Mejores niveles de seguridad en el gobierno con el sistema de cableado TERA®

No es nada nuevo que los problemas de seguridad de TI son un tema candente. Aunque la seguridad siempre ha estado presente en la mente de los responsables de TI, el reciente aluvión de información, de regulaciones y de productos en relación con la seguridad de las redes es bastante nuevo en el sector privado. No así en las redes gubernamentales y militares. Esas redes de vital importancia hace tiempo que han puesto a la seguridad la primera de la lista y ese enfoque ha dado lugar a parámetros y procesos de seguridad de gran solidez.

En el sector privado, la seguridad de la información se suele basar en medidas como cortafuegos, contraseñas, biometría y tarjetas de acceso. La información del gobierno, que puede incluir información del Ministerio de Defensa, datos sobre servicios de salud y asistenciales o información sobre infraestructuras de ayuntamientos, a menudo están protegidos por sistemas similares. Los niveles de seguridad vienen dictados por la naturaleza de los datos y en las redes de los gobiernos más protegidas/clasificadas la planta de cableado de la capa física se incluye en las medidas de seguridad.

La seguridad de sistemas de información se puede dividir en las siguientes categorías: personal, física, operativa, información y electromagnética. Personal representa el nivel más vulnerable, ya que pagar a trabajadores por obtener acceso o información es el método de explotación menos costoso, menos arriesgado y más rápido. La ausencia de protección física permite a un adversario obtener directamente acceso a instalaciones, sistemas, cableado e información, aunque con riesgo moderado. Una buena seguridad operativa reducirá al mínimo los errores de configuración y operación de sistemas y limitará las vías en las que se puede filtrar información delicada. La seguridad de la información evitará el acceso externo a información mediante cifrado, cortafuegos y otras medidas de protección de secuencias de bits. La seguridad electromagnética sirve para evitar la recepción de emanaciones de señales procedentes de equipos y cables que permitiría a un adversario a cierta distancia interceptar y descodificar señales de comunicaciones. Las medidas de seguridad del cableado se incluyen en varias categorías. Debe implementarse seguridad física para impedir el acceso exterior no controlado al cableado y a los equipos. Los gobiernos utilizan sistemas de distribución protegida (PDS) (conducto encolado, tubos, alarmas, vídeo vigilancia, etc.) para proteger físicamente el cableado que pasa por áreas no controladas.

Es necesario que haya medidas funcionales para documentar y etiquetar la infraestructura de cableado y equipos para minimizar la posibilidad de que por equivocación se permita transmitir al exterior información delicada/clasificada por medios no controlados o se permita el acceso de personal no autorizado a cableado y equipos delicados. Gracias al etiquetado de distribución, la inspección y el control de acceso podrán detectar conexiones de cables no autorizadas. Todos los puntos de terminación de cables deberían estar etiquetados y controlados, y es importante conocer cada punto de entrada y salida de una red. La documentación y la inspección periódica son útiles para localizar puntos potenciales y existentes de fisura en la red. La documentación de la capa física puede conseguirse a través de interconexión inteligente, modificaciones en dibujos o bases de datos, entrada de nuevas etiquetas en puntos de terminación o con una combinación de ellas. Esas medidas son fácilmente empleadas por el sector privado y cada vez más forman parte de la gestión de redes en empresas no gubernamentales.

Además de limitar la posibilidad de acceso físico, deben controlarse las señales irradiadas por la planta de cableado. El control de todas las emanaciones comprometedoras dentro de los límites de los espacios controlados es fundamental para las comunicaciones de los gobiernos que requieran un nivel alto de seguridad, como la seguridad nacional. Esto viene recogido en los términos EMSEC (seguridad de emisiones), INFOSEC (seguridad de información) y TEMPEST empleados por el gobierno. Estos programas y clasificaciones funcionan para asegurar que las señales normalmente irradiadas están blindadas de algún modo frente a los oyentes sin escrúpulos que usarían la información captada para fines no autorizados.

