Impacto de los estándares de seguridad (2)
Redes, sistemas y aplicaciones
En la primera entrega de este artículo, se dio una amplia visión sobre los criterios y marcos generales de seguridad, así como de las organizaciones nacionales e internacionales que los desarrollan y soportan. En esta segunda y última parte, se recogen los principales estándares de seguridad de alcance mundial en cuanto a redes, sistemas, aplicaciones y certificaciones personales.
Existen hoy iniciativas más que suficientes para poner coto con éxito a la tan popular idea de la inseguridad de las redes y sistemas. Posiblemente, sólo haya que tomárselo más en serio y tener intenciones reales de invertir en seguridad de la información, algo que, a estas alturas, debería ser más que una idea para el futuro.
Vistos en la primera entrega de este artículo los estándares referentes a criterios y marcos generales de seguridad, en esta segunda se recogen –sin ánimo exhaustivo, obviamente– las normas hoy fundamentales en cuanto a seguridad de redes y sistemas, el desarrollo de aplicaciones seguras y certificación personal en esta materia.
Seguridad de redes y sistemas
En esta categoría de normas, se consideran las relacionadas directamente con todo tipo de necesidades puntuales de seguridad para sistemas, protocolos de comunicación y herramientas de gestión concretas. No es de extrañar que éstas sean las más antiguas, ya que son las “piezas” que han ido creando el “entramado” de seguridad de múltiples aplicaciones y sistemas.
Entre las más significativas de las actuales, con diferencia, se debe citar las normas IPSec, creadas por el IETF (Internet Engineering Task Force). Por IPSec se hace referencia a un conjunto de protocolos y su forma de uso que permiten una comunicación segura a través de redes inseguras, como Internet. Mediante tales normas –que pueden obtenerse de los documentos RFC 2401, 2402, 2406, 2407, 2408, 2409 y 2411 (www.ietf.org)–se están creando y gestionando la mayor parte de las redes privadas virtuales (VPN) que cruzan Internet hoy en día.
IETF es el organismo de desarrollo y creación de normas de facto para el entorno de redes IP a nivel mundial. Su importancia reside en haber creado y encargarse del mantenimiento de la pila de protocolos de TCP/IP, con toda la relevancia mundial que esto significa. Toda su actividad se recoge oficialmente en los documentos conocidos como “Request For Comments” o RFC, de acceso completamente gratuita.
Algunas otras normativas patrocinadas por IETF relevantes en este apartado de estándares técnicos son:
- Kerberos. Protocolo y sistema de autenticación en red (RFC 1510), cuyas cuatro primeras versiones fueron diseñadas e implementadas desde 1987 por el proyecto ATHENA del MIT (Masachusset Institute of Tecnology). Actualmente, hay implementaciones de referencia públicas de la versión 5, por ejemplo, en los routers de Cisco Systems o como mecanismo de autenticación de usuarios en dominios de Windows 2000 y Windows 2003.
- PEM (Privacy Enhanced Mail). Protocolo para la transmisión segura de correo electrónico (RFC 2630 y 2631) que, esencialmente, consiste en servicios de mejora de la privacidad (confidencialidad, autenticación, garantía de la integridad de los mensajes y no repudio del origen) mediante el uso de criptografía de extremo a extremo entre procesos origen u destino en (o por encima del) nivel de Agente Usuario. Los módulos de PEM están además disponibles en la mayor parte de los servidores HTTP.
- PGP (Pretty Good Privacy). Versión estándar (RFC 1991, 2440 y 3156) de un sistema criptográfico y protocolo desarrollados por Phil Zimmerman en 1991 que permite trabajar con correo electrónico cifrado. Implementa una alternativa a los algoritmos RSA usados por S/MIME y MSP en la transmisión de correo electrónico y otro tipo de mensajes mediante el protocolo MIME.
- S-HTTP (Secure HyperText Transfer Protocol). Protocolo para las transacciones de HTTP seguras por Internet (RFC 2660). Se trata de una extensión de HTTP que proporciona servicios de seguridad aplicables de manera independiente para la confidencialidad, autenticidad/integración y no repudio del origen. Ofrece la máxima flexibilidad en la elección de los mecanismos de administración de claves, políticas de seguridad y algoritmos criptográficos, mediante la negociación de opciones entre los participantes de cada transacción. En la actualidad es soportado por la mayor parte de las herramientas de Internet.
- SOCKS. Sistema de seguridad de los mensajes que pasan a través de cortafuegos (RFC 1928, 1929 y 1961).
