STIC 140 A1M RFS-Control Acceso A Red
STIC 140 A1M RFS-Control Acceso A Red
STIC 140 A1M RFS-Control Acceso A Red
CCN-STIC 140
Febrero de 2023
CCN-STIC-140 Taxonomía de productos STIC - Anexo A.1: Dispositivos de Control de Acceso a Red
cpage.mpr.gob.es
Catálogo de Publicaciones de la Administración General del Estado
https://cpage.mpr.gob.es
NIPO: 083-23-071-5.
Fecha de Edición: febrero de 2023
LIMITACIÓN DE RESPONSABILIDAD
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio
o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de
ejemplares del mismo mediante alquiler o préstamo públicos
ÍNDICE
1. INTRODUCCIÓN Y OBJETO .................................................................................... 3
2. DESCRIPCIÓN DE LA FAMILIA DE PRODUCTOS ...................................................... 4
2.1 FUNCIONALIDAD ......................................................................................................4
2.2 CASOS DE USO..........................................................................................................4
2.2.1. CASO DE USO 1– GESTIÓN DEL CONTROL DE ACCESO A LA RED ........................4
2.3 HIPÓTESIS SOBRE EL ENTORNO DE EJECUCIÓN .......................................................5
2.4 DELIMITACIÓN DEL ALCANCE DEL DISPOSITIVO ......................................................6
2.5 CERTIFICACIÓN LINCE...............................................................................................6
3. ANÁLISIS DE AMENAZAS ...................................................................................... 7
3.1 ACTIVOS SENSIBLES A PROTEGER ............................................................................7
3.2 AMENAZAS ...............................................................................................................7
3.3 TRAZABILIDAD AMENAZAS/REQUISITOS DE SEGURIDAD ........................................9
4. REQUISITOS DE SEGURIDAD ............................................................................... 10
4.1 ADMINISTRACIÓN CONFIABLE ...............................................................................10
4.2 IDENTIFICACIÓN Y AUTENTICACIÓN ......................................................................11
4.3 CANALES SEGUROS ................................................................................................11
4.4 CRIPTOGRAFÍA........................................................................................................12
4.5 INSTALACIÓN Y ACTUALIZACIÓN CONFIABLES ......................................................12
4.6 AUDITORÍA .............................................................................................................12
4.7 PROTECCIÓN DE CREDENCIALES Y DATOS SENSIBLES ...........................................13
4.8 PROTECCIÓN DEL PRODUCTO Y SUS SERVICIOS ....................................................13
4.9 CONTROL DE ACCESO A RED ..................................................................................13
4.10 NOTAS DE APLICACIÓN ..........................................................................................14
5. ABREVIATURAS .................................................................................................. 15
1. INTRODUCCIÓN Y OBJETO
1. El presente documento describe los Requisitos Fundamentales de Seguridad (RFS)
exigidos a un producto de la familia Control de acceso a red para ser incluido en el
apartado de Productos Cualificados del Catálogo de Productos y Servicios STIC
(CPSTIC), publicado por el CCN.
2. Estos requisitos representan las capacidades de seguridad mínimas que cualquier
producto dentro de esta familia debe implementar para un determinado caso de
uso, independientemente del fabricante y la tecnología, con el fin de proporcionar
un nivel mínimo de confianza y considerarse objetivamente cualificado desde el
punto de vista de la seguridad para ser empleado en los sistemas de información
del sector público a los que sea de aplicación el Esquema Nacional de Seguridad
(ENS) Categoría MEDIA. Estos requisitos aportan mecanismos enfocados a reducir
vulnerabilidades y contrarrestar amenazas, fundamentalmente de carácter técnico,
aunque también pueden ser de naturaleza física o procedimental.
3. Además, la aplicación de estos criterios permitirá:
• Que se establezcan unas características mínimas de seguridad que sirvan de
referencia a los fabricantes a la hora de desarrollar nuevos productos STIC.
• Que los organismos responsables de la adquisición dispongan de
evaluaciones completas, consistentes y técnicamente adecuadas, que
permitan contrastar la eficacia y proporcionar información no sesgada acerca
de los servicios de seguridad que ofrecen dichos productos.
