Publicaciones

Common Criteria para Dispositivos de Red: Ventajas de los productos certificados con un perfil de protección

20/09/2022

    Requisitos mínimos de seguridad a la hora de comparar diferentes dispositivos de red o soluciones de ciberseguridad para su despliegue en la infraestructura de red corporativa.

    En el listado de productos certificados de la página web de Common Criteria, la categoría de ‘Dispositivos de Red’ es una de las que agrupa un mayor y más diverso número de soluciones. Todas ellas tienen una característica en común, son productos que gestionan (procesan, filtran, distribuyen) información que fluye por una arquitectura de red. 

    En esta amplia categoría, podemos encontrar infinidad de soluciones certificadas Common Criteria con esta etiqueta, ya sea la tradicional electrónica de red como routers, switches, puntos de acceso, o soluciones de ciberseguridad para redes como firewalls, proxies, antivirus, redes privadas virtuales (VPN) y otras soluciones de detección de amenazas y protección de la información.

    Aunque a priori nos parezca un grupo demasiado generalista, en realidad tiene su lógica. No perdamos la perspectiva del objetivo de una certificación Common Criteria. Muchas veces caemos en el error de pensar que esta certificación solamente va orientada a validar las funciones de seguridad ofrecidas por la solución. En realidad, lo más habitual es que en el proceso de certificación también se deba evaluar la seguridad de la propia solución

    Es decir, el laboratorio no solo asegura que las funcionalidades de la solución son conformes a lo que se espera de un producto de este tipo, sino que también comprueba que la solución ha sido desarrollada de un modo seguro para garantizar que no contiene riesgos de seguridad para sí misma o para el entorno donde se despliega. Es más, el laboratorio también revisa las guías del producto para asegurar que la documentación que se entrega al usuario final contiene las instrucciones críticas a nivel de seguridad.

    Podemos coger un antivirus como ejemplo: el laboratorio no evalúa si un antivirus es capaz de detectar mayor o menor número de malware, o si lo hace más rápido o más lento que otra solución del mercado. Lo que evaluamos es que existe un proceso de detección de un contenido malicioso, y que este proceso se gestiona de forma segura. Nos aseguramos que el software no contiene vulnerabilidades (como las derivadas de usar librerías de terceras partes antiguas o con vulnerabilidades), y que no utiliza mecanismos de autentificación débiles. Estas son solo algunas de las actividades de evaluación que realizamos en el laboratorio. 

    Y es en este ámbito donde todas estás diferentes soluciones y productos de la categoría Network Devices tienen un punto de encuentro, ya que comparten los requisitos y niveles de seguridad que se le deben exigir a un dispositivo de red o a una solución (en formato físico o software/virtualizado) que se conecta a una red y maneja la información que circula por la misma.

     

    La certificación cumpliendo con un Perfil de Protección

    Como ya abordamos en un artículo anterior sobre las principales preguntas que un CISO debería hacerse antes de escoger una solución de ciberseguridad o un dispositivo de red, existen diferentes opciones para llevar a cabo una evaluación de seguridad Common Criteria de una solución. En resumen, el desarrollador puede decidir él mismo los objetivos y el alcance de la evaluación (TOE) basándonos en un EAL (Evaluation Assurance Level) o puede utilizar un Perfil de Protección que se ajuste a la taxonomía de la solución. 

    Como también mencionábamos en el artículo referido anteriormente, los Perfiles de Protección son generados por grupos técnicos de trabajo a nivel internacional, que pueden estar compuestos por fabricantes, laboratorios de evaluación, organismos públicos, etc. Posteriormente son revisados y certificados por algún Organismo de Certificación reconocido Common Criteria, y luego se publican en esta página web.

    Sin duda, el perfil que encaja en el 99% de las evaluaciones de seguridad de dispositivos de red, y uno de los perfiles de protección más utilizado, es el NDcPP, “Collaborative Protection Profile for Network Devices”, que se encuentra actualmente en su versión 2.2e, publicada el 23-03-2020.

