TAXONOMÍA Y TIPIFICACIÓN DE AMENAZAS EN REDES ATM

Al igual que otras redes, las redes ATM son vulnerables a un gran número de amenazas. Las más usuales son: Escuchas clandestinas, falsificación (o "spoofing"), denegación de servicios, robo de VCs, análisis de tráfico, etc. El análisis de tráfico y el robo de VCs es característico de redes ATM.

1) Escuchas clandestinas. En este tipo de amenazas el atacante conecta o pincha el medio de transmisión y obtiene acceso no autorizado a los datos. Es uno de los ataques más comunes en las redes. Puesto que la mayoría de las redes ATM se conectan con cables de fibra óptica, se podría pensar que no es fácil pinchar una red ATM, sin embargo el costo necesario para pinchar una fibra ópica es lo suficiente bajo como para que lo pueda realizar cualquier individuo.

2) Falsificación. En este tipo de ataque el atacante intenta suplantar a otro usuario para que pueda obtener acceso a los recursos que pertenecen a la víctima tanto para utilizarlos como para destruirlos. Este tipo de ataques puede precisar herramientas especiales para manipular las unidades de datos de protocolo que transportan información valiosa. A veces, el atacante puede necesitar un permiso de acceso especial, por ejemplo ser "super-usuario" en un entorno Unix. Sin embargo, puesto que la red suele estar conectada a otras muchas redes no seguras a través de Internet, es imposible impedir que un atacante obtenga este permiso de acceso o incluso siga la pista de las personas con este permiso de acceso particular. La tecnología ATM también se implementa en dominios públicos, por tanto también está sujeto a esta clase de ataques.

3) Denegación de Servicio: ATM es una técnica orientada a la conexión. Una conexión que se denomina Circuito Virtual (o VC, Virtual Circuit) en ATM, está gestionado por un conjunto de señales. El VC se establece utilizando señales SETUP y puede ser desconectado empleando señales RELEASE o DROP PARTY. Si un atacante envía a un conmutador ATM intermedio una señal RELEASE o DROP PARTY en el camino de un VC, entonces el VC se desconectará. Enviando estas señales frecuentemente, el atacante puede perturbar de forma importante la comunicación entre usuarios, por tanto puede inhabilitar/degradar la calidad de servicio (o QoS, Quality of Service) de ATM. Combinando esta técnica con otras como la escucha clandestina, el atacante puede incluso llegar a bloquear por completo un usuario de otro(s).

4) Robo de VCs. Si dos conmutadores de una red ATM se ponen en peligro, el atacante incluso puede robar un VC de otro usuario. Por ejemplo VC1 y VC2 son dos canales virtuales que atraviesan el conmutador ATM A y el conmutador ATM B. VC1 es propiedad del usuario U1 y VC2 del usuario U2. Si A y B se ponen en peligro, entonces A puede conmutar células de VC1 que van desde A hasta B a través de VC2 y B conmutará de vuelta esas células a VC1. Puesto que los conmutadores reenviarán células en base al identificador VCI (Virtual Channel Identifier) o VPI (Virtual Path Identifier) de la cabecera de la célula, A y B pueden alterar estos campos de ida y vuelta. Los conmutadores entre A y B no se darán cuenta de estos cambios y conmutarán las células que se suponen de VC2 como las células de VC2 auténticas. En una red de conmutación de paquetes pública, U1 no ganará demasiado utilizando esta técnica. Sin embargo, en una red ATM, si se garantiza la calidad de servicio, entonces el usuario U1 puede obtener beneficios robando un canal de calidad mayor que el usuario U1 no se encuentra autorizado utilizar de acuerdo a la política de control de acceso. El usuario U1 puede ganar incluso más si cada usuario debe pagar por las comunicaciones. En ambos casos, el usuario U2 será el perjudicado. Alguien puede argumentar que la posibilidad de que un conmutador ATM pueda verse en peligro es muy baja. Esto es cierto si la red ATM es propiedad de una organización. Sin embargo, cuando se considera una red de interconexión de redes ATM, en cuyo caso las células viajarán a través de redes ATM diferentes, será muy fácil poner en peligro los dos conmutadores ATM.

5) Análisis de Tráfico. Canales Encubiertos. El análisis de tráfico se refiere a una amenaza en la que el atacante puede obtener información recogiendo y analizando la información como por ejemplo el volumen, el "timing" y las partes de la comunicación de un VC. El volumen y "timing" pueden revelar cierta información para el atacante incluso aunque los datos se encuentren cifrados, debido a que el cifrado no afectará al volumen y "timing" de la información. Asimismo, las partes origen y destino se pueden obtener de la cabecera de la célula (que normalmente se encuentra sin cifrar, en texto en claro) y algún conocimiento de la tabla de encaminamiento. Otra amenaza relacionada son los "canales encubiertos o subliminares". En esta técnica, el atacante puede codificar la información en el timing y volumen de datos, en el VCI o incluso en la clave de sesión de forma que puede liberar información a otras personas sin ser monitorizado. Normalmente estos dos tipos de ataques no suelen suceder. Sin embargo, cuando se utiliza ATM en un entorno que necesita fuertes medidas de seguridad, se debe considerar la posibilidad de que pueda suceder.

NECESIDADES DE UN SISTEMA DE SEGURIDAD

El primer paso a la hora de construir un sistema de seguridad ATM es identificar las necesidades de seguridad de las comunicaciones sobre ATM:

1) Requerimientos Generales: a) Autenticación. Se refiere a la necesidad de conocer si el usuario es el que dice ser. b) Confidencialidad. Hace referencia a que sólo los usuarios autorizados pueden acceder al contenido de los datos. c) Integridad. Este requerimiento se relaciona con que los datos no los pueden alteran terceras partes durante la transmisión. d) No repudio. Esta necesidad implica que un usuario no puede negar el hecho de que ha accedido a un dato o servicio. Está probado que además del no repudio, una red pública segura al menos tiene que satisfacer los otros tres requerimientos. Y un sistema de seguridad para una red también debe proporcionar servicios de gestión de claves seguras (por ejemplo distribución de claves) y control de acceso para los usuarios. Un buen esquema de gestión de claves es la base de todo sistema de seguridad. La seguridad procede del cifrado/descifrado. Si las claves utilizadas en el cifrado/descifrado las puede obtener facilmente un atacante, entonces el sistema de seguridad será derrotado. Y en un sistema de red, debido a que existen muchos usuarios, la gestión y distribución de claves no se puede realizar manualmente, debe realizarse automáticamente o semiautomáticamente y el intercambio de claves se efectuará a través de la red. Una cuestión de gran importancia es el modo en que las claves se deben transferir a través de la red, especialmente cuando la red se inicializa. La autenticación es importante en sistemas de comunicación. En una red pública, todo, incluido las claves, debe autentificarse para evitar falsificaciones (o "spoofing"). La confidencialidad no sólo se necesita para proteger los datos de accesos no autorizados, sino también para garantizar la correcta distribución de claves simétricas. La integridad puede verse como cierto tipo de autentificación, que significa que los datos deberían ser los datos originales enviados por el que dice ser (sin falsificación). La gestión de claves, la autenticación, la confidencialidad y la integridad dependen entre sí. Deiciencias en cualquiera de ellas hará al sistema no seguro. El control de acceso es más importante en redes ATM que en otras redes. Las redes ATM garantizan la calidad de servicio de la comunicación. La calidad de servicio se implementa clasificando el tráfico en diferentes categorías y encaminándolo en base a diferentes prioridades. Si el acceso a la red no se encuentra restringido, entonces nada se puede hacer respecto a la calidad de servicio.

2) Necesidades Específicas: El Forum ATM basándose en el análisis de los objetivos del cliente, operador y comunidad pública identifica como principales objetivos de seguridad para redes ATM: a) Confidencialidad. 2) Integridad de los datos. 3) Responsabilidad. 4) Disponibilidad. La responsabilidad significa que todas las invocaciones a servicios de red ATM y actividades de gestión de red sean responsables. Cualquier entidad debe ser responsable de las actividades que inicie. La responsabilidad incluye tanto a la autentificación como al no repudio. Es muy importante para los operadores gestionar el sistema y la facturación de servicios. La responsabilidad significa que todas las entidades legítimas deberían poder acceder a facilidades ATM de forma correcta, no debe suceder ninguna denegación de servicio. Esto es importante para que pueda existir una calidad de servicio (o QoS, Quality of Service). De acuerdo a estos objetivos el Forum propone las funciones principales que un sistema de seguridad ATM debería proporcionar: a) Verificación de Identificadores. El sistema de seguridad debería poder establecer y verificar la identidad señalada y cualquier actor de una red ATM. b) Acceso controlado y Autorización. Los actores no deberían obtener acceso a la información o recursos si no se encuentran autorizados para ello. c) Protección de la Confidencialidad. Los datos almacenados y comunicados deben ser confidenciales. d) Protección de la Integridad de los Datos. El sistema de seguridad debería garantizar la integridad de los datos almacenados y comunicados. e) Responsabilidad fuerte: Una entidad no puede denegar la responsabilidad de sus acciones realizadas así como de sus efectos. f) Registro de actividades. El sistema de seguridad debería soportar la capacidad de recuperar información sobre las actividades de seguridad de los elementos de red con la posibilidad de seguir la pista de esta información a individuos o entidades. g) Reporte de Alarmas. El sistema de seguridad debería poder generar notificación de alarmascerca de ciertos eventos ajustables y selectivos relacionados con la seguridad. h) Auditoría. Cuando se produzcan transgresiones de seguridad, el sistema debería poder analizar los datos registrados relevantes a la seguridad. i) Recuperación de la seguridad. El sistema de seguridad debería poder recuperarse de las intrusiones con éxito o de los intentos de intrusión al sistema. j) Gestión de la Seguridad. El sistema de seguridad debería poder gestionar los servicios de seguridad derivados de las necesidades anteriores.

De las diez necesidades, las dos últimas no proporcionan servicios de seguridad. Sin embargo, son necesarias para soportar el mantenimiento de los servicios de seguridad. Si el sistema de seguridad no puede recuperarse de los ataques y no puede proporcionar ningún servicio de seguridad, entonces el sistema no será seguro después de estos ataques. Por otra parte, los servicios e información de seguridad relativa a la seguridad deben ser gestionados de forma segura, son la base del sistema de seguridad.

IMPLEMENTACION DE LOS SERVICIOS DE SEGURIDAD

Tras identificar las necesidades de un sistema de seguridad ATM, se analiza la forma de implementar los servicios de seguridad en redes ATM. Para identificar el ámbito de seguridad ATM se observa la arquitectura de niveles de ATM que incluye básicamente tres planos: a) Plano de Usuario. b) Plano de Control. c) Plano de Gestión. Cada plano incluye un conjunto de entidades. Las entidades del plano de usuario se utilizan para transferir datos de usuario. Las entidades del plano de control tratan del establecimiento de la conexión, de la liberación y de otras funciones de conexión (utilizan protocolos de señalización). Las entidades del plano de gestión realizan funciones de coordinación y administración relacionadas con el plano de control y con el plano de usuario. El plano de gestión incluye las funciones P-NNI relativas al establecimiento de una infraestructura de encaminamiento.

Además de las entidades de estos tres planos, existen las entidades del nivel ATM. Las entidades del nivel ATM realizan la transferencia de datos ATM en nombre de las otras entidades de los tres planos.

COLOCACIÓN DE SERVICIOS DE SEGURIDAD EN REDES ATM.

Tras identificar las necesidades y el ámbito de la seguridad ATM, se analiza la forma de ubicar los servicios de seguridad en la arquitectura de red ATM. De acuerdo a la figura 2, el plano de usuario (o Plano U) es el plano que interactúa directamente con el usuario. Por tanto, para satisfacer los objetivos de seguridad del usuario, el plano de usuario debe proporcionar los servicios de seguridad como el control de acceso, la autenticación, la confidencialidad y la integridad de datos. Otros servicios como el intercambio de claves, la infraestructura de certificación y la negociación de opciones de seguridad puede ser útil para satisfacer la diversidad de necesidades del usuario. Por tanto, también deberían ser soportados por el plano de usuario. Es importante proporcionar diferentes opciones de servicios de seguridad ya que existen diversas clases de tráfico en una red ATM. Las distintas conexiones tienen diferentes necesidades de seguridad. Los servicios de seguridad del plano de usuario deben proporcionar suficiente flexibilidad para satisfacer estas necesidades. En el plano de control ATM (o Plano C), se configurará la red para proporcionar un canal de comunicaciones para un usuario. De la figura 2, se observa que el plano de control puede interactuar con la tabla de conmutación o puede gestionar el canal virtual. Pueden realizarse diferentes ataques al plano de control, por tanto, es muy importante dotar de seguridad al plano de control. El punto clave a la hora de dotar de seguridad al plano de control es proporcionar autentificación y confidencialidad a la señalización. Si el receptor del mensaje o incluso una tercera parte puede verificar la fuente de este mensaje, entonces no puede suceder el ataque de denegación de servicios. También puede utilizarse la autentificación del plano de control para proporcionar la información de auditoría para la facturación correcta que debe ser inmune al repudio. Tambien es importante la seguridad del plano de gestión (o Plano G). En el esquema de seguridad del plano d estión se deben considerar entre otros los siguientes aspectos: a) La seguridad del arranque (o "bootstrapping"). b) El descubrimiento del vecino autentificado. c) La seguridad del ILMI (Interim Local Management Interface). d) La seguridad de los circuitos virtuales permanentes. En una infraestructura de seguridad, se debe proporcionar recuperación de la seguridad y gestión de la seguridad. Las partes principales de estos dos requerimientos deben implementarse en el plano de gestión. Puesto que todos los datos deben transmitirse utilizando el nivel ATM, es muy importante hacer seguro el nivel ATM, se requieren la autentificación, confidencialidad, integridad, etc. La seguridad del nivel ATM se debe implementar desde el punto de vista extremo a extremo, conmutador-extremo y conmutador-conmutador, figura 1. Puesto que los conmutadores pueden ver y reenviar células ATM, la integridad de datos para conmutador-conmutador y computador-conmutador es conveniente implementarla por célula ATM. Esto significa incluir una firma digital a cada célula ATM. Sin embargo, esto supone un coste ("overhead") no deseado. Por tanto se ha sujerido que la integridad sólo se proporcione desde el punto de vista computador-computador. Es importante señalar que una cuesión es hacer seguro el nivel ATM y otra hacer seguro los niveles superiores. Una conexión del nivel ATM no es la misma que una conexión de nivel superior. Aunque se proteja y autentifique una conexión ATM, una conexión de nivel superior aún deberá protegerse y autentificarse. Esto es especialmente necesario cuando se establece una conexión para una red convencional (Ethernet, IEEE 802.3,...) que se conecta a un conmutador ATM. En este caso, la conexión se compartirá para todos los computadores de la red convencional. Las cuestiones de seguridad en este área aún no se han desarrollado plenamente.

SEGURIDAD EN TECNOLOGÍA ATM.

SEÑALIZACIÓN ATM.

Los procedimientos de señalización Q.2931 (ITU-T) se utilizan para establecer conexiones punto a punto. La figura 3 muestra los mensajes extremo a extremo SETUP y CONNECT utilizados para conexiones punto a punto. Los otros mensajes como CALL PROCEEDING y CONNECT_ACK tienen significado local y no se incluyen en la figura 3. Los mensajes de señalización se identifican mediante la "referencia de llamada" y se protegen utilizando temporizadores de supervisión. Cuando expira el temporizador, la llamada terminará si no existe respuesta. Esta capacidad proporciona a los mensajes de señalización unicidad e indica que son recientes/nuevos. Para SVCs, se puede incluir en los mensajes SETUP y CONNECT mecanismos de autentificación e intercambio de claves. Si el usuario llamado pone a uno un cierto flag del mensaje CONNECT, el emisor enviará utilizando la opción de mensaje "conexión disponible". Los elementos de información serán similares a los utilizados en los flujos OAM. La figura 4 muestra los servicios de seguridad que puede soportar cada nivel del Modelo OSI del ISO. El nivel físico puede soportar confidencialidad de datos utilizando protocolos de cifrado extremo a extremo. El nivel de enlace de datos también puede soportar confidencialidad de datos utilizando protocolos de cifrado enlace a enlace en vez de extremo a extremo. Los niveles de red y transporte pueden soportar autentificación, control de acceso, confidencialidad de datos e integridad de datos. El nivel de sesión no soporta según el ISO ningún servicio de seguridad. El nivel de presentación puede soportar confidencialidad de datos. El nivel de aplicación OSI puede soportar los cinco servicios de seguridad. La arquitectura de seguridad OSI sólo analiza los servicios que puede soportar cada nivel, no dice nada acerca de qué servicios debería soportar cada nivel.

La tecnología ATM se ha identificado como el modo de transferencia para implementar la RDSI (Red Digital de Servicios Integrados) de banda ancha, una red universal que soporta diferentes aplicaciones y categorías de clientes. Muchas de estas aplicaciones implican datos sensibles o flujos de información muy valiosa. Por tanto, la seguridad de red es una cuestión crítica en los servicios ATM ofrecidos. El Forum ATM se encuentra actualmente desarrollando una arquitectura de seguridad para los servicios de red ATM, en ella se divide el problema de la seguridad en: (1) Seguridad del Plano de Usuario (extremo a extremo o conmutador a conmutador). (2) Seguridad del Plano de Control. (3) Seguridad del Plano de Gestión. (4) Control de Acceso. La seguridad del plano de usuario tiene que ver con la seguridad de los Canales Virtuales (o VCs) establecidos entre usuarios finales. Al igual que otros tipos de redes, la seguridad del VC del plano de usuario extremo a extremo implica soportar las siguientes necesidades: (1) Autentificación de las entidades del plano de usuario. La autentificación requiere que la entidad a ser autentificada tenga un nombre distinguible (o ID, Identifier) y una clave asociada. Las entidades de ATM pueden identificarse utilizando dos formatos de direcciones: (a) Formato NSAP (formato de direcciones privado), utiliza una longitud fija. (b) Formato E.164. Tiene direcciones de longitud variable. El Forum ATM especifica el uso del formato NSAP para identificar las entidades ATM; las direcciones son de 20 bytes de longitud. (2) Confidencialidad de los VCs, lo que supone protegerse contra posibles escuchas clandestinas. (3) Integridad de Datos en los VCs, lo que significa detectar los posibles esfuerzos para alterar los datos. El Modelo de Referencia del protocolo ATM consta de tres planos: plano de usuario, plano de control y plano de gestión. Cada plano se modeliza como una entidad separada basada en el modelo de referencia de protocolos OSI. Una de las diferencias entre ATM y los protocolos convenciones como X.25 y TCP/IP es que los protocolos convencionales incluyen señalización de control en el misno canal que la transferencia de datos, mientras que ATM utiliza señalización de canal común que se encuentra separada del canal de transferencia de datos. El OAM (Operations, Administration and Maintenance) de las conexiones ATM es una parte del plano de gestión, que realiza las funciones de coordinación relativas a los planos de usuario y de control. Las funciones incluyen monitorización del rendimiento, detección de fallos y defectos, localización de fallos y gestión del sistema. El modelo de referencia del protocolo ATM consta del nivel físco, nivel ATM, nivel AAL (ATM Adaptation Layer) y niveles superiores. Las conexiones lógicas en ATM se denominan canales virtuales (o VCs, Virtual Channels). Un VC es análogo a un circuito virtual X.25 o a una conexión Frame Relay. Un camino virtual (o VP, Virtual Path) es un conjunto de VCs que tienen los mismos puntos finales. Las conexiones virtuales ATM pueden proporcionarse utilizando gestión de red. Estas conexiones se denominan canales virtuales permanentes (o PVCs, Permanent Virtual Channels). Así mismo, los canales virtuales pueden establecerse dinámicamente utilizando procedimientos de señalización ATM. Estos canales virtuales se denominan canales virtuales conmutados (o SVCs, Switched Virtual Channels). El empleo de IP en redes ATM conduce a algunos problemas de seguridad. Los riesgos de los ataques "IP spoofing" (o falsificación IP) son aún elevados en redes ATM y necesitan ser tratados por mecanismos de seguridad apropiados. Además de estos riesgos conocidos, ATM ofrece algunos nuevos protocolos cuyas implicaciones de seguridad aún no están completamente contempladas y analizados. Por ejemplo, los ataques basados en los protocolos ILMI y P-NNI. Muchos de los problemas en entornos IP/ATM se originan de las configuraciones "plug-and-play". Los vendedores tienden a suministrar sus conmutadores con herramientas de configuración automáticas como ILMI que permite una configuración de red fácil. Pero una red segura requiere una configuración cuidadosa de conmutadores, protocolos y dispositivos (por ejemplo, cortafuegos) que controlen el acceso a la red.

ASPECTOS FINALES

Quizás la tecnología ATM sea la tecnología de red más compleja. El hacer seguro dicho sistema complejo es más difícil que diseñarlo. El objetivo de ATM es proporcionar una plataforma e infraestructura de comunicaciones de red unificada. La seguridad ATM como parte de esta infraestructura debe ser flexible y compatible con otras tecnologías: (LAN, MAN,..). Esto introduce más dificultades al área de la seguridad en ATM. Ultimamente la Seguridad ha sido más y más importante en Entornos de Red con la aparición de las tecnologías de interconexión de redes. Las tecnologías de interconexión de redes permiten proporcionar los canales de comunicación a través de redes para que las máquinas de diferentes redes puedan comunicarse entre sí. Sin embargo, la comunicación entre redes se encuentra expuesta a toda clase de ataques en dicho entorno abierto. La mayor parte de las tecnologías de red que no integran mecanismos de seguridad desde un principio, deben rediseñarse para proporcionar ciertos Servicios de Seguridad. La tecnología ATM (Asynchronous Transfer Mode) es un ejemplo de esto. Originalmente fue ideada como un "modo de transferencia" para implementar la tecnología de la Red Digital de Servicios Integrados de Banda Ancha permitiendo que todas las formas de tráfico de datos (voz, vídeo, texto, etc) puedan transferirse a través de las redes de telecomunicaciones. Pero ATM no se restringe a la Red Digital de Servicios Integrados de Banda Ancha. Se ha utilizado para proporcionar una infraestructura de red simplificada para varias conexiones de red, por ejemplo LAN (Local Area Network), MAN (Metropolitan Area Network) o WAN (Wide Area Network). ATM es una técnica orientada a la conexión. En ATM los computadores se conectan a través de una red de conmutadores ATM. Cuando dos partes desean comunicarse, primero solicitan un VC (Virtual Channel) de la red de conmutadores. A continuación las dos partes pueden enviarse datos entre sí. Aunque las partes de la comunicación pueden enviar datos de cualquier tamaño, ATM siempre enteg datos en una unidad de tamaño fijo, denominada célula ATM. Una célula posee cinco bytes de cabecera y 48 bytes de carga útil. La conmutación de células ATM se basa en el contenido de la cabecera cuya longitud es de cinco bytes. De este modo, cada célula puede circular a través de cada conmutador muy rápidamente. Para satisfacer diferentes necesidades de tráfico específicas, ATM también introduce el concepto de QoS (Quality of Service). Las cuestiones de seguridad ATM no obtuvieron suficiente atención hasta 1995, cuando un grupo dentro del Forum ATM se decidió a abordar dichas cuestiones. Por tanto, comparado con otras áreas de la seguridad, la seguridad en redes ATM aún está en proceso de desarrollo global.