, lo cual es una ventaja respecto a RDSI. El hecho de que los modems ADSL incorporen la función que separa la voz de los datos es además muy interesante para los usuarios finales que pueden de esta forma utilizar simultáneamente el teléfono y, por ejemplo, acceder a Internet.

Figura 2: Estructura de acceso del ADSL.


5

TECNOLOGÍAS

Cable

Una red HFC (Híbrida Fibra Óptica-Coaxial) es una red de telecomunicaciones por cable que combina la fibra óptica y el cable coaxial como soporte de la transmisión de señales. La señal de voz suele transportarse sobre un par trenzado de cobre, tendido a la vez que se realiza el tendido de cobre.

La cabecera se encarga de recibir y procesar las señales de televisión, de enviar y recibir las señales de telefonía procedentes de los abonados y de convertir al nivel físico las señales de datos de forma que puedan ser enviados a través de fibra óptica a la red de distribución. La red troncal suele presentar una estructura de anillos redundantes de fibra óptica que une a un conjunto de nodos de distribución que sirven a unos 500 hogares pasados. En los nodos de distribución se produce una conversión óptico eléctrica, para poder distribuir la señal a través del cable coaxial que llega hasta la red del abonado. La distancia que recorren las señales descendentes desde la cabecera hasta el hogar del abonado puede ser de hasta 80 Km, de los cuales sólo unos 2 Km corresponden al coaxial. El acceso mediante cable necesitan de un tendido nuevo o la modificación del existente, por lo cual su despliegue de cara a la operadora es mucho más caro, limitado a grandes capitales y muy lento en comparación con las tecnologías ADSL y RDSI.

Las operadoras de cable dan acceso a un gran número de canales y, generalmente, ofertan también películas o deportes en la modalidad de pago por visión. Para poder recibir la señal y poder usar el pago por visión hace falta un aparato que hace la señal comprensible para el televisor y transmite la información que envía el usuario.

El acceso a Internet se puede realizar mediante un cablemódem o un módem analógico típico de la RTB. La solución que más prestaciones ofrece es el cablemódem, alcanzando velocidades descendentes de hasta 30 Mbps frente a los 56 Kbps alcanzados en la RTB. La red de cable, al igual que el ADSL, es asimétrica; el retorno se realiza a una velocidad considerablemente menor de alrededor de 1 Mbps y además se caracteriza por ser un canal muy ruidoso. Mediante cablemodems, al igual que mediante ADSL, siempre se permanece conectado a la red y con sólo encender el ordenador se dispondría automáticamente de conexión.

La principal desventaja para el usuario de los modems de cable respecto al de ADSL o RDSI, es que es no es un servicio dedicado para cada abonado; es decir, la conexión entre el usuario y la central no es punto a punto. Con los modems de cable se podrían alcanzan velocidades de 30 Mbps, pero la línea se comparte entre todos los usuarios, con lo cual el


6

TECNOLOGÍAS servicio se degrada cuando el tráfico y el número de abonados aumenta; siendo las velocidades de trabajo normales de alrededor de 1 Mbps. Estas velocidades permitirán, al igual que mediante ADSL, ofrecer servicios de telecomunicaciones avanzados, como por ejemplo: videoconferencia, vídeo bajo demanda, música de alta calidad, teletrabajo, teleformación, telecompra, juegos interactivos en red, etc. Por otro lado, el hecho de que la conexión entre el usuario y la central esté compartida, supone también una menor seguridad que la proporcionada por la tecnología ADSL o RDSI.

Figura 3: Estructura de acceso del cable.

Comparativa de las operadoras

En este apartado vamos a realizar un resumen de las distintas ventajas e inconvenientes que ofrece cada una de las tecnologías de acceso. En cuanto a las tarifas de RDSI y ADSL se presentarán únicamente las de Telefónica, aunque también es posible la contratación de estas líneas a otras operadoras de telefonía fija y proveedores de acceso a Internet, si bien su precio y prestaciones son bastante parecidos. En primer lugar, debemos aclarar que la contratación de una u otra tecnología está en función de las necesidades de cada cliente y todo depende de una combinación de factores relativos a servicios a utilizar, velocidad de acceso y precio. En la Tabla 1 se muestra un cuadro resumen con las características de las distintas tecnologías de acceso de banda ancha en España.

