ITU-T H 235 9 SPANISH-2005 H 323 security Security gateway support for H 323《H 323安全框架 支持H 323的安全网关 16号研究组》.pdf

《ITU-T H 235 9 SPANISH-2005 H 323 security Security gateway support for H 323《H 323安全框架 支持H 323的安全网关 16号研究组》.pdf》由会员分享，可在线阅读，更多相关《ITU-T H 235 9 SPANISH-2005 H 323 security Security gateway support for H 323《H 323安全框架 支持H 323的安全网关 16号研究组》.pdf（20页珍藏版）》请在麦多课文档分享上搜索。

1、 Unin Internacional de TelecomunicacionesUIT-T H.235.9SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (09/2005) SERIE H: SISTEMAS AUDIOVISUALES Y MULTIMEDIOS Infraestructura de los servicios audiovisuales Aspectos de los sistemas Marco de seguridad H.323: Soporte de pasarela de seguridad

2、para H.323 Recomendacin UIT-T H.235.9 RECOMENDACIONES UIT-T DE LA SERIE H SISTEMAS AUDIOVISUALES Y MULTIMEDIOS CARACTERSTICAS DE LOS SISTEMAS VIDEOTELEFNICOS H.100H.199 INFRAESTRUCTURA DE LOS SERVICIOS AUDIOVISUALES Generalidades H.200H.219 Multiplexacin y sincronizacin en transmisin H.220H.229 Aspe

3、ctos de los sistemas H.230H.239 Procedimientos de comunicacin H.240H.259 Codificacin de imgenes vdeo en movimiento H.260H.279 Aspectos relacionados con los sistemas H.280H.299 Sistemas y equipos terminales para los servicios audiovisuales H.300H.349 Arquitectura de servicios de directorio para servi

4、cios audiovisuales y multimedios H.350H.359 Arquitectura de la calidad de servicio para servicios audiovisuales y multimedios H.360H.369 Servicios suplementarios para multimedios H.450H.499 PROCEDIMIENTOS DE MOVILIDAD Y DE COLABORACIN Visin de conjunto de la movilidad y de la colaboracin, definicion

5、es, protocolos y procedimientos H.500H.509 Movilidad para los sistemas y servicios multimedios de la serie H H.510H.519 Aplicaciones y servicios de colaboracin en mviles multimedios H.520H.529 Seguridad para los sistemas y servicios mviles multimedios H.530H.539 Seguridad para las aplicaciones y los

6、 servicios de colaboracin en mviles multimedios H.540H.549 Procedimientos de interfuncionamiento de la movilidad H.550H.559 Procedimientos de interfuncionamiento de colaboracin en mviles multimedios H.560H.569 SERVICIOS DE BANDA ANCHA Y DE TRADA MULTIMEDIOS Servicios multimedios de banda ancha sobre

7、 VDSL H.610H.619 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T H.235.9 (09/2005) i Recomendacin UIT-T H.235.9 Marco de seguridad H.323: Soporte de pasarela de seguridad para H.323 Resumen En la presente Recomendacin se define un mtodo para la deteccin de pasarelas de seg

8、uridad que se encuentren en el trayecto de sealizacin entre entidades H.323 comunicantes y para intercambiar informacin de seguridad entre un controlador de acceso y las pasarelas de seguridad a fin de preservar la integridad y la privacidad de la sealizacin. Orgenes La Recomendacin UIT-T H.235.9 fu

9、e aprobada el 13 de septiembre de 2005 por la Comisin de Estudio 16 (2005-2008) del UIT-T por el procedimiento de la Recomendacin UIT-T A.8. Palabras clave Pasarela, seguridad, sealizacin. ii Rec. UIT-T H.235.9 (09/2005) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo espe

10、cializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. Este rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a

11、la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece los temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas.

12、 La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO

13、 y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de explotacin reconocida de telecomunicaciones. La observancia de esta Recomendacin es voluntaria. Ahora bien, la Recomendaci

14、n puede contener ciertas disposiciones obligatorias (para asegurar, por ejemplo, la aplicabilidad o la interoperabilidad), por lo que la observancia se consigue con el cumplimiento exacto y puntual de todas las disposiciones obligatorias. La obligatoriedad de un elemento preceptivo o requisito se ex

15、presa mediante las frases “tener que, haber de, hay que + infinitivo“ o el verbo principal en tiempo futuro simple de mandato, en modo afirmativo o negativo. El hecho de que se utilice esta formulacin no entraa que la observancia se imponga a ninguna de las partes. PROPIEDAD INTELECTUAL La UIT seala

16、 a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados

17、, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, protegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin

18、embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB. UIT 2006 Reservados todos los derechos. Ninguna parte de esta publicacin puede reprod

19、ucirse por ningn procedimiento sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T H.235.9 (09/2005) iii NDICE Pgina 1 Alcance . 1 2 Referencias . 1 2.1 Referencias normativas 1 2.2 Referencias informativas 1 3 Definiciones 2 4 Abreviaturas, siglas o acrnimos 2 5 Convenios . 3 6 Funcionam