También dentro del mundo de las aplicaciones criptográficas son muy importantes las normas PKCS (Public Key Cryptographic Standards). Son una serie de normas para la creación y gestión de infraestructuras de clave pública y para el uso de claves digitales públicas y privadas para protección de datos. Fueron desarrolladas por RSA Labs, en cooperación con un consorcio informal en el que participaban Apple, Microsoft, DEC, Sun y el MIT. Los RSA Labs son una empresa creada por tres de los más famosos (y ricos) criptógrafos del último cuarto del siglo XX: Rivest, Shamir y Addleman. Relacionado íntimamente con las normas PKCS hay otro conjunto de normas recogidas en el ISO/IEC JTC1/SC27 y, tanto en un formato como en otro, cada vez son más utilizadas en cualquier entorno en el que se haga necesario el uso de autenticación mediante certificados digitales.
Muy relacionado con este último apartado aparece el estándar X.509 o “Directory Authentication Framework”, que define cómo debe estar estructurado un certificado digital. Originalmente desarrollado por la ITU-T, hoy en día es una norma también patrocinada por la ISO y con múltiples RFC del IETF. Su importancia es fundamental para la creación, administración segura y mantenimiento correcto de cualquier infraestructura de autenticación de clave pública.
Otra norma técnica, importantísima en la actualidad por la constante aparición en sistemas de comercio electrónico y, en los últimos tiempos, en redes privadas virtuales es el protocolo SSL (Secure Sockets Layer). Aunque desarrollado por Netscape, en su versión 3 es soportado por cualquier aplicación actual del mundo de Internet. A la espera de una implementación correcta y funcional de otros protocolos más seguros para el comercio electrónico –como SET (Secure Encrypted Transactions)– es el protocolo que imprime cierto nivel de seguridad en las transacciones típicas de las compras individuales por Internet.
Otro grupo de normas cruciales para el correcto funcionamiento de muchos de los sistemas citados es el que hace referencia a los algoritmos criptográficos de cifra simétrica, fundamentales para el mantenimiento de la privacidad de datos en disco y de mensajes por redes. Los más importantes son:
- DES (Data Encryption Standard) y 3DES. DES, normalizado por el NIST (National Institute of Standards and Technology) de Estados Unidos, ha sido y es uno de los algoritmos más utilizados de los últimos 25 años. 3DES es una variante criptográfica más difícil de subvertir que también está aún, como DES, presente y activo en múltiples sistemas criptográficos, como SSL e IPSec. Como durante los últimos años se ha demostrado su debilidad en una serie de circunstancias, el propio NIST ha buscado en un proceso abierto su sustitución por AES.
- AES (Advanced Encrypti
Existen hoy iniciativas más que suficientes para poner coto con éxito a la tan popular idea de la inseguridad de las redes y sistemas. Posiblemente, sólo haya que tomárselo más en serio y tener intenciones reales de invertir en seguridad de la información, algo que, a estas alturas, debería ser más que una idea para el futuro.
Vistos en la primera entrega de este artículo los estándares referentes a criterios y marcos generales de seguridad, en esta segunda se recogen –sin ánimo exhaustivo, obviamente– las normas hoy fundamentales en cuanto a seguridad de redes y sistemas, el desarrollo de aplicaciones seguras y certificación personal en esta materia.
Seguridad de redes y sistemas
En esta categoría de normas, se consideran las relacionadas directamente con todo tipo de necesidades puntuales de seguridad para sistemas, protocolos de comunicación y herramientas de gestión concretas. No es de extrañar que éstas sean las más antiguas, ya que son las “piezas” que han ido creando el “entramado” de seguridad de múltiples aplicaciones y sistemas.
Entre las más significativas de las actuales, con diferencia, se debe citar las normas IPSec, creadas por el IETF (Internet Engineering Task Force). Por IPSec se hace referencia a un conjunto de protocolos y su forma de uso que permiten una comunicación segura a través de redes inseguras, como Internet. Mediante tales normas –que pueden obtenerse de los documentos RFC 2401, 2402, 2406, 2407, 2408, 2409 y 2411 (www.ietf.org)–se están creando y gestionando la mayor parte de las redes privadas virtuales (VPN) que cruzan Internet hoy en día.
IETF es el organismo de desarrollo y creación de normas de facto para el entorno de redes IP a nivel mundial. Su importancia reside en haber creado y encargarse del mantenimiento de la pila de protocolos de TCP/IP, con toda la relevancia mundial que esto significa. Toda su actividad se recoge oficialmente en los documentos conocidos como “Request For Comments” o RFC, de acceso completamente gratuita.