Las señales irradiadas o las emisiones se producen en cada una de las partes del equipo informático y en todos los cables de cobre. En Estados Unidos, la FCC controla la cantidad de emisiones permitidas y existen equivalentes internacionales (documentos IEC CISPR). La variedad no deseada de emisiones de señales se conoce como emanaciones comprometedoras. Las emanaciones comprometedoras se pueden transmitir por cables de corriente, cableado de datos y telefónico o, simplemente, emitirse a través del aire. Cuando se recibe o intercepta una emisión comprometedora, puede verse comprometida información protegida en la que se puedan reconstituir las señales en información original delicada. Microchips, transistores de diodos y otros componentes electrónicos no lineales de equipos de proceso de datos son una fuente potencial de emanaciones que suponen un peligro. Las señales sobre cables de cobre, especialmente señales de datos en las que abruptas transiciones producen señales de frecuencias significativamente más altas, pueden crear emanaciones comprometedoras.

TEMPEST es una palabra clave del gobierno de EE.UU. que define los estándares de contrainteligencia desarrollados para proteger transmisiones seguras de datos frente al espionaje electrónico. A pesar de que los requisitos reales están clasificados, es de sobra conocido que TEMPEST fija límites estrictos sobre radiación de señales a partir de equipos electrónicos de manipulación de datos. Aunque el ámbito de la información publicada sobre TEMPEST se centra en equipos físicos, como monitores, impresoras y dispositivos que contienen microchips, el término se usa comúnmente para describir los esfuerzos en el campo de la seguridad de las emisiones (EMSEC). EMSEC se define como “la protección resultante de todas las medidas diseñadas para denegar información a personas no autorizadas que pueda derivarse de la intercepción y análisis de emanaciones comprometedoras aparte de sistemas de equipos de cifrado y telecomunicaciones”, de acuerdo con el Comité TIAI de ATIS.

TEMPEST empezó hace muchos años cuando se determinó que las transmisiones podían ser detectadas a través del aire libre desde una distancia significativa mediante la escucha de las emisiones de un cable. En 1918, Herbert Yardley y sus colaboradores de Black Chamber fueron reclutados por el Ejército de Estados Unidos para desarrollar métodos de detección, intercepción y vulneración de teléfonos de combate y transmisores de radio encubiertos. No obstante, la palabra clave TEMPEST no se utilizó hasta los años 60 y 70. Existen varias definiciones para el acrónimo, entre ellas "Telecommunications Electronics Material Protected From Emanating Spurious Transmissions” (Material de electrónica de telecomunicaciones protegido contra transmisiones de procedencia falsa) y "Transient Electromagnetic Pulse Emanation Standard" (Estándar de emisión de pulsos electromagnéticos transitorios). Sin embargo, esos acrónimos algo hipotéticos, como el titular, junto con sus requisitos están clasificados.

En resumen, TEMPEST es el medio de proteger transmisiones y cubre medios, dispositivos de comunicaciones y otras medidas de protección. Aunque la transmisión, recepción y comprobación de emanaciones de señal se llama TEMPEST, los criterios de implementación diseñados para minimizarlas se llaman RED/BLACK. RED normalmente se refiere a información delicada en texto plano y BLACK serían las señales cifradas o sin clasificar. Los requisitos y criterios básicos de RED/BLACK se desclasificaron en 1995 como NSTISSAM TEMPEST/ 2-95 (FOUO). Los límites de emisión y los parámetros de comprobación vigentes siguen clasificados. Incluso sin más parámetros completos, se sabe que TEMPEST sirvió como modelo para muchos programas equivalentes de otros gobiernos. El equivalente de la OTAN es AMSG 720B. En Alemania, incluso los nombres de los estándares suministrados por el gobierno permanecen clasificados pero se sabe que el Consejo Nacional de Telecomunicaciones administra su equivalente al programa de clasificación TEMPEST. En el Reino Unido, la GCHO (Central de Comunicaciones del Gobierno), equivalente a la NSA (Administración de Seguridad Nacional), administra su programa.

