Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Normativa de Politica de Seguridad de La Red de Comunicaciones
Normativa de Politica de Seguridad de La Red de Comunicaciones
CAPTULO I. DISPOSICIONES
GENERALES
Artculo 1. Objeto.
Esta poltica tiene como objeto definir la normativa de seguridad de la red de comunicaciones
de la Universidad de Castilla-La Mancha que garantice la confidencialidad, integridad y
disponibilidad de la informacin en los usos requeridos por la comunidad universitaria.
Artculo 3. Definiciones.
a) Cliente: equipo informtico cuyo papel habitual es el de consumir servicios ofertados por
otros equipos informticos. Es el caso de los ordenadores personales situados en los puestos
de trabajo.
b) DHCP (Dynamic Host Configuration Protocol): protocolo de red que permite la asignacin
dinmica de direcciones IP.
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
c) DMZ (Demilitarized Zone): trmino utilizado comnmente para designar una zona de la red
donde las medidas de seguridad perimetral son menos estrictas. En el caso de la red de la UCLM
coincide con la zona de servidores pblicos.
d) DNS (Domain Name System): servicio de red cuya principal funcin es traducir nombres
en direcciones IP y viceversa.
e) ICMP: protocolo de la familia TCP/IP orientado al control de las comunicaciones.
f) IPSec: conjunto de servicios de seguridad para el protocolo de red IP.
g) Mbps (Megabit por segundo): medida de ancho de banda. Un Mbps corresponde a la
transmisin de un milln de bits por segundo.
h) MZ (Militarized Zone): trmino utilizado comnmente para designar una zona de la red donde se
extreman las medidas de seguridad perimetrales. En el caso de la red de la UCLM coincide con la zona
de servidores de datos corporativos.
i) Nodo: cualquier dispositivo conectado a una red de comunicaciones.
j) NTP (Network Time Protocol): protocolo que permite la sincronizacin horaria de nodos a travs de la red.
k) Red privada virtual: tecnologa que habitualmente se utiliza para desplegar una red segura
de mbito privado sobre otra no segura de mbito pblico.
l) Servidor: equipo informtico cuya nica funcin es suministrar servicios a otros equipos
informticos. Habitualmente se encuentran ubicados en salas dedicadas.
m) SNMP: protocolo de la familia TCP/IP para la administracin a travs de la red de
equipamiento y servicios informticos.
n) SOCKS: protocolo genrico para el uso de comunicaciones TCP/IP de cualquier tipo a
travs de un intermediario (proxy)
o) TCP/IP: conjunto de protocolos de red que constituye la tecnologa de comunicaciones
de la red Internet y tambin de la red de la Universidad de Castilla-La Mancha.
p) Usuario: cualquier persona que utilice la infraestructura de red de la Universidad.
q) Zona de seguridad: conjunto de nodos de una red que comparten finalidad, condiciones
de conectividad, medidas de seguridad y modelo de asignacin de ancho de banda.
DE RED
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
DE SEGURIDAD
Artculo 6. Finalidad.
Dentro de la red de comunicaciones de la UCLM existen varios entornos que comparten una
misma infraestructura, pero que debido a los requerimientos de seguridad impuestos por su
finalidad, deben mantenerse claramente separados. En este apartado se describe cada uno de
estos entornos, que dan origen a las diferentes zonas de seguridad de la red.
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
La estructuracin por zonas no guarda ninguna relacin con la distribucin fsica de los
nodos en campus o centros, slo con su finalidad.
INTERNET
Pertenecen a esta zona todos los nodos ubicados fuera de la red de la Universidad, que
acceden o que son accesibles desde la red Internet.
CENTROS ASOCIADOS
Pertenecen a esta zona todos los nodos ubicados en centros asociados a la Universidad.
PDI
Esta zona alberga los nodos del personal docente e investigador de la Universidad.
PAS
Esta zona alberga los nodos del personal de administracin y servicios de la Universidad.
LABORATORIOS DE INVESTIGACIN
Contiene todos aquellos nodos dedicados a las labores de investigacin.