Características RDSI ADSL Cable

Velocidad máxima de entrada de datos

128 kbps (sin voz)64 kbps (con voz)

256 kbps - 2 Mbps 256 kbps - 777 kbps

Velocidad máxima de salida de daots

128 kbps (sin voz)64 kbps (con voz)

128 kbps - 300 kbps

128 kbps - 512 kbps


7

TECNOLOGÍAS Canal hasta la central telefónica

Independiente Independiente Compartido

ServiciosTeléfono con servicios avanzados y posibilidad de Internet

Internet y posibilidad de teléfono convencional

Teléfono, televisión e Internet integrados

Factura integrada en todos los servicios

No No Sí

Precio de la tarifa plana de acceso a Internet

No incluída en el precio. De 18:00 a 8:00 días de diario y a las 24 horas los sábados, domingos y festivos nacionales

Incluída en el precio. Para las 24 horas los 365 días del año

No incluída en el precio. Depepende de si la conexión es vía módem telefónico o cablemódem

Precio de la cuota de abono para llamadas de voz

Incluída en el precio. Precio por llamada igual que para la RTB

No incluída en el precio. Precio por llamada igual que para la RTB

Incluída en el precio

Posibilidad de ofrecer servicios multimedia avanzados

No Sí Sí

Simultaneidad y compatibilidad con el servicio telefónico

Sí Sí Sí

AccesibilidadPrácticamente la totalidad de los hogares con RTB

Alrededor del 80% de los hogares con RTB

Depende del desplieguee realizado por la operadora de cable local

Plazo de instalación 1 semana 1 mes 1 mes

Tabla 1: Resumen de las características de las tecnologías de acceso de banda ancha en España.

El acceso básico RDSI de Telefónica tiene un precio de alta de 32.480 pts y una cuota mensual de 4.408 pts, en el caso de optar únicamente por el servicio de telefonía. En el caso


8

TECNOLOGÍAS de optar por un TR1 mixto en vez del TR1 instalado por defecto, deberá considerar adicionalmente un coste de alquiler mensual de 580 pts. En el servicio de telefonía las llamadas de voz se tarifican como en la RTB. Para navegar por Internet, es necesario instalar un módem externo o interno RDSI, bien por cuenta propia o bien contactando con la operadora en cuestión. Por ejemplo, Telefónica ofrece la tarjeta Intro RDSI a un precio de 8.114 pts y con un precio de instalación de 13.750 pts y de mantenimiento de 580 pts, a lo que habría que sumar el coste de la tarifa plana que es de 3.190 pts al mes con Terra. Esta tarifa plana de acceso a Internet no tiene límite de información descargada pero tiene una franja horaria de18:00 a 8:00 horas los días laborables y de 24 horas los fines de semana.

De las tres tecnologías de acceso de banda ancha bajo estudio, la RDSI es la más utilizada en estos momentos para acceder a Internet. En efecto, en España hay 1.875.000 hogares con acceso a Internet, siendo el índice de utilización por este orden: 86,9% RTB, 4,5% RDSI, cable 3,6%, ADSL 2,3% y otros sistemas 2,6%. No obstante, la RDSI es la mejor opción para usuarios interesados principalmente en servicios telefónicos digitales avanzados, que pueden ser gratuitos o con un precio de alta y mensual según el tipo concreto, como por ejemplo: identificación del usuario llamante, múltiples números de abonado adicionales al número de cabecera, subdireccionamiento para la redirección de la llamada a distintos terminales, información de tarificación durante y al final de la llamada, etc.