    Por ello, dos productos evaluados bajo NDcPP ofrecerán como mínimo las funcionalidades de seguridad obligatorias, evaluadas en un nivel de seguridad equiparable. Por el contrario, las garantías de un producto evaluado sin un perfil de protección variarán en función de lo que el propio desarrollador haya decidido declarar en la descripción de las funcionalidades de la solución que quiere evaluar.


    Características del Perfil de Protección para Dispositivos de Red (NDcPP)

    El NDcPP proporciona un conjunto básico de requisitos de seguridad a exigir a una solución de red, con el objetivo de mitigar un listado concreto de amenazas de seguridad. Independientemente del propósito final de la solución o de cualquier funcionalidad de seguridad que el producto pueda usar.

    Principalmente, este conjunto de referencia incluye requisitos para: 

    • asegurar cualquier ruta de control remoto para la gestión que proporcione servicios de identificación y autenticación, tanto para acceso local como para inicios de sesión remotos; 
    • garantizar la capacidad de auditoría de eventos relacionados con la seguridad; 
    • validar de manera criptográfica la fuente de cualquier actualización de software; 
    • validar que los algoritmos criptográficos utilizados por el TOE son robustos y están bien implementados;
    • y asegurar que el dispositivo no presenta vulnerabilidades públicas y que funciona de forma normal cuando recibe tráfico de red malformado (técnicas de fuzzing). 

     

    En resumen, el objetivo es asegurar que las capacidades de gestión del producto son seguras y que no suponga una amenaza de seguridad para el entorno de red en el que se va a desplegar. 

     

    Principales amenazas de seguridad recogidas en el NDcPP

    Las amenazas que pretende mitigar el Perfil de Protección NDcPP se agrupan acorde a las áreas funcionales del producto:
     

    Comunicaciones con el dispositivo de red

    • Accesos administrativos no autorizados: Los atacantes podrían intentar ganar un acceso administrativo ya sea a través de ataques de red o intentando explotar una sesión o credenciales de un usuario sin dichos permisos.
    • Algoritmos criptográficos débiles: Un potencial atacante podría comprometer la confidencialidad, integridad y autenticidad de una comunicación en caso de utilizarse mecanismos de protección débiles. Esto aplicaría tanto a las comunicaciones como a la propia información que puede llegarse a almacenar dentro del dispositivo.
    • Canales de comunicaciones no confiables: Un atacante podría atacar la seguridad de los canales de comunicación si éstos no han sido diseñados e implementados de una manera robusta y no gestionan correctamente el intercambio de información sensible.
    • Autenticación débil entre los extremos de la comunicación: Un atacante podría explotar un mecanismo de autenticación débil dentro de un protocolo de comunicación seguro. Por ejemplo, una contraseña compartida o fácil de adivinar usada dentro de un canal seguro. El canal puede ser muy seguro, pero no servirá de nada si la contraseña es fácil de adivinar.

     

    Actualizaciones válidas

    • Actualización comprometida: Un atacante podría intentar atacar un dispositivo a través de una actualización manipulada. Por ejemplo, podría insertarse software espía dentro de un paquete de actualizaciones si éste no está protegido correctamente.

     

    Auditoría

    • Actividad no detectada: Un atacante podría llegar a modificar algún tipo de parámetro crítico del sistema sin conocimiento de un administrador. Por ejemplo, el sistema debe mantener un registro de todos aquellos eventos relevantes para la seguridad del sistema.

     

    Credenciales de administrador y dispositivo e información

    • Compromiso de funcionalidad de seguridad: En caso de que un atacante efectivamente tuviera acceso al dispositivo en cuestión, aquellos parámetros críticos para el sistema (contraseñas almacenadas, claves criptográficas) deberán estar especialmente protegidos, desactivando cualquier interfaz que pueda exponer estos datos de una manera no cifrada. 
    • Credenciales crackeables: Los atacantes podrían aprovechar que las credenciales sean fácilmente rompibles por un programa informático, o directamente probando todas las combinaciones posibles a través de un ataque de fuerza bruta en el caso de que tuvieran acceso al contenido de la memoria o discos del dispositivo.