DOCENCIA
A esta zona pertenecen todos los nodos ubicados en aulas de la Universidad o dedicados a
dar servicio a los alumnos.
SERVIDORES COMUNES
Contiene todos aquellos servidores que dan o pueden dar servicio a varias comunidades de
usuarios, pero que no deben ser accedidos desde Internet. Es el caso de los controladores de
dominio, servidores de almacenamiento, etc.
ZONAS
ESPECIALES
Adems de las ya mencionadas, existen zonas adicionales con una finalidad y requisitos de
seguridad muy especficos:
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
1. Visitantes. Esta zona est dedicada a albergar los ordenadores de las personas
que visitan la Universidad durante un periodo corto de tiempo, como los asistentes
a un congreso o los convocados a una rueda de prensa.
2. Videoconferencia. Esta zona alberga los equipos de videoconferencia de sala.
3. Televisin. Esta zona alberga los equipos dedicados a la emisin y recepcin del canal de
televisin de la UCLM.
4. Telefona IP. Esta zona alberga los equipos de telefona IP de la Universidad.
5. Gestin de la red. Esta zona est dedicada a la gestin de los dispositivos de red de la
Universidad.
6. Mantenimiento y seguridad de los edificios. Esta red alberga los sistemas de telemetra y
control de los edificios, las cmaras digitales de vigilancia, los sistemas de control de presencia,
alarmas, etc.
7. Puntos de informacin universitarios. Esta zona alberga los puntos de informacin
para los alumnos de la UCLM. Por su finalidad se considera una zona diferenciada de
la de docencia.
I
I
DMZ
Internet
M
I
PAS
PDI
Laboratorios de
investigacin
Zonas
especiales
Docencia
M
M
M
M
Servidores
comunes
A
A
A
Se aplica el conjunto de
restricciones X a A -> B
MZ
I
Acceso a Internet
Conectividad Mnima
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
DIRECTRICES GENERALES
Adems de los filtros anteriormente descritos, que afectan slo a parte de los nodos, existen
dos directrices generales:
- El trfico de correo electrnico slo puede ser manejado por servidores registrados y
autorizados por el gerente del rea de Informtica y Comunicaciones. Adicionalmente, existe
un nico punto redundado de entrada y salida de mensajes de la Universidad, donde se aplican
las directrices de seguridad dictadas por RedIRIS.
- No se permitir la entrada o salida de trfico cuya direccin de origen no sea coherente
con la subred de la que procede.
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
1. Persona de contacto por nodo. El nodo cuenta con un responsable, que mantiene una
relacin contractual con la Universidad, del que se tienen registrados los siguiente datos:
o Nombre y apellidos.
o El DNI.
o La direccin de correo electrnico.
o El telfono de contacto, fijo y/o mvil.
En el caso de los equipos cliente, la persona de contacto debe ser el usuario habitual del
ordenador.
En el caso de servidores, puede existir ms de una persona de contacto, distinguindose
entre contactos tcnicos y administrativos.
2. Persona de contacto por subred. La subred en la que est ubicado el nodo cuenta con
un responsable, que mantiene una relacin contractual con la Universidad, del que se tienen
registrados los siguientes datos:
o Nombre y apellidos.
o El DNI.
o La direccin de correo electrnico.
o El telfono de contacto, fijo y/o mvil.
El responsable de la subred asume la responsabilidad sobre el nodo cuando no existe un
responsable del nodo o cuando ste no puede ser localizado.
3. Nodo administrado por los servicios informticos. El nodo es administrado por el
personal del rea de Informtica y Comunicaciones de la Universidad.
4. Nodo administrado por el usuario. El nodo es administrado por la persona que figura
como persona de contacto de ese nodo o de la subred en la que est ubicado.
5. Declaracin de servicios y puertos. La persona responsable del nodo o de la subred
debe declarar la relacin de servicios y protocolos que pretende ofertar desde un determinado
nodo, indicando:
o La denominacin y finalidad de servicio.
o El tipo de transporte y puerto utilizado para ofertar dicho servicio.