El ADSL ha sido la tecnología elegida por el Ministerio de Fomento para traer la tarifa plana en el acceso a Internet en España y constituye, en principio, la mejor opción para aquellos usuarios que estén interesados básicamente en este servicio. En la Tabla 2 se muestran las tarifas de las tres modalidades de ADSL de Terra, el principal proveedor de acceso a Internet con una cuota del 43,4%. Se tienen cuatro opciones de instalación: sin módem que sería gratuita para el abonado; y con módem interno, o módem externo, o módem externo y tarjeta Ethernet. La cuota mensual incluye tarifa plana de acceso a Internet 24 horas y sin límite de información descargada, pero no incluye la cuota de mantenimiento de línea telefónica que es de 2.833 pts al mes.

Características ADSL Standar ADSL Class ADSL Premium

Precio mensual 7.540 pts 16.235 pts 31.700 pts

Precio del alta 22.121 pts 34.301 pts 63.881 pts

Velocidad de entrada 256 kbps 512 kbps 2 MBps

Velocidad de salida 128 kbps 128 kbps 300 kbps

Buzones de correo 5 10 20

Espacio de páginas Web 10 MB 20 MB 30 MB


9

TECNOLOGÍAS Precio del módem 35.380 pts 35.380 pts 35.380 pts

Tabla 2: Modalidades de ADSL de Telefónica.

Las operadoras de cable en España y las demarcaciones en las que operan son las mostradas en la Tabla 3. De momento, las únicas regiones en las que el concurso de adjudicación de licencias de cable quedó desierto son Extremadura y Castilla la Mancha. La principal razón del alto crecimiento de abonados a las operadoras de cable es, sin lugar a dudas, el precio, sobre todo debido a las ofertas que éstas ofrecen por encontrarse en fase de lanzamiento. En cuanto al servicio de telefonía, el único considerado básico, las operadoras de cable ofrecen generalmente llamadas gratuitas o con tarifas muy reducidas entre sus clientes, y el coste de alta e instalación es muy reducido, sobre todo si se tienen cuenta todas las promociones. Por ejemplo, el servicio de telefonía a través de ONO tiene un precio de instalación de 11.600 pts, un precio de alta de 5.795 pts y una cuota mensual de 1.850 pts. Como desventaja, el precio de las llamadas es ligeramente superior a las de las operadoras de telefonía fija (Retevisión, Uni2, Jazztel, Aló, Sinpletel, etc.) o a las de Telefónica, considerando los diferentes planes de descuento y, además, se pierde la oportunidad de aprovechar sus tarifas ya que las operadoras de cable no están obligadas a alquilar su bucle de abonado a otras operadoras.

Operadora Contacto Demarcación

Able www.able.es Aragón

Canarias Telecom

www.canariastelecom.com Islas Canarias

Euskaltel www.euskaltel.es País Vasco

Madritel www.madrid.es Madrid

Menta www.menta.net Cataluña

ONO www.ono.esCantabria, Huelva, Cádiz, Comunidad Valenciana, Isla de Mallorca

R www.mundo-r.com Galicia

Retecal www.retecal.com Castilla y León

Retena www.retena.es Navarra

Reterioja www.reterioja.es Rioja

Supercable www.supercable.esAndalucía, excepto las demarcaciones atlánticas

Telecable www.telecable.es Asturias

Telefónica www.telefonica.es Todas las demarcaciones (no ha


10

TECNOLOGÍAS Cable comenzado el despliegue del cable)

Tabla 3: Las operadoras de cable en España.