Aunque sólo hay un estándar TEMPEST en EE.UU., hay tres niveles de aprobación de nivel de cifrado NSA en el país. El tipo 1 es aceptable para uso en equipo criptográfico clasificado o controlado y puede hacer referencia a ensamblajes, componentes u otros elementos refrendados por la NSA para garantizar telecomunicaciones y sistemas automatizados para la protección de información clasificada o delicada del Gobierno de EE.UU. Estos equipos están sujetos a restricciones conforme a las regulaciones internacionales sobre tráfico de armas. La aprobación de tipo 2 es para equipos, ensamblajes y componentes usados en la transmisión de información no clasificada pero delicada. El tipo 3 implementa un algoritmo sin clasificar registrado en el NIST (Instituto Nacional de Estándares y Tecnología) que se usa en la protección de información delicada o comercial sin clasificar.

La certificación TEMPEST de EE.UU. puede aplicarse tanto a equipos como a sistemas completos en un entorno de red. Existen procedimientos de comprobación TEMPEST independientes para equipos de laboratorio y para sistemas en el terreno. Ambas comprobaciones TEMPEST incluyen todos los componentes del sistema, con pruebas de campo que incluyen la planta de cableado como parte de la comprobación TEMPEST. Cambiar un solo componente puede comprometer la seguridad del sistema completo. En las comunicaciones seguras, el medio utilizado para transmitir los datos (es decir, el cableado) forma parte del sistema TEMPEST o EMSEC. Los estándares de control de emisión TEMPEST para equipos y cableado, junto con el cifrado de datos y otros sistemas de seguridad, toman en consideración INFOSEC (seguridad de información). A causa de esos estrictos requisitos, históricamente el gobierno ha tenido pocas opciones para la seguridad de la capa física (cableado).

Una opción de cableado TEMPEST eficaz es el uso de redes de fibra óptica. Proporciona protección adicional debido al hecho de que la fibra no irradia/emite señales y tendría que estar físicamente comprometida para acceder al equipo de red de fibra de comunicaciones; sin embargo, es más costosa que los componentes de cobre equivalentes, lo que provoca mayores costes de mantenimiento al estar basados en precios originales de compra y requiere más mantenimiento que el cobre.

Las redes de cobre se utilizan comúnmente pero requieren prácticas de instalación muy específicas, como las directrices de separación RED/BLACK de NSTISSAM TEMPEST/2-95 RED/BLACK. En RED/BLACK, el cableado y los equipos RED se separan y/o blindan del cableado y de los equipos BLACK para evitar el acoplamiento. Está restringido el acceso externo a los equipos y al cableado RED, así como su proximidad a otros emisores potenciales de señal. Otros equipos que puedan escuchar o portar o propagar emanaciones, como teléfonos móviles y radios, están prohibidos en áreas RED.

La mayoría de agencias federales que manejan información clasificada tienen personal CTTA (Autoridades Técnicas con Certificación TEMPEST) para asesorar y aprobar instalaciones de sistemas clasificados. Los CTTA poseen considerable formación y conocimientos sobre TEMPEST, lo que les permite equilibrar criterios de seguridad RED/BLACK en relación con la amenaza al sistema con el fin de proporcionar una óptima solución de seguridad TEMPEST en cuanto a coste-beneficio. Hay menos necesidad de seguridad TEMPEST en determinadas situaciones, por ejemplo cuando existe un gran espacio controlado o que se puede inspeccionar alrededor del sistema protegido, y más necesidad de seguridad TEMPEST donde el espacio controlado o que se puede inspeccionar es mínimo. Únicamente una Autoridad Técnica con Certificación TEMPEST puede determinar espacio que se puede inspeccionar y criterios de protección IAW NSTISSI 7000.

El cable de cobre blindado proporciona una capa adicional de seguridad al limitar significativamente las emisiones. Aunque eso permitiría en teoría reducir las distancias de separación RED/BLACK, las prácticas de instalación TEMPEST no pueden permitir esa reducción en la práctica. El cable blindado será necesario en función del nivel de seguridad, el espacio que se puede inspeccionar y la amenaza. El uso de cable blindado puede reducir separaciones de cables, eliminar o reducir la necesidad de aislamiento y filtrado de señales, se requiere normalmente para el uso con equipos con aprobación TEMPEST y reduce o elimina la necesidad de cable adicional u otros blindajes. El cable blindado también se puede usar para señalización BLACK con el fin de reducir las posibilidades de que esos cables capten otras señales de emanación.

