CUDI-CDR Febrero-2003 RFCMX 2 M.Farias-Elinos(ULSA) Categoria: Especificaciones Ma.C. Mendoza (CICESE) Grupo de Seguridad A. Fernandez (UNAM) M.A. Balderas (UAT) M. De la Cruz (IPN) C.A.Altamirano (UNAM) J.Castillo (CELANESE) Politicas generales para el uso adecuado de la RedCUDI Resumen: En este documento se describen los lineamientos para el uso adecuado de los recursos y servicios a los que se tiene derecho en RedCUDI. Todos los miembros conectados a esta red deberan conocer y respetar estas politicas con el fin de tener un funcionamiento saludable de la red. Estos lineamientos se dividen en los derechos, las responsabilidades y las sanciones para todas aquellas entidades miembros de CUDI y que tienen que ver con el desarrollo y uso de la Internet-2 en Mexico (RedCUDI). Palabras claves: Uso adecuado de RedCUDI, Internet-2 Mexico, Politicas de uso de la red. Derechos de Copia Copyright (C) CUDI-CDR-Grupo de Seguridad (2003). Todos los derechos Reservados. La distribucion de este memo no esta limitada. Tabla de contenido 1. Introduccion ............................... 1 2. Derechos ................................... 2 3. Obligaciones (Responsabilidades) ........... 2 4. Sanciones .................................. 5 5. Datos autores .............................. 5 1. Introduccion El proposito de RedCUDI es ser una red de alta capacidad con la cual se apoya la educacion y a la investigacion que se desempena en las Universidades y Centros de Investigacion del pais. Por tal motivo se definen los siguientes derechos, obligaciones, responsabilidades y sanciones que componen una politica[1,2] para regular el uso de la red con el fin de mantener un funcionamiento saludable de la RedCUDI que esta conformada por los enlaces de la dorsal, los GigaPOP's, enlaces que van del punto de presencia hacia el asociado y los enlaces que van del asociado hacia el afiliado. Durante el documento se utilizaran los terminos de asociado y afiliado para denotar al asociado academico y al afiliado academico respectivamente; asi mismo al hablar de grupos de trabajo se incluye a cada uno de los grupos de trabajo que existen en cada uno de los comites que conforman a CUDI. El asociado institucional se referira como tal[3]. M. Farias-Elinos et al Politicas generales para el Pagina 2 RFCMX 2 uso adecuado de la RedCUDI Febrero 2003 RedCUDI ofrece recursos y servicios que deben estar disponibles la mayor parte del tiempo, para ello es necesario que se cumplan los lineamientos que aqui se presentan, por lo cual el NOC-I2 y el grupo de seguridad se reservan el derecho de tomar acciones preventivas y/o correctivas para mantener el buen desempeno de la dorsal de RedCUDI. 2. Derechos Art. 1 Tendran acceso a todos los recursos y servicios de la RedCUDI a que tengan derecho todos aquellos asociados y afiliados del ambito academico y de investigacion miembros de CUDI Art. 2 Seran nodos de acceso a la dorsal de la RedCUDI todos los asociados academicos, ademas de aquellos asociados institucionales dedicados al ambito de las telecomunicaciones Art. 3 Tanto los asociados como afiliados podran desarrollar aplicaciones para hacer uso de la Internet-2, siempre y cuando se apeguen a las regulaciones y recomendaciones que generen los grupos de trabajo Art. 4 Los asociados y afiliados podran anunciar las redes que requieran apegandose a las politicas de ruteo dictadas por el NOC de Internet 2 y/o el grupo de enrutamiento 3. Obligaciones (Responsabilidades) Art. 5 Los administradores de la red local de los asociados y afiliados son responsables de las actividades que sucedan en su red Art. 6 El trafico generado por los asociados y afiliados sera de caracter estrictamente academico y de investigacion, queda fuera de la clasificacion de investigacion, aquellas actividades que involucren pruebas y/o busqueda de vulnerabilidades, asi como las actividades relativas, sin el visto bueno del Grupo de Seguridad de CUDI Art. 7 Los asociados academicos podran dar acceso a cualquier afiliado que solicite dicho servicio, en base a los lineamientos tecnicos establecidos por el Comite de Desarrollo de la Red (CDR) Art. 8 Los asociados institucionales que den acceso a algun afiliado no podran hacer uso de la RedCUDI, solamente serviran de puente entre los afiliados y la dorsal de RedCUDI CUDI-CDR-Grupo de Seguridad Especificacion M. Farias-Elinos et al Politicas generales para el Pagina 3 RFCMX 2 uso adecuado de la RedCUDI Febrero 2003 Art. 9 Los asociados deberan contar con una figura denominada "oficial de seguridad", el cual sera nombrado oficialmente ante CUDI, quien sera responsable de todo lo referente a la seguridad y miembro activo del grupo de seguridad, ademas de ser el punto de primer contacto y apoyo para los socios afiliados conectados, en lo referente a seguridad de la red Art. 10 En el caso de los afiliados es recomendable la figura del "oficial de seguridad", el cual sera nombrado oficialmente ante CUDI, quien tambien sera miembro activo del grupo de seguridad, o en su defecto una persona responsable y punto de primer contacto para cualquier cuestion que se presente Art. 11 Todos los grupos de trabajo de los diversos comites de CUDI deberan de publicar informacion con caracter de RFCMX, aquellas recomendaciones y especificaciones que sean necesarias para el aprovechamiento optimo de la RedCUDI, cada vez que sea necesario y/o exista algun cambio importante en la red Art. 12 Todo miembro de CUDI debera apegarse a las recomendaciones que generen los grupos de trabajo, tanto en la parte tecnica como en la parte de aplicaciones que se publiquen en los RFCMX's Art. 13 Todo miembro debera seguir las metodologias y los estandares internacionales recomendados por los grupos de trabajo de CUDI para el desarrollo de la Internet-2 en Mexico, tanto en la parte de telecomunicaciones como de aplicaciones Art. 14 Todo contenido de cualquier servicio que este en la red de los asociados y afiliados que sean accesibles por Internet-2, deberan contener solamente informacion relacionada con sus actividades educativas y de investigacion, actualizadas y con informacion fidedigna Art. 15 Todo asociado y afiliado debera tener un esquema de politicas propias para el control de sus usuarios y recursos, sobre todo aquellos que tenga acceso y/o sean accesibles por Internet-2; de tal manera que garanticen la proteccion de la informacion y recursos de su red interna contra modificaciones, acceso y/o destruccion no autorizada Art. 16 Las politicas internas que tengan los asociados y afiliados no deberan de contraponerse, oponerse o eliminar las politicas de RedCUDI CUDI-CDR-Grupo de Seguridad Especificacion M. Farias-Elinos et al Politicas generales para el Pagina 4 RFCMX 2 uso adecuado de la RedCUDI Febrero 2003 Art. 17 La administracion de la infraestructura que conforma la dorsal de RedCUDI es responsabilidad de CUDI a traves del NOC de Internet-2 Art. 18 Tanto el afiliado, como el asociado que le brinde conexion a la RedCUDI deberan de respetar mutuamente su privacidad Art. 19 Todos los asociados y afiliados deberan respetar la integridad de los sistemas que componen la dorsal de la RedCUDI. Esta prohibido infiltrarse a los equipos, como ruteadores y sistemas de computo que se instalen en la dorsal, de manera indebida y que puedan ocasionar conflictos (solicitudes de SNMP, etc.) Art. 20 RedCUDI no debe ser utilizada para la violacion de sistemas de computo y equipos de telecomunicaciones ubicados en redes de los mismos asociados y afiliados, ni aquellos equipos que pertenezcan a otras redes internas y externas al pais Art. 21 RedCUDI no debe de utilizarse para distribuir informacion danina, como virus, caballos de Troya o cualquier otro codigo malicioso; o informacion que atente contra las leyes federales y estatales del pais o cualquier tratado o acuerdo establecido con otros paises, siempre y cuando dichos tratados sean de caracter academico e investigacion Art. 22 Los asociados y afiliados estan obligados a difundir las politicas de seguridad de RedCUDI entre los usuarios y administradores de su red Art. 23 Toda sospecha de ataque que sea detectada por algun asociado y/o afiliado de origen externo a sus redes debera de reportarla al mail abuse@cudi.edu.mx Art. 24 Los asociados y afiliados deberan de promover la capacitacion del personal tecnico y en especial del "oficial de seguridad", con el fin de disminuir los