El cable permite ofrecer también televisión -analógica por el momento salvo Euskaltel y Madritel- además de telefonía y acceso a Internet. Las operadoras dan acceso a un gran número de canales y, generalmente, ofertan también películas o deportes en la modalidad de pago por visión. Para poder recibir la señal y poder usar el pago por visión hace falta un aparato que hace la señal comprensible para el televisor y transmite la información que envía el usuario. Se suele diferenciar entre un paquete mínimo incluido con el servicio telefónico y formado por los canales de emisión obligatoria, la cadena autonómica de la región, las televisiones locales y algún canal adicional; el paquete básico incluye, junto al paquete mínimo, una selección de unos 20 a 50 canales de diversa índole y con precios que van de 1.700 pts a 5.800 pts según el operador; el paquete especial amplía el número de canales en cada uno de los apartados, o bien canales sueltos con una cuota mensual por cada uno de ellos o bien pequeños paquetes adicionales. El acceso a Internet se puede realizar mediante un módem y una conexión telefónica tradicional, en el que por lo general el alta y abono mensual son gratuitos si se tiene contratado el servicio telefónico básico y, además, algunas operadoras ofrecen tarifas planas interesantes. El acceso mediante cablemódem tiene unos costes fijos mensuales, ofreciendo una tarifa plana 24 horas aunque con límite de descarga de información a unas velocidades que van desde los 128 Kbps a los 777 Kbps. Las ofertas de acceso a Internet mediante cablemodems de las distintas operadoras se muestran en la Tabla 4. El cable es claramente la única opción que integra realmente los servicios de telefonía, acceso a Internet y televisión interactiva, siendo la opción más adecuada para los usuarios que deseen disfrutar de estos servicios aprovechándose de las económicas ofertas conjuntas, como se muestra en la Tabla 5 para ONO, y de acceder a todo ello a través de un único operador y pagar mensualmente una única factura. El principal problema del cable es su lento despliegue, es decir, su baja disponibilidad.

Operadora Servicio Velocidad máx.

Buzones de correo

Precio alta (pts)

Precio mensual (pts)

Precio alquiler módem (pts)

Límite descarga en Mb

AbleAble 128 128 4 17.400 5.220 1.450 -

Able 256 256 5 17.400 9.280 1.450 -

Canarias Telecom

Cable 128

128 5 17.400 5.795 incluído -

Cable 256 5 23.200 8.695 1.276 -


11

TECNOLOGÍAS 256

EuskaltelServicio Despega

258 2 11.600 4.524 incluído -

Madritel

Internet Familiar (2)

777 5 - 2.204 incluído 70 (3)

Internet 777

777 5 8.120 5.800 1.740 150 (4)

MentaSurf 256 3 5.788 4.524 1.740 -

Regata 512 3 5.788 6.844 1.740 -

ONO

128 128 indef. 4.640 4.054 1.740 -

256 256 indef. 4.640 6.374 1.740 -

512 512 indef. 4.640 11.014 1.740 -

R Combo3 150 4 14.000 6.400 1.500 -

Retecal

SIMBAD 128 2 16.240 5.742 incluído1.000 Mb (5)

SIMBAD XTRA

256 2 16.240 8.642 incluído1.000 Mb (5)

Retena/Reterioja*AVE 128 128 2 17.400 5.220 1.740 -

AVE 256 256 2 17.400 7.540 1.740 -

Supercable Super128 128 2 5.800 4.060 1.479 -

Telecable

Super256 256 2 5.800 6.380 1.479 -

Telecable Internet

128 2 16.240 5.742 incluido -

Tabla 4: Tarifas de acceso a Internet por cablemódems.

1. Este tipo de acceso requiere un ordenador con tarjeta Ethernet. Si su ordenador no la tiene, casi todos los operadores se la instalan por un precio de unas 12.000 pts aproximadamente.

2. Contratación con alguno de los paquetes Fórmula.3. Según tarifas, cobran 32 pts por cada Mb adicional entre 70 y 90 Mb y 11 pts a

partir de 150 Mb, pero actualmente tienen una promoción y no cobran cuando se supera el límite.

4. Cobran 13 pts por cada Mb adicional.5. Cobran 1.149 pts por cada bloque de 500 Mb adicionales.


12

TECNOLOGÍAS 6. Las 35.380 pts corresponden a la compra del módem especial que es necesario para

este servicio.

Combinado ONO 1000 ONO 2000 ONO 3000

Características

Teléfono + Televisión servicio mini + Acceso gratuito a Internet a través de la línea de teléfono sin limite de cuentas de correo

Teléfono + Televisión selección oro + Acceso gratuito a Internet a través de la línea de teléfono sin límite de cuentas de correo

Teléfono + Televisión selección platino + Acceso gratuito a Internet a través de la línea de teléfono sin límite de cuentas de correo

Precio de instalación

16.240 pts 16.240 pts 16.240 pts

Precio de alta 6.955 pts 6.955 pts 6.955 pts

Precio mensual del alquiler del descodificador y del mando a distancia

900 pts 900 pts 900 pts


Combinado + tarifa plana

ONO 1000 ONO 2000 ONO 3000


Combinado + alta velocidad

ONO 1000 ONO 2000 ONO 3000

Precio mensual de 128 kbps

6.230 pts 7.390 pts 8.782 pts


8.550 pts 9.710 pts 11.102 pts


13.190 pts 14.350 pts 15.742 pts

Tabla 5: Combinados de ONO.