El cable F/UTP o UTP con blindaje de lámina tiene un blindaje de lámina global rodeando cuatro pares trenzados sin apantallar y habitualmente se usa cuando se especifica cable blindado, aunque puede no ser suficiente en algunas situaciones. Puede proporcionarse aislamiento adicional de la señal mediante blindajes trenzados, entrelazados más ajustados, lámina con trenza o blindajes de par individuales con un blindaje de lámina global. Los sistemas metálicos de distribución y la propia instalación también pueden proporcionar aislamiento de señal. Debe seleccionarse un cable y una configuración que limiten cualquier señal emanada al espacio controlado o que se puede inspeccionar.

Pruebas recientes arrojan más luz sobre los estándares y las opciones de cobre para conexiones a TEMPEST y otros equipos de procesamiento seguro. TERA® de Siemon, un sistema de cobre de categoría 7/ clase F, ha superado la prueba de emisiones TEMPEST llevada a cabo por un laboratorio independiente certificado por la NSA, Dayton T. Brown Inc., en una configuración específica. Eso indica que el cableado TERA debe cumplir todos los requisitos de cableado blindado de TEMPEST incluso en las situaciones más exigentes. A pesar de que el cableado en general no puede tener la aprobación TEMPEST, ya que las señales y la configuración variarán, la configuración de cableado blindado TERA proporcionará la mejor protección TEMPEST comúnmente disponible.

Aunque la mayoría de parámetros de prueba están clasificados, se sabe que la combinación de conectividad y cable TERA minimizó/eliminó apropiadamente las emisiones como parte de un sistema global. TERA utiliza cable S/FTP y conectividad totalmente blindada. En el cable S/FTP, cada par se blinda individualmente y un blindaje trenzado global rodea todos los conductores. Existe blindaje adicional integrado en tomas de salida y conectores, eliminando otra fuente potencial de emisión. Es importante tener en cuenta que un sistema 6A F/UTP no superó la misma comprobación cuando se empleó un blindaje de lámina individual con conectores RJ45.

Para la comprobación TEMPEST, se desplegó un canal TERA de 100 metros con cuatro conectores en una cámara anecoica blindada. El canal fue activado con tráfico Gigabit Ethernet (1000 Mb/s) bidireccional simultáneo (full dúplex) utilizando un sistema de análisis multipuerto Spirent Smarbits. Después se supervisaron y compararon las emisiones del sistema de cableado con los requisitos TEMPEST, sin que las emisiones de cable TERA excedieran los requisitos TEMPEST. Las emisiones de los sistemas de cable TERA no excedieron los requisitos de emisiones TEMPEST y superaron a la misma configuración que utilizaba un cable blindado de lámina individual con RJ 45 (que tuvo emanaciones que excedieron los límites permitidos).

Según el informe de prueba independiente, el cable TERA es adecuado para aplicaciones, como TEMPEST, donde las emisiones irradiadas y comprometedoras suponen una preocupación. El resto del informe de prueba está clasificado. Debería utilizarse cable TERA con equipos TEMPEST, ya que proporciona la mayor garantía en cuanto a limitar emanaciones de cable al nivel de las de equipos TEMPEST. El cable TERA también se puede utilizar para otros tipos de señales (analógica, datos sincrónicos, vídeo, redes de otras velocidades, etc.) y en lugar de conductos adicionales, construcción u otros blindajes, donde se necesite TEMPEST de alta calidad y reducción o eliminación de otras emanaciones.


Soporte de Siemon

» Obtener Respuestas

info_latam@siemon.com

571 - 657 19 50
571 - 657 19 51
571 - 657 19 52
8am-5:00pm (»Mundial)


Centro de Recursos de Cableado Blindado de Cobre
Catálogo de Productos

Manténgase al día con los nuevos productos y sistemas de cableado» Descargar Catálogo (PDF, 13 MB)
Cisco and Siemon

Cisco Technology Developer Partner


See Siemon in Cisco Marketplace:


Green
Videos
Video
»Ver más videos
Casos de Éxito
Mercado Financiero, Gobierno, Educación, Salud, Manufactura, y más...
»Leer Casos de Éxito
»Casos de Éxito Globales