20、iento bsico . 4 6.1 Deteccin del controlador de acceso del punto extremo 5 6.2 Distribucin de claves de autenticacin del punto extremo . 5 6.3 Manipulacin de direcciones 7 7 Informacin de sealizacin. 8 8 Consideraciones relativas a la configuracin de la SG. 9 8.1 Registro de la SG 9 8.2 Credenciales

21、 de autenticacin 10 9 Consideraciones relativas a la seguridad 11 10 Aplicabilidad 11 11 Identificador de objeto 11 iv Rec. UIT-T H.235.9 (09/2005) Introduccin La utilizacin de cortafuegos y de dispositivos de traduccin de direcciones de red para proteger el trfico entre regiones de red que pertenec

22、en a diferentes controles administrativos plantea problemas con los protocolos de sealizacin de telefona que deben intercambiar direcciones de red a efectos de sealizacin e intercambio de medios. En la Rec. UIT-T H.235.5 se describe un marco mediante el cual un punto extremo y su controlador de acce

23、so, o dos controladores de acceso, pueden utilizar los mensajes RAS iniciales para negociar un conjunto de secretos fuertemente compartidos entre ellos, y utilizar dichos secretos para criptar determinadas partes de los mensajes RAS y de sealizacin de llamada subsiguientes y para autenticar dichos m

24、ensajes. Dicho mtodo se aplica nicamente a la sealizacin encaminada a travs de controladores de acceso. En las Recs. UIT-T H.235.1, H.235.2 y H.235.3 se definen mtodos y perfiles de seguridad similares. Estos mecanismos de seguridad pueden entrar en conflicto con las pasarelas de nivel de aplicacin

25、(ALG) que interconectan dominios de red diferentes y manipulan la sealizacin y las direcciones de transporte de medios que se transportan en los mensajes RAS H.225.0 y en los de sealizacin de llamada. Esta modificacin de los mensajes puede ocasionar el fallo de la verificacin de la autenticacin del

26、mensaje en el destino. En la presente Recomendacin se describe un mecanismo sencillo para informar al controlador de acceso de las ALG que se encuentran en el trayecto de sealizacin e intercambiar con dichas ALG la clave de autenticacin de sealizacin negociada. Gracias a este procedimiento, las ALG

27、podrn modificar datos no privados, en particular direcciones de transporte, de los mensajes de sealizacin y autenticar el resultado antes de retransmitir los mensajes modificados hacia su destino. En el texto que figura a continuacin estos dispositivos se denominan pasarelas de seguridad (SG). Esta

28、tcnica permite mantener la privacidad de extremo a extremo de todo elemento criptado que intervenga en la sealizacin. Rec. UIT-T H.235.9 (09/2005) 1 Recomendacin UIT-T H.235.9 Marco de seguridad H.323: Soporte de pasarela de seguridad para H.323 1 Alcance La presente Recomendacin puede aplicarse a t

29、odo controlador de acceso y punto extremo que utilice los protocolos RAS H.225.0 y en el que intervengan una o varias pasarelas de seguridad con el funcionamiento descrito anteriormente. 2 Referencias 2.1 Referencias normativas Las siguientes Recomendaciones del UIT-T y otras referencias contienen d

30、isposiciones que, mediante su referencia en este texto, constituyen disposiciones de la presente Recomendacin. Al efectuar esta publicacin, estaban en vigor las ediciones indicadas. Todas las Recomendaciones y otras referencias son objeto de revisiones por lo que se preconiza que los usuarios de est

31、a Recomendacin investiguen la posibilidad de aplicar las ediciones ms recientes de las Recomendaciones y otras referencias citadas a continuacin. Se publica peridicamente una lista de las Recomendaciones UIT-T actualmente vigentes. En esta Recomendacin, la referencia a un documento, en tanto que aut

32、nomo, no le otorga el rango de una Recomendacin. Recomendacin UIT-T H.225.0 (2003), Protocolos de sealizacin de llamada y paquetizacin de trenes de medios para sistemas de comunicacin multimedios por paquetes. Recomendacin UIT-T H.235.0 (2005), Marco de seguridad H.323: Marco de seguridad para siste

33、mas multimedia de la serie H (H.323 y otros basados en H.245). Recomendacin UIT-T H.235.1 (2005), Marco de seguridad H.323:Perfil de seguridad bsico. Recomendacin UIT-T H.235.2 (2005), Marco de seguridad H.323: Perfil de seguridad de firma. Recomendacin UIT-T H.235.3 (2005), Marco de seguridad H.323

34、: Perfil de seguridad hbrido. Recomendacin UIT-T H.235.5 (2005), Marco de seguridad H.323: Marco para la autenticacin segura en RAS utilizando secretos compartidos dbiles. Recomendacin UIT-T H.245 (2005), Protocolo de control para comunicacin multimedia. Recomendacin UIT-T H.323 (2003), Sistemas de