SEGURIDAD.

En los últimos años se está realizando un gran esfuerzo en el desarrollo de una red de alta velocidad que integre servicios de voz, datos e imagen. El CCITT (denominado UIT a partir de 1992) adoptó la Red Digital de Servicios Integrados de Banda Ancha [CCITT


13

TECNOLOGÍAS I.121] y el modo de transferencia asíncrono (MTA, o ATM en inglés) como modo de transferencia universal para dicha red.

MTA es una técnica orientada a conexión, basada en la segmentación del flujo de información en unidades de longitud fija denominadas celdas, constituidas por una cabecera de 5 bytes y un campo de datos de 48 bytes. Durante el establecimiento de conexión se establecen todas las características del servicio, así como el circuito virtual utilizado durante toda la comunicación. El enrutamiento se realiza mediante los identificadores de camino virtual (VPI) y de canal virtual (VCI) presentes en la cabecera de todas las celdas.

Figura 1

Aunque seguirán existiendo terminales únicamente de datos y de voz (teléfonos), los terminales multimedia constituirán el soporte de acceso a la red RDSIBA para la integración de todos los servicios en una única plataforma. Cada terminal deberá tener un interface adecuado para las aplicaciones de vídeo, audio y datos que soporta. La figura 1 muestra dos terminales multimedia que se comunican a través de una red MTA.

La necesidad de mecanismos para proporcionar comunicaciones seguras en la futura red pública de banda ancha es evidente, y es deseable una solución global estándar con el objetivo de reducir el coste y permitir la operación entre usuarios. Un mecanismo necesario para alcanzar un nivel de seguridad aceptable (ya sea para servicios de confidencialidad, integridad o autentificación) es el cifrado de la información. Por ello es necesario la elección de un algoritmo criptográfico para llevar a cabo este cifrado, que exigirá un soporte hardware debido a la alta velocidad de las aplicaciones multimedia. Bajo un punto de vista de eficiencia económica es recomendable que este hardware pueda ser utilizado para todas las aplicaciones que manipulan información crítica.

En caso de una nueva red en la que todos los nodos deben ser instalados se pueden adoptar mecanismos de seguridad extremo a extremo [FORD94], dotando a los terminales


TERMINAL MULTIMEDIA 2 TERMINAL MULTIMEDIA1

VIDEO + AUDIOVIDEO + AUDIO

ATM

14

TECNOLOGÍAS multimedia de los dispostivos hardware requeridos para dar seguridad a la información. En caso de trabajar con nodos instalados previamente, un aspecto a considerar es la compatibilidad entre todos los dispositivos. También debe tenerse en cuenta que las necesidades de seguridad no son las mismas para los distintos servicios, por ejemplo, la gestión de claves será distinta en comunicaciones punto a punto, o comunicaciones multipunto.

UBICACIÓN DE LOS SERVICIOS DE SEGURIDAD.

La arquitectura del terminal juega un papel fundamental en el diseño de un sistema de seguridad entre terminales conectados a una red RDSI-BA. A continuación presentaremos algunas opciones para integrar seguridad, comentando las ventajas y desventajas de las distintas opciones. La elección de una opción u otra dependerá de la arquitectura particular del terminal multimedia.

En este apartado presentamos las principales opciones para ubicar el cifrado de la información, la gestión de claves y la autentificación según la arquitectura MTA.

Cifrado de la información

La ubicación del cifrado dentro del modelo de referencia MTA es compleja y a menudo sujeta a controversia. La figura 2 presenta las tres posibilidades que serán consideradas.