6. Autorizacin para la instalacin de nodos. La conexin a la red en la zona requiere
una autorizacin previa. Se debe indicar que figura llevar a cabo dicha autorizacin.
7. Gestin de parches de seguridad. Los parches que solventan vulnerabilidades de
seguridad conocidas y que afecten a la configuracin software del nodo deben ser aplicados en
un plazo mximo de un mes.
8. Antivirus actualizado. El nodo dispone de software de antivirus actualizado al menos
una vez al da.
9. Ubicacin dedicada. El nodo est situado en una ubicacin dedicada exclusivamente al
alojamiento de equipamiento informtico en explotacin, en condiciones ambientales adecuadas y
sometido a un control de acceso fsico estricto.
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
Medidas
Grado
Necesario
Necesario
Nodo administrado
informticos
por
los
servicios
Datos adicionales
Opcional
Opcional
Necesario
Necesario
Necesario
Antivirus actualizado
Recomendado
Ubicacin dedicada
Necesario
Autenticacin individual
Necesario
Medidas de autorizacin
Necesario
Necesario
Trazabilidad
Necesario
Monitorizacin
Necesario
Comunicaciones cifradas
Opcional
Contacto tcnico
Ver tabla 2
Docencia e Investigacin
Servicios corporativos
En caso de que el nodo sea administrado por el usuario debe existir una persona de
contacto tcnico, que puede ser diferente del contacto del nodo, que acta como administrador
del equipo.
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
PDI
Tabla 1: Medidas de seguridad para los nodos de la zona PDI
Medidas
Grado
Necesario
Necesario
Nodo administrado
informticos
por
los
servicios
Datos adicionales
Recomendado
Opcional
No aplicable
Necesario
Necesario
Antivirus actualizado
Necesario
Ubicacin dedicada
No aplicable
Autenticacin individual
Necesario
Medidas de autorizacin
Necesario
Necesario
Trazabilidad
Necesario
Monitorizacin
Necesario
Comunicaciones cifradas
Opcional
En el caso de los nodos de la zona de PDI el nodo ser administrador por los servicios
informticos, por el usuario o por ambos de forma compartida.
10
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
PAS
Tabla 1: Medidas de seguridad para los nodos de la zona PAS
Medidas
Grado
Necesario
Necesario
Nodo administrado
informticos
por
los
servicios
Datos adicionales
Necesario
No aplicable
No aplicable
Necesario
Necesario
Actualizacin diaria
Antivirus actualizado
Necesario
Ubicacin dedicada
No aplicable
Autenticacin individual
Necesario
Medidas de autorizacin
Necesario
Necesario
Trazabilidad
Necesario
Monitorizacin
Necesario
Comunicaciones cifradas
Opcional
11
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
LABORATORIOS DE INVESTIGACIN
Tabla 1: Medidas de seguridad para los nodos de la zona Laboratorios de Investigacin
Medidas
Grado
Recomendado
Necesario
No aplicable
Opcional
No aplicable
Necesario
Recomendado
Antivirus actualizado
Recomendado
Ubicacin dedicada
No aplicable
Autenticacin individual
Recomendado
Medidas de autorizacin
Recomendado
Recomendado
Trazabilidad
Recomendado
Monitorizacin
Recomendado
Comunicaciones cifradas
Opcional
12
Datos adicionales
Autoriza el
investigacin
director
del
grupo
de
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
DOCENCIA
Tabla 1: Medidas de seguridad para los nodos de la zona Docencia
Medidas
Grado
No aplicable
Necesario
Opcional
Opcional
No aplicable
Necesario
Necesario
Antivirus actualizado
Necesario
Ubicacin dedicada
No aplicable
Autenticacin individual
Necesario
Medidas de autorizacin
Necesario
Necesario
Trazabilidad
Necesario
Monitorizacin
Necesario
Comunicaciones cifradas
Opcional
Datos adicionales
13
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
Medidas
Grado
Necesario
Necesario
Necesario
No aplicable
Necesario
Necesario
Necesario
Antivirus actualizado
Recomendado
Ubicacin dedicada
Necesario
Autenticacin individual
Necesario
Medidas de autorizacin
Necesario
Necesario
Trazabilidad
Necesario
Monitorizacin
Necesario
Comunicaciones cifradas
Necesario
14
Datos adicionales
de
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
SERVIDORES COMUNES
Tabla 1: Medidas de seguridad para los nodos de la zona Servidores Comunes
Medidas
Grado
Necesario
Necesario
Recomendado
No aplicable
Necesario
Necesario
Necesario
Antivirus actualizado
Recomendado
Ubicacin dedicada
Necesario
Autenticacin individual
Necesario
Medidas de autorizacin
Necesario
Necesario
Trazabilidad
Necesario
Monitorizacin
Necesario
Comunicaciones cifradas
Opcional
Datos adicionales
Ver tabla 9
Docencia e Investigacin
Servicios corporativos
15
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
ZONAS
ESPECIALES
ACCESO A INTERNET
El ancho de banda total disponible para el acceso a Internet es asignado siguiendo estos
criterios:
- Cada nodo dispone de un ancho de banda mnimo garantizado, que ser idntico para
todos los nodos de una misma zona.
- Los servidores ubicados en las zonas DMZ, MZ y de servidores comunes disponen del
ancho de banda mnimo garantizado que se estime oportuno para la prestacin de cada servicio.
- Existe un ancho de banda mximo por nodo, que ser idntico para todos los nodos de
una zona. Esta cota tiene por objeto minimizar la posibilidad de que un nodo sea utilizado para
saturar la capacidad de la red o para llevar a cabo un ataque de denegacin de servicio.
Para la asignacin de ancho de banda por nodo se utilizarn los valores de la tabla 10,
Ponderacin de nodos por zonas, del anexo II Parmetros para la gestin del ancho de banda.
La finalidad de asignar un ancho de banda asimtrico en las zonas destinadas a albergar
nodos cliente, menor de salida que de entrada, es la de evitar que estos nodos ejerzan como
servidores encubiertos, desvirtuando la estructuracin por zonas de la red de comunicaciones.
Las unidades de referencia para la asignacin del ancho de banda mnimo entrante o saliente
ser se obtendr aplicando las frmulas 1 y 2.
Ue =
Bte Bre
n
(N P )
i
ei
I =0
16
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
Us =
Bts Brs
n
(N P )
i
si
I =0
Donde:
- Ue es la unidad de referencia para la asignacin del ancho de banda entrante.
- Bte es el ancho de banda total entrante.
- Bre es el ancho de banda entrante reservado para servicios corporativos.
- Ni es el nmero de nodos en la zona i.
- Pei es la ponderacin para trfico entrante de la zona i.
- Us es la unidad de referencia para la asignacin del ancho de banda saliente.
- Bts es el ancho de banda total saliente.
- Brs es el ancho de banda saliente reservado para servicios corporativos.
- Psi es la ponderacin para trfico saliente de la zona i.
El ancho de banda mnimo entrante asignado a un nodo (B ei) se obtendr multiplicando el
valor de Ue obtenido por el valor de ponderacin entrante que corresponda a su zona
(frmula 3).
Bei = Ue Pei
Frmula 3: Ancho de banda entrante mnimo por nodo
El ancho de banda mnimo saliente asignado a un nodo (Bsi) se obtendr multiplicando el valor
de Us obtenido por el valor de ponderacin saliente que corresponda a su zona (frmula 4):
Bsi = Us Psi
Frmula 4: Ancho de banda saliente mnimo por nodo
El mximo ancho de banda entrante por nodo (Bemax) y el mximo ancho de banda saliente
por nodo (Bsmax) estn fijados a los valores iniciales que aparecen en la tabla 11 Anchos de
banda mximos del anexo II Parmetros para la gestin del ancho de banda. En el caso de los
servidores, el ancho de banda mximo se determinar en cada caso.
Adicionalmente, se limitar el ancho de banda global asignado a determinados protocolos
cuando estos puedan ser utilizados para provocar ataques de denegacin de servicio con
origen o destino en la red de la Universidad (como es el caso del ICMP).
Es labor de la Comisin de Tecnologas de la Informacin, Comunicaciones y Seguridad
Informtica la revisin peridica y el ajuste de los parmetros utilizados en las frmulas de
clculo del ancho de banda, as como los anchos de banda mximos y mnimos (anexo II).
17
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
TRATAMIENTO EN SITUACIONES DE
CONGESTIN
DE USO DE LA RED
2. HONRADEZ
La UCLM utilizar correctamente los recursos pblicos suministrados por RedIRIS, facilitando
el acceso a su infraestructura de red al personal autorizado y denegndolo a personas u
organizaciones ajenas a la institucin.
18
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
Los usuarios de la UCLM utilizarn la infraestructura y los servicios de la red para las
actividades acadmicas y de investigacin, desarrollo e innovacin tecnolgica, incluyendo las
tareas administrativas asociadas.
Los usuarios tambin debern utilizar eficientemente la red, con el fin de evitar en la medida
de lo posible, la congestin de la misma. En ningn caso se considera aceptable desarrollar
actividades que persigan o tengan como consecuencia:
a) La creacin o transmisin de material que perjudique la dinmica habitual de los usuarios
de la UCLM o de RedIRIS.
b) La congestin de los enlaces de comunicaciones o sistemas informticos.
c) La alteracin de la infraestructura o de las condiciones de seguridad de la red.
d) La destruccin o modificacin premeditada de la informacin de otros usuarios.
e) La violacin de la privacidad e intimidad de otros usuarios.
f) El deterioro del trabajo de otros usuarios.
Tampoco debern, bajo ningn concepto, usar la red de la UCLM para fines privados o
personales, fines ldicos y fines comerciales, ajenos a las actividades propias de la Universidad.
3. CONFIDENCIALIDAD
En su actividad ordinaria en la red, los usuarios tendrn derecho a preservar su anonimato.
No obstante, la Universidad podr establecer los mecanismos para poder identificar, en caso de
incidente, los nodos o las personas que estn actuando a travs de la red.
5. RESPONSABILIDAD
La UCLM se compromete a dar a conocer a sus usuarios los objetivos derivados de estos
principios y a velar por el cumplimiento de los mismos.
DISPOSICIN FINAL
Entrada en vigor
La presenta normativa entrar en vigor el da siguiente a su aprobacin en Consejo de
Gobierno, existiendo un plazo de dos aos a partir de ese da para la adaptacin de todos los
sistemas existentes.
19
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
ANEXO I
PARMETROS PARA LA MEDICIN DE LA CONTINUIDAD DEL SERVICIO
A efectos de clculo de la duracin de las interrupciones de servicio, se establecern dos
jornadas: diurna y nocturna, computando el tiempo en jornada nocturna como la mitad que en
la jornada diurna. La jornada diurna comprende los das laborables de 9 de la maana a 9 de la
noche. Se considera jornada nocturna el resto.
No se contabilizar como tiempo de avera el invertido en desplazamientos fuera de las
capitales de provincia.
Se debern tomar las medidas tcnicas y organizativas necesarias para garantizar que estos
indicadores no superan los valores lmite, fijados inicialmente en:
a) 4 horas para una interrupcin del servicio en la red troncal o en la red de distribucin.
b) 8 horas para una interrupcin del servicio en la red de acceso a los puestos.
c) 12 horas de tiempo acumulado de interrupcin del servicio durante un trimestre en cada
campus.
d) 24 horas de tiempo acumulado de interrupcin del servicio durante un trimestre en cada
centro.
Anexo II
Parmetros para la gestin del ancho de banda
Tabla 1: Ponderacin de nodos por zonas
PDI
0.5
Lab. de Investigacin
0.5
PAS
0.6
0.3
Alumnos
0.2
0.1
DMZ
Serv. Comunes
Variable
Valor
10 Mbps
5 Mbps
20
NORMATIVA PROPIA
Universidad de Castilla-La Mancha
Anexo III
Referencias
1.
2.
3.
4.
21