Los mecanismos de seguridad
provistos para IMS tienen el objetivo de garantizar
aspectos de seguridad (integridad, confidencialidad
y protección frente ataques de denegación de
servicio) en distintas relaciones que se establecen
dentro del IMS.
Los mecanismos de seguridad en
IMS forman parte de los mecanismos de seguridad
definidos por TISPAN para las redes NGN.
Dichos mecanismos asumen la
existencia de una arquitectura NGN bien definida que
incluye la arquitectura del core IMS, el subsistema
NASS, el subsistema RACS y el subsistema PES.
Los mismos mecanismos de
seguridad definidos por TISPAN para NGN pueden
resumirse en el siguiente diagrama:
Figura 1 – Diagramas de
mecanismos de seguridad según TISPAN
1. Dominios de seguridad
Un dominio de seguridad es un conjunto de
elementos que se encuentran bajo el control de un
mismo administrador de políticas de seguridad para
una actividad específica.
Los dominios de seguridad en general son
necesarios para:
- Proteger la integridad, y opcionalmente la
confidencialidad, de las entidades funcionales y
las actividades que esta desarrollan.
- Asegurar la disponibilidad y el uso de los
elementos y actividades bajo protección.
- TISPAN identifica los siguientes dominios de
seguridad:
- El dominio del usuario que incluye el UE (que
puede pertenecer al usuario como al operador).
- El dominio de la red de acceso que incluye los
equipos de la red de acceso administrados por el
proveedor de la red de acceso.
- El dominio correspondiente a la red NGN
visitada, que incluye los equipos administrados
por el proveedor de la red visitada, y que provee
acceso a ciertos servicios de aplicaciones. El
proveedor de esta red alberga algunas aplicaciones
y cuenta con una base de suscriptores.
Alternativamente, o adicionalmente, el proveedor
de la red visitada puede brindar ciertos servicios
de aplicaciones para la red nativa o a un tercer
proveedor de aplicaciones.
- El dominio correspondiente a la red nativa NGN
que incluye los equipos administrados por el
proveedor de la red nativa, y que provee ciertos
servicios de aplicaciones. El proveedor de la red
nativa alberga algunas aplicaciones y cuenta con
una base de suscriptores.
- El dominio correspondiente a las aplicaciones
provistas por un tercer proveedor que incluye los
equipos con los cuales el proveedor brinda dichas
aplicaciones. El proveedor es uno distinto a los
proveedores de las redes visitada y nativa. El
tercer proveedor debe manejar información de
autorización provista por los proveedores de las
redes visitada y nativa.
Figura 2– Dominios de seguridad
según TISPAN
Los bloques APPL hacen referencia a entidades
funcionales que alojan aplicaciones las que son
opcionales.
2. Security Gateway Functions
Las interfaces entre cada uno de
los dominios son protegidas mediante “Security
Gateway Functions” (SEGFs) que aseguran que se
apliquen a esas interfaces un mínimo de políticas de
seguridad. Las SEGFs pueden opcionalmente proteger
también ciertas interfaces internas a los dominios.
Los tráficos entre operadores no
pueden by-pasear los SEGFs. Los SEGFs son justamente
utilizados para proteger el tráfico entre los
operadores. Por ejemplo, las entidades de la red de
acceso y las entidades de la red nativa NGN que
pertenecen a distintos operadores deben pasar a
través de SEGFs.
Si FE1 y FE2 son entidades
funcionales que se encuentran en dos dominios
distintos de seguridad, todo el tráfico que se
intercambie entre FE1 y FE2 a través de una interfaz
If, debe ser encaminado a través de SEGFs para lo
que se implementa una interfaz Za.
Dominio de seguridad 1
Dominio de seguridad 2
Figura 3 – Dominios de seguridad,
SGEFs e interfaces.
Para cada pareja de SEGFs existe
un túnel IPSec ESP (Encapsulating Security
Protocol), interfaz Za, donde se establece una
pareja de asociaciones de seguridad (Security
Associations, SAs), cuyos parámetros son negociados
usando IKE (Internet Key Exchange). La operación de
una SEGF se apoya en dos bases de datos: SPD
Security Policy Database, políticas de seguridad,
determinadas sobre la base de acuerdos entre
operadores, acuerdos del tipo roaming, y en la SAD
Security Association Database, correspondiente a las
asociaciones activas.
Figura 4 – Túnel IPSec entre SEGFs
Puede asumirse que las
comunicaciones entre las entidades funcionales
pertenecientes a un mismo dominio de seguridad están
libres de amenazas (al ser una red bajo el dominio
administrativo del mismo operador) u, opcionalmente,
usarse IPSec ESP (interfaz Zb) para asegurar las
comunicaciones entre las mismas.
Además de las SEGFs, en cada
dominio existe una autoridad certificadora de
seguridad “SEG Certification Authority” (SEG CA) y
una vía de interconexión hacia esa autoridad
certificadora “Interconnection Certification
Authority” (Interconnection CA).
3. Arquitectura de seguridad
de los subsistemas NASS y RACS
La figura a continuación muestra
en una vista de alto nivel como se mapean los
subsistemas NASS y RACS en los dominios de seguridad
definidos por TISPAN.
Figura 5 – Distribución de NASS y
RACS en los dominios de seguridad, vista de alto
nivel.
La figura a continuación
corresponde a una vista de bajo nivel, donde se
muestran como las distintas entidades funcionales de
los subsistemas NASS y RACS se mapean en los
dominios definidos, y como éstas se relacionan, al
nivel de seguridad, con los diferentes SEGFs, SEG
CAs e Interconnection CAs.
Figura 6 - Distribución de NASS y
RACS en los dominios de seguridad, vista de bajo
nivel.
Las entidades funcionales de
color verde corresponden al subsistema RACS,
mientras que entidades funcionales de color celeste
al subsistema NASS. Las entidades funcionales de
color amarillo corresponden a aplicaciones. Las
entidades funcionales cuyas abreviaciones son
precedidas por la letra A corresponden a entidades
de la red de acceso, las precedidas por la letra V a
la red visitada y las precedidas por la letra H a la
red nativa
Algunas de las SEGFs, que se
muestran en la figura como entidades funcionales
separadas, podrían coincidir en una única SEGFs
dependiendo de la implementación.
Pablo Cristiani
Instructor
Administración Nacional de Telecomunicaciones
|