• Que los usuarios finales posean una guía que facilite el despliegue y garantice
el uso apropiado del producto desde el punto de vista de la seguridad.
4. Por lo tanto, los productos catalogados dentro de la familia Control de acceso a red
conforme a la taxonomía definida por el Centro Criptológico Nacional, serán
susceptibles de ser evaluados usando como referencia este documento.
5. En el caso de productos multipropósito, queda fuera del alcance de este documento
cualquier otra funcionalidad de seguridad proporcionada, más allá de la
especificada para esta familia en la sección siguiente. Dichos productos podrían
optar a ser incluidos de manera adicional como Productos Cualificados en otra(s)
familia(s) del CPSTIC si cumpliesen los RFS correspondientes.
2.1 FUNCIONALIDAD
6. El objetivo del control de acceso a red es asegurar que todos los dispositivos que se
conectan a las redes corporativas de una organización cumplen con las políticas de
seguridad establecidas, incluyendo las de pre-admisión, el cumplimiento de las
políticas de seguridad implementadas por el usuario final y los controles post-
admisión sobre los recursos de red a los que pueden acceder los usuarios y
dispositivos, de cara a reducir el riesgo de entrada de virus, fuga de información
sensible, etc.
7. En este contexto, las funciones básicas de seguridad que proporciona esta familia
de productos son las siguientes:
• Impedir aquellos accesos a la red a entidades que no estén autorizadas o no
implementen las políticas de seguridad exigidas.
• Administrar el acceso a los recursos de la red, en base a permisos o roles
definidos conforme a la política de seguridad establecida.
8. Para esta familia de productos se contempla un solo caso de uso que admitirá
múltiples configuraciones, ya que serán las políticas de seguridad con las que se
configure el dispositivo las que puedan variar e incluir más o menos restricciones.
• Los objetos de archivos con los que opera, que podrían ser de granularidad
diferente a los utilizados por el sistema operativo. Así, mientras el sistema
operativo se enfoca a trabajar con objetos fundamentales como ficheros o
interfaces de comunicación entre procesos, este tipo de productos tiene la
capacidad de trabajar con abstracciones de más alto nivel que pueden ser
implementadas como una combinación de objetos fundamentales.
• Los eventos de auditoría registrados.
12. La Figura 1 muestra un esquema de la arquitectura del sistema, que podrá ser
implementada por un solo producto con múltiples capacidades o por un conjunto
de productos.
19. Para que un producto de esta familia pueda ser incluido en el CPSTIC bajo la
categorización de ENS Medio, deberá disponer de una Certificación Nacional
Esencial de Seguridad (LINCE) 2 que incluya los RFS reflejados en el apartado 4, que
deberán ser evaluados considerando el problema de seguridad definido en el
presente documento.
1
Firmware funciona como el nexo de unión entre las instrucciones (software) que llegan al dispositivo
desde el exterior y las diversas partes electrónicas (hardware).
2
Toda la información relativa a esta metodología se encuentra disponible en la web del Organismo de
Certificación (https://oc.ccn.cni.es)
3. ANÁLISIS DE AMENAZAS
20. Los recursos que deben protegerse mediante el uso de estos productos incluyen:
• AC.Administración. Interfaces de gestión del producto y la información
transmitida a través de ellas, en ambos sentidos, que debe ser protegida en
Confidencialidad, Trazabilidad, Autenticidad e Integridad.
• AC.PSS. Datos de configuración, registros auditoría y [asignación: listado de
datos definidos por el fabricante] que deben ser protegidos en Integridad.
• AC.PSC. [selección: credenciales; claves; [asignación: listado de datos
definidos por el fabricante] que deben ser protegidos en Confidencialidad e
Integridad.
• AC.Actualizaciones. Actualizaciones del producto susceptibles de afectar a
su configuración y funcionalidad, que deben ser protegidos en Integridad y
Autenticidad.
• AC.Comunicaciones. Comunicaciones del producto, establecidas entre sus
propios componentes y con [asignación: listado de entidades autorizadas]
que deben ser protegidas en Confidencialidad, Integridad y Autenticidad.