     

    Fallo del dispositivo

    • Fallo en la funcionalidad de seguridad: Los mecanismos de seguridad podrían llegar a fallar en algún momento, debido a algún bug o estado inconsistente del dispositivo. Sin embargo, el dispositivo debería tener la capacidad de detectar este estado inseguro a través del uso de auto-test de la funcionalidad de seguridad.

     

    Con el objetivo de mitigar dichas amenazas, el perfil de protección para Network Devices, NDcPP, contiene los siguientes Requisitos Funcionales de Seguridad (SFR), agrupados por las áreas funcionales del TOE (Target of Evaluation) que listamos más abajo en el anexo y que el desarrollador deberá cumplir para superar la evaluación. 

     

    Conclusión

    En resumen, a la hora de comparar diferentes dispositivos de red o soluciones de ciberseguridad para su despliegue en nuestra infraestructura de red corporativa, la certificación basada en el Perfil de Protección nos aporta las garantías mínimas sobre las funcionalidades del producto y su robustez frente a posibles amenazas de seguridad

     


    Anexo: Requisitos Fundamentales de Seguridad del NDcPP

    Requisitos sobre Comunicaciones Seguras 

    • Canales: Protocolos específicos - Entidades y servicios utilizados - Protocolos requeridos por cada canal
    • Protocolos: Protocolos específicos requeridos para los canales - Criptografía / Gestión de claves: Generación de claves asimétricas - Establecimiento de claves - Borrado de claves
    • Criptografía / Gestión Criptológica: Configuración Criptológica
    • Criptografía / Generación de bit aleatorio
    • Criptografía / Certificados x.509: Validación del certificado – Autenticación - Solicitud de certificado

     

    Requisitos sobre Autenticación de administrador

    • Mecanismos de Autenticación: Mecanismos disponibles - Servicios de pre autenticación - Acciones frente a intentos fallidos de acceso
    • Protección de la información de autenticación: Restricciones de contraseñas - Protección de entrada de contraseña - Protección de credenciales almacenadas
    • Aviso página inicial: Aviso configurable inicial
    • Protección de la sesión: Finalización sesión - Protección automática de la sesión local - Finalización automática de sesión remota
    • Gestión: Definición del rol de Administrador de Seguridad

     

    Operación Correcta

    • Auto-test: Auto-test básico
    • Sincronización de hora: Protocolo NTP

     

    Auditoría

    • Auditoría principal: Generación de información de auditoría - Eventos asociados a usuarios - Enlace a servidor de auditoría externo, sello de tiempo - Generación de información de auditoría para TOEs distribuidos
    • Políticas para el espacio de auditoría: Protección del registro de auditoría - Pérdida de información de registro - Alertas de falta de espacio - Protección del almacenamiento de eventos locales y remotos
    • Gestión: Funciones

     

    Actualizaciones confiables

    • Firma Digital: Requerimiento del uso de verificación mediante firma digital
    • Certificados X.509: Requerimiento de uso de certificados – Validación – Autenticación - Solicitud de certificado
    • Gestión: Actualización manual y automática

     

    Gestión

    • Gestión Principal: Definición del role de Administrador de Seguridad - Definición de funciones de gestión - Gestión de la información sobre las funcionalidades del TOE (TSF) por el administrador de seguridad - Control del comportamiento en actualizaciones manuales
    • Gestión de Auditoría: Configuración de auditoría
    • Configuración general del TOE: Configuración de servicio y funcionalidades del TOE - Gestión de claves - Control sobre el comportamiento en actualizaciones automáticas

     

    TOE Distribuido

    • Registro: Definición del role de Administrador de Seguridad - Definición de funciones de gestión - Gestión de la información sobre las funcionalidades del TOE (TSF) por el administrador de seguridad - Control del comportamiento en actualizaciones manuales
    • Canales de enlace: Canales de enlace alternativos - Validación de certificados
    • Auditoría: Generación de información de auditoría para TOEs distribuidos - Almacenamiento seguro de eventos locales y remotos


     

    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies