Computing">
Stic 140 C3 Rfs-Mon - Tra
Stic 140 C3 Rfs-Mon - Tra
Stic 140 C3 Rfs-Mon - Tra
CCN-STIC 140
Agosto 2020
CCN-STIC-140 Taxonomía de productos STIC - Anexo C.3: Captura, Monitorización y Análisis de
Tráfico
Edita:
2.5.4.13=Qualified Certificate: AAPP-SEP-M-
SW-KPSC, ou=sello electrónico,
serialNumber=S2800155J, o=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2020.08.10 10:09:10 +02'00'
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional,
bajo las sanciones establecidas en las leyes, la reproducción parcial o total de este documento
por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento
informático, y la distribución de ejemplares del mismo mediante alquiler o préstamo públicos.
ÍNDICE
ÍNDICE ...................................................................................................................... 2
1. INTRODUCCIÓN Y OBJETO .................................................................................... 3
2. DESCRIPCIÓN DE LA FAMILIA DE PRODUCTOS ...................................................... 4
2.1 FUNCIONALIDAD ......................................................................................................4
2.2 CASOS DE USO..........................................................................................................4
2.2.1. CASO DE USO 1 – DISPOSITIVO INTEGRADO EN LA RED .....................................4
2.3 ENTORNO DE USO ....................................................................................................5
2.4 DELIMITACIÓN DEL ALCANCE DEL DISPOSITIVO ......................................................6
2.5 ALINEAMIENTO CON CRITERIOS COMUNES (COMMON CRITERIA) ........................6
3. ANÁLISIS DE AMENAZAS ...................................................................................... 7
3.1 RECURSOS QUE ES NECESARIO PROTEGER ..............................................................7
3.2 AMENAZAS ...............................................................................................................7
4. REQUISITOS FUNDAMENTALES DE SEGURIDAD (RFS) ............................................ 9
4.1 PERFIL DE PROTECCIÓN ...........................................................................................9
4.1.1. PRODUCTO APPLIANCE .......................................................................................9
4.1.2. PRODUCTO SOFTWARE .......................................................................................9
4.2 REQUISITOS CRIPTOGRÁFICOS ...............................................................................10
4.3 CAPTURA, MONITORIZACIÓN Y ANÁLISIS DE TRÁFICO ..........................................10
5. ABREVIATURAS .................................................................................................. 12
1. INTRODUCCIÓN Y OBJETO
1. El presente documento describe los Requisitos Fundamentales de Seguridad
(RFS) exigidos a un producto de la familia Captura, Monitorización y Análisis de
Tráfico para ser incluido en el apartado de Productos Cualificados del Catálogo
de Productos de Seguridad de las Tecnologías de la Información y la
Comunicación (CPSTIC), publicado por el CCN.
2. Estos requisitos representan las capacidades de seguridad mínimas que
cualquier producto dentro de esta familia debe implementar para un
determinado caso de uso, independientemente del fabricante y la tecnología,
con el fin de proporcionar un nivel mínimo de confianza y considerarse
objetivamente cualificado desde el punto de vista de la seguridad para ser
empleado en los sistemas de información del sector público a las que sea de
aplicación el Esquema Nacional de Seguridad (ENS). Estos requisitos aportan
mecanismos enfocados a reducir vulnerabilidades y contrarrestar amenazas,
fundamentalmente de carácter técnico, aunque también pueden ser de
naturaleza física o procedimental.
3. Además, la aplicación de estos criterios permitirá:
• Que se establezcan unas características mínimas de seguridad que sirvan de
referencia a los fabricantes a la hora de desarrollar nuevos productos STIC.
• Que los organismos responsables de la adquisición dispongan de
evaluaciones completas, consistentes y técnicamente adecuadas, que
permitan contrastar la eficacia y proporcionar información no sesgada
acerca de los servicios de seguridad que ofrecen dichos productos.
• Que los usuarios finales posean una guía que facilite el despliegue y
garantice el uso apropiado del producto desde el punto de vista de la
seguridad.
4. Por lo tanto, los productos catalogados dentro de la familia Captura,
Monitorización y Análisis de Tráfico conforme a la taxonomía definida por el
Centro Criptológico Nacional, serán susceptibles de ser evaluados usando como
referencia este documento.
5. En el caso de productos multipropósito, queda fuera del alcance de este
documento cualquier otra funcionalidad de seguridad proporcionada, más allá
de la especificada para esta familia en la sección siguiente. Dichos productos
podrían optar a ser incluidos de manera adicional como Productos Cualificados
en otra(s) familia(s) del CPSTIC si cumpliesen los RFS correspondientes.
2.1 FUNCIONALIDAD
11. Por lo general, este tipo de dispositivos son de uso generalizado en cualquier
ámbito para la implementación de redes informáticas y de comunicaciones,
tanto en el caso de redes desplegadas para usuarios privados, empresas o el
sector público, como en las infraestructuras de los proveedores de servicios de
internet (ISP 1).
12. Para la utilización en condiciones óptimas de seguridad, es necesaria su
integración en un entorno operacional que cumpla las siguientes condiciones
mínimas de protección:
• Protección física. El producto deberá instalarse en un área donde el acceso
sólo sea posible para el personal autorizado y con condiciones ambientales
adecuadas.
• Administración confiable. El Administrador será un miembro de plena
confianza y que vela por los mejores intereses en materia de seguridad de la
empresa/administración. Por ello se asume que dicha persona estará
capacitada, formada y carecerá de cualquier intención dañina al administrar
el producto.
• Actualizaciones periódicas. El producto será puesto al día conforme
aparezcan actualizaciones que corrijan vulnerabilidades conocidas.
• Política de seguridad de la Información. La política de seguridad deberá
recoger el conjunto de principios, procedimientos y marco organizativo
1
Internet Service Provider. Proveedor del Servicio de Internet.
impuestos por una entidad para hacer frente a sus necesidades de seguridad
de la información, incluyendo el uso de las TIC.
3. ANÁLISIS DE AMENAZAS
20. Los recursos a proteger mediante el uso de estos productos, así como para su
correcto funcionamiento, incluyen:
• Información sensible obtenida a partir del tráfico de red capturado por el
producto.
3.2 AMENAZAS
21. Las principales amenazas a las que el uso de esta familia de productos pretende
hacer frente serían:
• Escucha de red. Un atacante se coloca en una conexión inalámbrica o en
otro lugar de la infraestructura de red. El atacante puede supervisar y
obtener el acceso a la comunicación y/o los datos intercambiados entre el
producto y otros puntos finales de la red.
• Divulgación de la información no autorizada. Un atacante consigue
recopilar información no autorizada del dispositivo (p. ej., servicios de la
organización, credenciales, etc.).
• Uso de canales de comunicación inseguros. Permiten a un atacante
comprometer la integridad y la confidencialidad de las comunicaciones del
producto. El atacante puede tener acceso a la red o a partes de la red que
contienen tráfico acerca de las políticas del servidor, manejo de fuentes y
repositorios de políticas de seguridad.
• Compromiso de la funcionalidad del dispositivo. Un atacante o un fallo en
el dispositivo compromete la funcionalidad de seguridad, permitiendo
modificarla o desactivarla de manera no conforme a las políticas de
seguridad (p.ej., instalación de actualizaciones maliciosas o administración
no autorizada del dispositivo).
• Cifrado débil. Utilización en el dispositivo de algoritmos criptográficos
débiles que permitan a un atacante comprometerlo, fundamentalmente,
mediante ataques de fuerza bruta.
• Acceso no autorizado. Un atacante consigue acceder a información,
intercambiada a través del producto, así como generada o almacenada en él,
23. REQ. 1 Los productos deberán estar certificados con uno de los siguientes
perfiles de protección certificados de acuerdo a la norma Common Criteria:
PERFILES DE PROTECCIÓN
Organismo
Perfil de protección Versión Fecha
responsable
Collaborative Protection Profile for Network
2.2e 27/03/2020 CCDB
Devices 2
Collaborative Protection Profile for Network
2.1 24/09/2018 CCDB
Devices 3
2.0 +
Collaborative Protection Profile for Network
Errata 14/03/2018 CCDB
Devices 4
20180314
Collaborative Protection Profile for Network
1.0 27/02/2015 CCDB
Devices.5
24. REQ. 2 En caso de que el producto no esté certificado contra ninguno de los
perfiles anteriores, la declaración de seguridad deberá contener al menos los
SFR (Security Functional Requirements) de Collaborative Protection Profile for
Network Devices V.2.2e con un nivel de confianza EAL (Evaluation Assurance
Level) EAL2 o superior.
25. REQ. 3 En caso de que el producto sea únicamente Software ,deberá estar
certificado con uno de los siguientes perfiles de protección publicados
certificados de acuerdo a la norma Common Criteria:
2
https://www.commoncriteriaportal.org/files/ppfiles/CPP_ND_V2.2E.pdf
3
https://www.commoncriteriaportal.org/files/ppfiles/CPP_ND_V2.1.pdf
4
https://www.commoncriteriaportal.org/files/ppfiles/CPP_ND_V2.0E.pdf
5
https://www.commoncriteriaportal.org/files/ppfiles/CPP_ND_V1.0.pdf
PERFILES DE PROTECCIÓN
Organismo
Perfil de protección Versión Fecha
responsable
Protection Profile for Application Software. 6 1.3 01/03/2019 NIAP
Protection Profile for Application Software. 7 1.2 25/04/2016 NIAP
26. REQ. 4 En caso de que el producto no esté certificado contra el perfil indicado,
la declaración de seguridad deberá contener al menos los SFR (Security
Functional Requirements) de éste con un nivel de confianza EAL (Evaluation
Assurance Level) EAL2 o superior.
28. REQ. 6 El producto permitirá monitorizar de forma pasiva todo el tráfico de red
detectado por cada una de sus interfaces o sólo flujos de tráfico de red
específicos.
29. REQ. 7 El producto permitirá seleccionar que flujos de tráfico de red almacenar
y analizar basándose en al menos los siguientes parámetros:
a. Dirección IP de origen
b. Dirección IP de destino
c. Puerto de origen
d. Puerto de destino
e. Protocolo
30. REQ. 8 El producto deberá ser capaz de analizar, al menos, los siguientes
protocolos de red:
a. Internet Protocol (IPv4), RFC 791
b. Internet Protocol versión 6 (IPv6), RFC 2460
6
https://www.commoncriteriaportal.org/files/ppfiles/pp_app_v1.3.pdf
7
https://www.commoncriteriaportal.org/files/ppfiles/pp_app_v1.2.pdf
5. ABREVIATURAS
CC Common Criteria
CCDB Common Criteria Development Board
CCN Centro Criptológico Nacional
CPSTIC Catálogo de Productos de Seguridad de las Tecnologías de Información y
las Comunicaciones
DHCP Dynamic Host Configuration Protocol
EAL Evaluation Assurance Level
ENS Esquema Nacional de Seguridad
GRE Generic Routing Encapsulation
ICMP Internet Protocol Message Protocol
IP Internet Protocol
ISP Internet Service Provider
NIAP National Information Assurance Partnership
RFS Requisitos Fundamentales de Seguridad
SFR Security Functional Requirements
TCP Transmission Control Protocol
TIC Tecnología de la información y comunicación
UDP User Data Protocol