Algunas otras normativas patrocinadas por IETF relevantes en este apartado de estándares técnicos son:
- Kerberos. Protocolo y sistema de autenticación en red (RFC 1510), cuyas cuatro primeras versiones fueron diseñadas e implementadas desde 1987 por el proyecto ATHENA del MIT (Masachusset Institute of Tecnology). Actualmente, hay implementaciones de referencia públicas de la versión 5, por ejemplo, en los routers de Cisco Systems o como mecanismo de autenticación de usuarios en dominios de Windows 2000 y Windows 2003.
- PEM (Privacy Enhanced Mail). Protocolo para la transmisión segura de correo electrónico (RFC 2630 y 2631) que, esencialmente, consiste en servicios de mejora de la privacidad (confidencialidad, autenticación, garantía de la integridad de los mensajes y no repudio del origen) mediante el uso de criptografía de extremo a extremo entre procesos origen u destino en (o por encima del) nivel de Agente Usuario. Los módulos de PEM están además disponibles en la mayor parte de los servidores HTTP.
- PGP (Pretty Good Privacy). Versión estándar (RFC 1991, 2440 y 3156) de un sistema criptográfico y protocolo desarrollados por Phil Zimmerman en 1991 que permite trabajar con correo electrónico cifrado. Implementa una alternativa a los algoritmos RSA usados por S/MIME y MSP en la transmisión de correo electrónico y otro tipo de mensajes mediante el protocolo MIME.
- S-HTTP (Secure HyperText Transfer Protocol). Protocolo para las transacciones de HTTP seguras por Internet (RFC 2660). Se trata de una extensión de HTTP que proporciona servicios de seguridad aplicables de manera independiente para la confidencialidad, autenticidad/integración y no repudio del origen. Ofrece la máxima flexibilidad en la elección de los mecanismos de administración de claves, políticas de seguridad y algoritmos criptográficos, mediante la negociación de opciones entre los participantes de cada transacción. En la actualidad es soportado por la mayor parte de las herramientas de Internet.
- SOCKS. Sistema de seguridad de los mensajes que pasan a través de cortafuegos (RFC 1928, 1929 y 1961).
También dentro del mundo de las aplicaciones criptográficas son muy importantes las normas PKCS (Public Key Cryptographic Standards). Son una serie de normas para la creación y gestión de infraestructuras de clave pública y para el uso de claves digitales públicas y privadas para protección de datos. Fueron desarrolladas por RSA Labs, en cooperación con un consorcio informal en el que participaban Apple, Microsoft, DEC, Sun y el MIT. Los RSA Labs son una empresa creada por tres de los más famosos (y ricos) criptógrafos del último cuarto del siglo XX: Rivest, Shamir y Addleman. Relacionado íntimamente con las normas PKCS hay otro conjunto de normas recogidas en el ISO/IEC JTC1/SC27 y, tanto en un formato como en otro, cada vez son más utilizadas en cualquier entorno en el que se haga necesario el uso de autenticación mediante certificados digitales.
Muy relacionado con este último apartado aparece el estándar X.509 o “Directory Authentication Framework”, que define cómo debe estar estructurado un certificado digital. Originalmente desarrollado por la ITU-T, hoy en día es una norma también patrocinada por la ISO y con múltiples RFC del IETF. Su importancia es fundamental para la creación, administración segura y mantenimiento correcto de cualquier infraestructura de autenticación de clave pública.
Otra norma técnica, importantísima en la actualidad por la constante aparición en sistemas de comercio electrónico y, en los últimos tiempos, en redes privadas virtuales es el protocolo SSL (Secure Sockets Layer). Aunque desarrollado por Netscape, en su versión 3 es soportado por cualquier aplicación actual del mundo de Internet. A la espera de una implementación correcta y funcional de otros protocolos más seguros para el comercio electrónico –como SET (Secure Encrypted Transactions)– es el protocolo que imprime cierto nivel de seguridad en las transacciones típicas de las compras individuales por Internet.
Otro grupo de normas cruciales para el correcto funcionamiento de muchos de los sistemas citados es el que hace referencia a los algoritmos criptográficos de cifra simétrica, fundamentales para el mantenimiento de la privacidad de datos en disco y de mensajes por redes. Los más importantes son:
- DES (Data Encryption Standard) y 3DES. DES, normalizado por el NIST (National Institute of Standards and Technology) de Estados Unidos, ha sido y es uno de los algoritmos más utilizados de los últimos 25 años. 3DES es una variante criptográfica más difícil de subvertir que también está aún, como DES, presente y activo en múltiples sistemas criptográficos, como SSL e IPSec. Como durante los últimos años se ha demostrado su debilidad en una serie de circunstancias, el propio NIST ha buscado en un proceso abierto su sustitución por AES.
- AES (Advanced Encrypti