35、comunicacin multimedios basados en paquetes. 2.2 Referencias informativas IETF RFC 2246 (1999), The TLS Protocol Version 1.0. IETF RFC 3546 (2003), Transport Layer Security (TLS) Extensions. IETF RFC 2401 (1998), Security Architecture for the Internet Protocol. 2 Rec. UIT-T H.235.9 (09/2005) 3 Defin

36、iciones En esta Recomendacin se definen los trminos siguientes. 3.1 pasarela de capa de aplicacin: Dispositivo sensible al protocolo que interconecta dos o ms regiones de red y que es capaz de interpretar y modificar los protocolos de capa de aplicacin para traducir direcciones de transporte y reali

37、zar otras funciones. Las ALG pueden realizar funciones de NAT (traductor de direcciones de red) y de cortafuegos a nivel de transporte, funciones que puede integrar internamente o controlarlos desde el exterior. 3.2 direccin local: Direccin de transporte dentro de un dominio local de direcciones. 3.

38、3 pasarela de medios: Dispositivo que interconecta dos o ms dominios de red y que puede ser controlado a su vez por otro dispositivo (por ejemplo, una pasarela de seguridad) para controlar los flujos de medios entre dominios. La MG es efectivamente un traductor de direcciones de red (NAT) o cortafue

39、gos programable que funciona en la capa de transporte y en las inferiores. 3.4 traduccin de direcciones de red: Operacin que consiste en establecer una correspondencia entre las direcciones de transporte de red de un dominio de red y las de otro. 3.5 vlvula: Mecanismo que regula el flujo a travs de

40、una pasarela de seguridad (o pasarela de medios controlada por sta) por el que est autorizado el paso de paquetes o mensajes de un dominio a otro. Una vlvula se caracteriza normalmente por cuatro direcciones de transporte (la direccin origen en el dominio A, la direccin de la pasarela de seguridad e

41、n el dominio A, la direccin de la pasarela de seguridad en el dominio B y la direccin de destino en el dominio B) y por otras caractersticas tales como el protocolo de transporte y la direccionalidad. La direccin de origen no tiene por qu especificarse cuando se trata, por ejemplo, de un puerto de e

42、scucha. 3.6 dominio: Regin de red que comparte un espacio de direcciones de red comn; se sobreentiende que cada dominio diferente utiliza un espacio de direcciones incompatible, contradictorio o privado. 3.7 pasarela de seguridad: Dispositivo que se instala entre dos o ms regiones de red IP para rea

43、lizar funciones de seguridad, tales como la validacin o restriccin de los flujos de paquetes y la traduccin de direcciones de transporte entre regiones de red. En esta Recomendacin se sobreentiende que la pasarela de seguridad es una ALG sensible a los protocolos de sealizacin H.323. 4 Abreviaturas,

44、 siglas o acrnimos En esta Recomendacin se utilizan las siguientes abreviaturas, siglas o acrnimos. ALG Pasarela de capa de aplicacin (application layer gateway) GCF Confirmacin del controlador de acceso (gatekeeperconfirm) GK Controlador de acceso (gatekeeper) GRJ Rechazo del controlador de acceso

45、(gatekeeperreject) LCF Confirmacin de localizacin (locationconfirm) LRQ Peticin de localizacin (locationrequest) MG Pasarela de medios (media gateway) NAT Traduccin de direccin de red (network address translation) OID Identificador de objeto (object identifier) RAS Registro, admisin y estado (regist

46、ration, admission and status) SG Pasarela de seguridad (security gateway) Rec. UIT-T H.235.9 (09/2005) 3 UDP Protocolo de datagrama de usuario (user datagram protocol) 5 Convenios En la presente Recomendacin se definen varios identificadores de objeto (OID) para la sealizacin de capacidades de segur

47、idad, procedimientos y algoritmos de seguridad. Estos OID forman un rbol jerrquico de valores asignados que puede proceder de fuentes externas o ser parte del rbol de OID que gestiona el UIT-T. Los OID que estn especficamente relacionados con la Rec. UIT-T H.235 aparecen en el texto con el siguiente

48、 formato: “OID“ = itu-t (0) recommendation (0) h (8) 235 version (0) V N, donde V representa simblicamente una sola cifra decimal que indica la correspondiente versin de la Rec. UIT-T H.235, por ejemplo 1, 2, 3 4. N representa simblicamente un nmero decimal que identifica de manera exclusiva el ejem

49、plar del OID y, por consiguiente, el procedimiento, algoritmo o capacidad de seguridad. As pues, el OID codificado en ASN.1 consta de una secuencia de nmeros. Por razones prcticas, se utiliza una notacin nemotcnica de cadenas de caracteres abreviadas para cada OID del texto tal como “OID“. Se establece una correspondencia que re