APLICACIÓN

APLICACIÓN APLICACIÓN

CIFRADO

I

NIVELES NTERMEDIOS

I

NIVELES NTERMEDIOS

I

NIVELES NTERMEDIOS

CIFRADO AAL

AAL AAL CIFRADO

MTA MTA MTA

FÍSICO FÍSICO FÍSICO

Figura 2a Figura 2b Figura 2c

La primera posibilidad es ubicar el cifrado inmediatamente debajo del nivel de aplicación, tal como se observa en la figura 2a. En esta situación, los datos procedentes de aplicaciones críticas se cifran en el terminal origen antes de ser transmitidos a los niveles


15

TECNOLOGÍAS intermedios, a continuación son encapsulados con los protocolos de comunicaciones correspondientes y finalmente son transmitidos a través de la red. En el extemo destinatario se realiza el proceso inverso, de modo que los datos son descifrados justo antes de ser entregados al nivel de aplicación. Esta solución presenta las siguientes ventajas:

• La cantidad de datos a cifrar es menor, ya que las cabeceras introducidas por los niveles por debajo del nivel de aplicación no son procesadas.

• La gestión de claves se simplifica, ya que se asocia una clave con cada aplicación.

El inconveniente que presenta esta opción es que no siempre puede adoptarse. En algunos casos, la arquitectura del terminal multimedia impone que aplicaciones de audio y video accedan directamente a los niveles inferiores, impidiendo esta solución. Lógicamente podría ubicarse la seguridad a este nivel para aplicaciones de datos que lo requieran, y dotar de mecanismos alternativos de seguridad para el resto de aplicaciones de audio y video. Sin embargo, creemos interesante estudiar mecanismos globales de seguridad para toda la información multimedia, indepentemente de su naturaleza, por lo que deben considerarse las opciones presentadas en las figuras 2b y 2c.

La segunda opción es ubicar el proceso de cifrado inmediatamente debajo de la capa de adaptación (AAL: ATM Adaptation Layer ), tal como se indica en la figura 2b. Esta opción sólo debe aplicarse cuando es viable y no se puede adoptar la solución anterior. Sus ventajas frente a la opción 2c son las siguientes:

• Los bloques de información son de mayor tamaño, mejorando la eficiencia del proceso de cifrado (el número de veces que la información es procesada y se selecciona la clave criptográfica adecuada disminuye) .

• Trabajando a este nivel se asegura el orden y no duplicidad de las tramas correspondientes a un mismo canal virtual.

Si la arquitectura del terminal no posibilita las soluciones anteriores, debe ubicarse el proceso de cifrado entre los niveles AAL y MTA, tal como indica la Figura 2c. En tal caso, las celdas MTA (unidades de información pequeñas) procedentes de distintas aplicaciones deben alcanzar el dispositivo de cifrado, y posiblemente se deberá modificar la clave. Dado que es posible que dos celdas consecutivas correspondan a distintos servicios, se precisa un conmutador de claves muy rápido, o varios cifradores actuando en paralelo, uno para cada aplicación o canal. Además, debe tenerse en cuenta que trabajando a este nivel puede haber pérdidas de tramas, lo cual obligaría a trabajar con cifradores robustos a estas pérdidas. En caso de utilizarse cifradores en flujo (ver sección 3.1), estos deberían funcionar en modo autosincronizante.

Resumiendo, la opción 2a es la más conveniente si la arquitectura del terminal permite su adopción, y a nivel general podríamos decir, que mientras más bajo se ubique el proceso de cifrado mayor es la cantidad de información a proteger y aumentan los requisitos del


16

TECNOLOGÍAS cifrador (velocidad, conmutación de claves y capacidad de trabajar con posibilidad de pérdidas de celdas).

Gestión de claves.

La gestión de claves es el mecanismo mediante el cual terminales multimedia negocian una clave para cifrar una comunicación (ver sección 3.2, para mayor detalle). Debe tenerse en cuenta que sólo es conveniente dar seguridad a aquellas aplicaciones que manipulan información crítica. En consecuencia, la gestión de claves debería ubicarse a nivel de aplicación para obtener un interface adecuado con los usuarios y las aplicaciones.