3.2 AMENAZAS
21. Las principales amenazas a las que el uso de esta familia de productos pretende
hacer frente serían:
• A.NOAUT Acceso no autorizado de administrador: Un atacante puede
obtener un acceso de administración no autorizado haciéndose pasar por
un administrador ante el producto, haciéndose pasar por el producto ante
un administrador, reproduciendo una sesión de administración, o
realizando ataques del hombre en medio.
• A.CRYPTO Mecanismos criptográficos débiles: Utilización en el producto de
mecanismos criptográficos o longitudes de clave débiles que permitan a un
atacante comprometerlo, fundamentalmente mediante ataques de fuerza
bruta.
• A.COM Protocolos de comunicación no autorizados: Utilización de
protocolos no autorizados que permiten a un atacante comprometer la
integridad y confidencialidad de las comunicaciones críticas del producto.
• A.ACT Actualización maliciosa: un atacante puede realizar una actualización
maliciosa que comprometa las funcionalidades del producto.
A.NOAUTUSR
A.CRYPTO
A.NOAUT
A.COM
A.RED
A.AUD
A.FUN
A.ACT
A.CRE
A.PSC
ADM.1 X
ADM2 X
ADM.3 X
IAU.1 X X
IAU.2 X
IAU.3 X
IAU.4 X
COM.1 X X
COM.2 X
COM.3 X
COM.4 X X
ACT.1 X
ACT.2 X
ACT.3 X
AUD.1 X
AUD.2 X
AUD.3 X
AUD.4 X
AUD.5 X
PSC.1 X
PRO.1
CIF.1 X X
NAC.1 X
NAC.2 X
4. REQUISITOS DE SEGURIDAD
23. A continuación, se recogen los requisitos fundamentales de seguridad que deben
cumplir los productos que quieran optar a la inclusión en el CPSTIC en esta familia.
24. La convención utilizada en las descripciones de los RFS es la siguiente:
• Selección: se deberá seleccionar al menos una opción de las indicadas en el
RFS y se incluirá en la declaración de seguridad. Ejemplo:
RFS: Administración del producto [selección: local; remota]
DS: Administración del producto local y remota
• Asignación: se deberá especificar el listado de opciones que sean de
aplicación al TOE (podría no haber ninguna). Ejemplo:
RFS: El TOE deberá identificar y autenticar a cada usuario administrador
y [asignación: otros usuarios del producto] antes de otorgar acceso.
DS: El TOE deberá identificar y autenticar a cada usuario administrador,
auditor y usuario avanzado antes de otorgar acceso.
25. Estas funcionalidades podrán ser cubiertas por el producto o por su entorno
operacional.
26. ADM.1 El TOE debe definir, al menos, el rol de administrador y ser capaz de asociar
usuarios a roles.
27. ADM.2 El TOE debe ser capaz de realizar la gestión de las siguientes funcionalidades:
• Administración del producto [selección: local; remota].
• Configuración del tiempo de terminación de sesión o bloqueo al detectar
inactividad.
• [asignación: otras funcionalidades administrables del producto].
28. ADM.3 El TOE deberá asegurar que solamente un usuario con permisos de
administrador será capaz de realizar las funciones descritas en ADM.2.
29. Estas funcionalidades podrán ser cubiertas por el producto o por su entorno
operacional.
30. IAU.1 El TOE deberá identificar y autenticar a cada usuario administrador y
[asignación: otros usuarios del producto] antes de otorgar acceso, salvo para las
siguientes funcionalidades [asignación: listado funcionalidades].
31. IAU.2 El TOE deberá implementar mecanismos que impidan ataques de
autenticación por fuerza bruta.
32. IAU.3 El TOE debe disponer de la capacidad de gestión de las contraseñas:
• La contraseña debe poder configurarse con una longitud mínima o igual
a 12 caracteres.
• La contraseña debe ser capaz de componerse por letras minúsculas,
letras mayúsculas, números y caracteres especiales [“!”, “@”, “#”, “$”,
“%”, “^”, “&”, “*”, “(“, “].
33. IAU.4 El TOE debe [selección: bloquear; cerrar] la sesión de un usuario después de
[asignación: tiempo de inactividad] de inactividad.
34. Estas funcionalidades podrán ser cubiertas por el producto o por su entorno
operacional.
35. COM.1 Protección de la información en tránsito. El TOE deberá establecer canales
seguros cuando intercambie información sensible con entidades autorizadas:
[selección: servidor de auditoría; [asignación: otras entidades]] o entre distintas
partes del producto, usando [selección: IPSec; SSHv2 o superior; TLS 1.2 o superior;
DTLS; HTTPS/TLS 1.2 o superior] con los siguientes mecanismos criptográficos
[asignación: listado de mecanismos o suites autorizadas de acuerdo a lo establecido
en la guía CCN-STIC-807 para cada protocolo].
36. COM.2 El TOE debe permitir que los canales de comunicación definidos en COM.1
sean iniciados por él mismo o por las entidades autorizadas.
37. COM.3 El TOE hará uso de certificados digitales para la autenticación cuando utilice
cualquiera de los protocolos definidos en COM.1.
38. COM.4 Protección de la información del canal de administración. El TOE deberá
establecer canales seguros cuando intercambie información con el administrador
remoto, usando [selección: IPsec; SSHv2 o superior; TLS 1.2 o superior; DTLS;
HTTPS/TLS 1.2 o superior] con los siguientes mecanismos criptográficos [asignación:
4.4 CRIPTOGRAFÍA
39. Estas funcionalidades podrán ser cubiertas por el producto o por su entorno
operacional.
40. CIF.1 El TOE permitirá exclusivamente el empleo de mecanismos criptográficos:
[asignación: listado de mecanismos] autorizados de acuerdo a lo establecido en la
guía CCN-STIC-807. La fortaleza de clave empleada será la indicada en esa guía para
Categoría MEDIA del ENS, y de acuerdo al nivel de amenaza establecido.
4.6 AUDITORÍA
44. Estas funcionalidades podrán ser cubiertas por el producto o por su entorno
operacional.
45. AUD.1 El producto debe generar registros de auditoría cuando se produzca alguno
de los siguientes eventos:
• Al inicio y finalización de las funciones de auditoría.
• Login y logout de usuarios registrados.
• Cambios en las credenciales de usuarios.
• Cambios en la configuración del producto [asignación: listado de
cambios].
• Eventos relativos a la funcionalidad del producto [asignación: listado de
eventos].
• Si el TOE gestiona claves criptográficas, [selección: generación;
importación; cambio; eliminación de claves criptográficas; ningún otro].
50. PSC.1 En el caso en que el TOE almacene [selección: credenciales; claves privadas;
[asignación: otros parámetros de seguridad críticos] estos no deberán almacenarse
en claro, sino que se utilizarán mecanismos de protección criptológica que cumplan
con CIF.1.
51. PRO.1 El TOE deberá ser capaz de realizar un test durante el arranque o encendido
del producto, [selección: periódicamente durante la operación normal del producto;
a petición de un usuario autorizado; ninguna] para verificar la integridad del
software/firmware, [selección: el correcto funcionamiento de los mecanismos
criptográficos; [asignación: otros]; ninguno].
52. NAC.1 El TOE aplicará las políticas de control de acceso definidas por el usuario. En
ellas, se definirán permisos de acceso a [selección: usuarios; roles de usuario] que
realicen sobre objetos [selección: programas; ficheros; configuraciones; urls;
[asignación: otros]] determinadas operaciones [selección: creación; lectura;
modificación; ejecución; [asignación: otras]] y determinados parámetros
condicionales adicionales: [asignación: parámetros].
53. NAC.2 El producto aplicará las últimas políticas configuradas cuando se restaure su
funcionamiento después de algún problema en su funcionamiento.
54. NAC.3 El producto deberá aplicar políticas de denegación por defecto y notificar al
administrador en caso de detectar un malfuncionamiento.
5. ABREVIATURAS