PDF de programación - GUÍA DE SEGURIDAD (CCN-STIC-811) INTERCONEXIÓN EN EL ENS

SIN CLASIFICAR



GUÍA DE SEGURIDAD

(CCN-STIC-811)

INTERCONEXIÓN EN EL ENS



SEPTIEMBRE 2011

SIN CLASIFICAR



CCN-STIC-811 v1.0 Interconexión en el ENS



SIN CLASIFICAR



Edita:



 Editor y Centro Criptológico Nacional, 2011
NIPO: 076-11-053-3
Tirada: 1000 ejemplares
Fecha de Edición: septiembre 2011
Raúl Gámez Gámez, Juan Luis Bergillos Aguilar y Andrés Méndez Barco han elaborado el presente documento.

LIMITACIÓN DE RESPONSABILIDAD

El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL

Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o
procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del
mismo mediante alquiler o préstamo públicos.

Centro Criptológico Nacional


SIN CLASIFICAR

i



CCN-STIC-811 v1.0 Interconexión en el ENS



PRÓLOGO

SIN CLASIFICAR

El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los
ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y
agresiones, y donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de
derecho, la prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y
de las administraciones públicas.

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la
información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la
vez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico
Nacional en su artículo 9.2.f).

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por el
Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la
seguridad de las TIC, orientadas a la formación de personal experto, a la aplicación de políticas y
procedimientos de seguridad, y al empleo de tecnologías de seguridad adecuadas.

Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración, materializada en la
existencia de la serie de documentos CCN-STIC.

Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso
de los medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de
junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre el
Esquema Nacional de Seguridad (ENS).

Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad
fija los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración, y promueve la elaboración y difusión de guías de seguridad de las
tecnologías de la información y las comunicaciones por parte de CCN para facilitar un mejor
cumplimiento de dichos requisitos mínimos.

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo
para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de
proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.


Septiembre de 2011

Félix Sanz Roldán
Secretario de Estado



Director del Centro Criptológico Nacional



Centro Criptológico Nacional


SIN CLASIFICAR

ii



SIN CLASIFICAR

CCN-STIC-811 v1.0 Interconexión en el ENS



ÍNDICE



INTRODUCCIÓN ........................................................................................................... 5

OBJETO ........................................................................................................................... 5

ALCANCE ....................................................................................................................... 5

ASPECTOS GENERALES.............................................................................................. 6

PRINCIPIOS BÁSICOS .................................................................................................. 6

7.1.

7.1.1.
7.1.2.
7.1.3.
7.1.4.

REQUISITOS MÍNIMOS DE SEGURIDAD ................................................................. 7
6.1. REQUISITOS LÓGICOS .......................................................................................... 7
6.2. REQUISITOS FÍSICOS ............................................................................................. 8
INTERCONEXIÓN DE SISTEMAS ............................................................................... 8
SISTEMAS DE INTERCONEXIÓN ......................................................................... 8
CONEXIÓN DIRECTA (DPP-0) ...................................................................... 8
FILTRO DE PAQUETES (DPP-1) .................................................................... 9
CORTAFUEGOS (DPP-2) ................................................................................ 9
GUARDA O PROXY (DPP-3) ........................................................................ 11
7.2. ARQUITECTURA TIPO DE UN SISTEMA DE INTERCONEXIÓN .................. 12
7.2.1.
SPP-1. CORTAFUEGOS Y PROXY .............................................................. 12
7.2.2.
SPP-2. ZONA DESMILITARIZADA (DMZ) ................................................. 12
7.2.3. MEJORAS A LA INTERCONEXIÓN ............................................................ 14
SELECCIÓN DE SISTEMAS DE INTERCONEXIÓN ......................................... 15
SELECCIÓN DE HERRAMIENTAS DE SEGURIDAD ....................................... 17
ANEXO A. GLOSARIO DE TÉRMINOS Y ABREVIATURAS ................................ 18

7.3.
7.4.

1.

2.

3.

4.

5.

6.

7.

8.

ANEXO B. REFERENCIAS ......................................................................................... 21

9.



Centro Criptológico Nacional


SIN CLASIFICAR

iii



CCN-STIC-811 v1.0 Interconexión en el ENS



SIN CLASIFICAR

ANEXOS

Anexo A. Glosario de términos y abreviaturas
Anexo B. Referencias



TABLAS



Tabla 1. Sistemas de interconexión mínimos a implementar por clasificación.



FIGURAS


Figura 1. “Router” con filtrado de paquetes (DPP-1)
Figura 2. Cortafuegos o “Firewall” (DPP-2)
Figura 3. Guarda o “Proxy” con filtrado de paquetes (DPP-3)
Figura 4. Dispositivo de sentido único (DPP-5)
Figura 5. Cortafuegos y Proxy (SPP-1)
Figura 6. Zona desmilitarizada (SPP-2)
Figura 7. Zona desmilitarizada (SPP-2)



Centro Criptológico Nacional


SIN CLASIFICAR

iv



CCN-STIC-811 v1.0 Interconexión en el ENS

SIN CLASIFICAR



INTRODUCCIÓN

1.

1. En los últimos años hemos asistido a un desarrollo sin precedentes en la sociedad de la
información, la generalización de las conexiones de banda ancha y la cada vez mayor
alfabetización digital han contribuido a un nuevo escenario donde el ciudadano demanda
facilidad y flexibilidad de acceso a los servicios prestados por la administración pública.


2. Leyes como la 11/2007 reconocen el derecho de los ciudadanos a relacionarse con las
administraciones públicas electrónicamente y la obligación de las mismas de garantizar
este derecho, planteando a su vez un importante desafío a nivel tecnológico para los
diferentes organismos, que han visto aumentar la complejidad de sus sistemas a la par que
las interrelaciones y conexiones con otras entidades.


3. La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones
necesarias de confianza en el uso de los medios electrónicos, a través de medidas para
garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios
electrónicos, que permita a los ciudada