Autentificación.

Un problema fundamental para la seguridad de un sistema es la autentificación o verificación de la entidad que genera ciertos datos, así como su integridad. Deben considerarse tres tipos de autentificación• Autentificación entre usuarios.

• Autentificación del usuario frente al terminal (identificación) y del terminal frente al usuario.

• Autentificación mútua entre terminales.

La primera opción (autentificación entre usuarios extremos) implica que cada usuario debe verificar su identidad ante todos los otros que participan en la comunicación (uno para comunicaciones punto a punto, o varios para comunicaciones multipunto). Cada usuario autorizado debe poseer material asociado a su clave, almacenado en un dispositivo como una tarjeta inteligente. Bajo un punto de vista de seguridad esta opción puede considerarse muy válida, aunque el coste en gestión de claves es muy elevado si hay muchos usuarios.

Otro aspecto a considerar es el control de acceso de usuarios a terminales, basado en la verificación de su identidad. Si el usuario no tiene porqué creer en la autenticidad del terminal es preciso que se establezca un proceso de autentificación mutua. En algunos casos la autentificación entre usuarios remotos se puede conseguir a partir de técnicas de autentificación entre terminales y autentificación mútua entre usuario y terminal reduciendo complejidad y coste del sistema, aunque el nivel de seguridad ofrecido puede ser menor.

Los procesos de autentificación y control de acceso, así como la gestión de claves deberían ubicarse a nivel de aplicación para tener un interface adecudado con usuarios y aplicaciones.


17

TECNOLOGÍAS SERVICIOS Y MECANISMOS DE SEGURIDADEn esta sección se presentarán los problemas asociados a los servicios de confidencialidad de la información, integridad, autentificación y al mecanismo de gestión de claves.

Confidencialidad e Integridad de la Información

La velocidad a la que circulan los datos en una red de banda ancha es muy elevada, lo cual supone que el proceso de cifrado de datos deba ser muy rápido; de otra forma constituiría un cuello de botella y se perderían tramas. En consecuencia, parece evidente que se precisa un cifrador que trabaje a velocidades muy elevadas.

Actualmente, los cifradores en flujo [RUEP86] parecen ser la mejor opción para conseguir implementaciones rápidas de los servicios que deben aplicarse sobre la información sensible (confidencialidad, integridad, autenticidad, ...). Las técnicas de cifrado en flujo consisten en generar una secuencia pseudoaleatoria (PN) que se suma al mensaje (módulo 2), y así se obtiene el texto cifrado. La misma secuencia pseudoaleatoria se genera en el receptor, y al sumarle el texto cifrado se obtiene el mensaje en claro. Como se ha dicho anteriormente, determinadas aplicaciones como audio y video pueden ser no fiables (no incorporar mecanismos de corrección de errores durante la transmisión), de modo que no se garantiza el orden ni la llegada de todas las tramas. En tales circunstancias, si se selecciona un cifrador en flujo, debería ser capaz de trabajar en modo autosincronizante. La figura 3 muestra el esquema de un cifrador en flujo síncrono y un cifrador autosincronizante.

Cifrador síncrono

Cifrador autosincronizante

Figura 3.


Clave

en claroMensaje

Clave

Mensaje cifrado en claroMensaje

pseudoaleatorios Generador bits


Clave

en claroMensaje

Clave

Mensaje cifrado en claroMensaje



18

TECNOLOGÍAS Una de las características de los cifradores síncronos es que si se pierde un bit en el texto cifrado, el mensaje restante a partir de dicho bit se recibirá incorrectamente. Sin embargo, en los cifradores autosincronizantes la secuencia pseudoaleatoria depende del texto cifrado, permitiendo que cuando hay pérdidas el sistema sea capaz de recuperarse al cabo de n bits, siendo n la memoria del cifrador.

Gestión de claves

Las técnicas de cifrado en flujo requieren claves para proteger los datos. Estas claves denominadas de sesión, deben ser negociadas entre los dos terminales antes de establecer una comunicación segura. Además, estas claves deben ser renovadas cada cierto tiempo para dar mayor robustez al sistema, siguiendo una política de seguridad.