problemas de seguridad en RedCUDI, y como medio de tener respuesta inmediata a los problemas que se presenten Art. 25 Los asociados y afiliados deberan tener restringido el acceso, tanto fisico como logico y de forma adecuada, de al menos a los equipos frontera de su red con RedCUDI CUDI-CDR-Grupo de Seguridad Especificacion M. Farias-Elinos et al Politicas generales para el Pagina 5 RFCMX 2 uso adecuado de la RedCUDI Febrero 2003 4. Sanciones Art. 26 En caso de presentarse algun incidente en la red de algun afiliado que afecte al funcionamiento y/o comprometa la RedCUDI, el asociado podra realizar la desconexion temporal del servicio hacia el afiliado en forma inmediata hasta que el problema quede resuelto y con el visto bueno del grupo de seguridad Art. 27 En caso de presentarse algun incidente en la red de algun asociado que afecte al funcionamiento de la RedCUDI, el NOC podra realizar la desconexion temporal del servicio hacia el asociado en forma inmediata hasta que el problema quede resuelto y con el visto bueno del grupo de seguridad Art. 28 En caso de que algun asociado incumpla con sus actividades de seguridad, el grupo de seguridad con apoyo del NOC podra restringir el servicio de RedCUDI hasta que se de una solucion al incumplimiento Art. 29 En caso de que algun afiliado incumpla con sus actividades de seguridad el oficial de seguridad del asociado correspondiente con el apoyo y recomendaciones de otros integrantes del grupo de seguridad podra restringir el servicio de RedCUDI hasta que se de una solucion al incumplimiento Art. 30 Cuando se detecte algun uso inapropiado de la RedCUDI o acciones que atenten contra las regulaciones que se emitan en los RFCMX, el grupo de seguridad y el NOC de RedCUDI se reservan tomar las medidas pertinentes al respecto como por ejemplo: la desconexion logica del asociado o afiliado Art. 31 Todo problema de seguridad que se genere y no se contemple en este o en algun documento futuro quedara en manos del grupo de seguridad quien podra apoyarse en algun grupo de trabajo y/o comite de CUDI para buscar alguna solucion posible 5. Datos autores Mario Farias-Elinos Universidad La Salle (ULSA) Escuela de Ingenieria / Direccion de Posgrado e Investigacion Benjamin Franklin 47 Col. Hipodromo Condesa Mexico, DF, 06140 Tel: (55) 5278-9530 Fax: (55) 5515-7631 e-mail: elinos@ci.ulsa.mx CUDI-CDR-Grupo de Seguridad Especificacion M. Farias-Elinos et al Politicas generales para el Pagina 6 RFCMX 2 uso adecuado de la RedCUDI Febrero 2003 Maria Concepcion Mendoza Centro de Investigacion Cientifica y de Educacion Superior de Ensenada (CICESE) Km. 107, Carretera Tijuana-Ensenada Ensenada, BCN, 22860 e-mail: m.c@losdominguezmendoza.org Azael Fernandez Alcantara Universidad Nacional Autonoma de Mexico (UNAM) Direccion General de Servicios de Computo Academico (DGSCA) Laboratorio de Tecnologias Emergentes de Redes (NETLab) Circuito Exterior S/N, C.U. Mexico, DF, 04510 Tel: (55) 5622-8857 Fax: (55) 5622-8588 e-mail: azael@redes.unam.mx Marco A. Balderas Universidad Autonoma de Tamaulipas (UAT) Centro Universitario Adolfo Lopez Mateos Cd. Victoria, Tamaulipas, 87040 Tel: () 348-1700 Fax: () 348-1701 e-mail: wokn@mail.ru Manuel De la Cruz Cruz Instituto Politecnico Nacional (IPN) Direccion de Telematica Edif. Inteligente, Unidad Prof. Adolfo Lopez Mateos, Zacatenco Mexico, DF Tel: (55) 5729-6000 x 51424, 51430 Fax: (55) 8329-4083 e-mail: mdelacruz@ipn.mx Carlos A. Vicente Altamirano Universidad Nacional Autonoma de Mexico (UNAM) Direccion General de Servicios de Computo Academico (DGSCA) Centro de Operacion de la Red Circuito Exterior S/N, C.U. Mexico, DF, 04510 Tel: (55) 5622-8526 e-mail: carlos@antares.noc.unam.mx Juan Gariel Castillo Martinez CELANESE Mexico, DF e-mail: jcastillo@celanese.com.mx Referencias [1] Fraser, B., Ed., "Sites Security Handbook", FYI 8, RFC 2196, Septiembre 1997 [2] "Information technology - Code of practice for information security management", ISO/IEC 17799:2000, 2000 [3] Acta de la Asamblea Constitutiva de Corporacion Universitaria para el Desarrollo de Internet, Asociacion Civil. http://www.cudi.edu.mx/members/acta_final.pdf, Marzo 1999 CUDI-CDR-Grupo de Seguridad Especificacion