En consecuencia, es preciso un protocolo de gestión de claves para establecer comunicaciones seguras. Las principales consideraciones que debe satisfacer dicho protocolo son las posibles amenazas que puede sufrir el sistema de seguridad en cuestión, y la arquitectura del sistema. Entre los distintos requisitos podríamos citar los siguientes:,

• Confidencialidad de claves: Las claves deben mantenerse secretas durante su transmisión.

• Detección de modificaciones : Cualquier modificación realizada por un usuario no autorizado debe ser detectada.

• Detección de repeticiones. Un posible ataque consiste en la réplica de tramas, con el objetivo de conseguir la ejecución de un mismo proceso más de una vez. Cualquier repetición ilícita de tramas debe ser detectada por el protocolo. Básicamente existen tres mecanismos para detectar réplicas: contadores, marcas temporales, y retos, siendo esta última técnica la más aconsejable [BIRD93, FUMY93] especialmente en entornos de área extendida, donde la presencia de contadores o la necesidad de sincronismo de reloj es poco práctica.

• Autenticidad de origen: La identidad del emisor del mensaje debe ser verificada.

La velocidad del proceso de gestión de claves no es tan importante como la del proceso de cifrado de información, ya que la clave de sesión se negocia off-line. Esta característica permite la opción de criptosistemas de clave pública facilitando la gestión y reduciendo el número de claves del sistema.

Las comunicaciones punto a punto pueden ser protegidas usando protocolos de gestión de claves en los que intervienen las dos entidades que gestionan la clave. Obviamente en entornos con muchos usuarios es necesario la presencia de entidades verificadoras como centros de certificación. Parecen recomendables protocolos basados en modificaciones del


19

TECNOLOGÍAS protocolo de autentificación NS (Needham - Schroeder) [NEED78], puesto que a la vez garantizan autentificación mútua. En estos casos, las dos entidades juegan un papel similar en la comunicación y la clave de sesión puede ser generada por una de las dos entidades, o conjuntamente por las dos .

En caso de comunicaciones multipunto, es preciso otro conjunto de protocolos ya que un número considerable de clientes puede abrir una sesión con un servidor (distribución de TV,...) La clave de sesión debe ser generada por el servidor y distribuida de forma segura a los clientes cuando se conectan al servidor.

CONCLUSIÓN.

La manera en la que la transmisión de datos e información se ha ido desenvolviendo conforme pasan los años ha propiciado nuevas formas de poder enviarla. Sin embargo, asi como han ido evolucionando estas tecnologías, también la forma de robar dicha información y debido a eso también buscar nuevas formas de encriptarla para mayor seguridad.


20

TECNOLOGÍAS Es muy cierto que aun seguirán desarrollándose una tras otra para poder tener una seguridad aún mucho más compleja, aunque por desgracia será difícil impedir totalmente un tipo de robo de esta.

BIBLIOGRAFÍA.

[BIRD93] R. Bird et al., "Systematic Design of a Family of Attack-Resistant Authentication

Protocols". IEEE Journal on Selected Areas in

Communications. Volume 11. Number 5. June 1993[CCITT I.121]

CCITT Recommendation I.121. "Broadband Aspects of ISDN". Geneva,

1991[CCITT I.321]

CCITT Recommendation I.321. "B-ISDN Protocol Reference Model and its

Applications". Geneva, 1991[FORD94] W. Ford. Computer Communications Security. Ed.

Prentice Hall. 1994[FUMY93] W. Fumy and P. Landrock, "Principles of Key

Management". IEEE Journal on Selected Areas in Communications. Volume 11. Number 5. June 1993

[NEED78] Needham, R. M. and Schroeder, M. D., "Using encryption

for authentication in large networks of computers",

Communication of the ACM, Vol. 21. No.

12, December 1978, pp. 993-999.[RUEP86] Rueppel, R. A., Analysis and Design of Stream Ciphers. Springer-Verlag

(


tecnologias y seguridad

Documents