I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49795
que el impacto de obtener las claves y las entidades es duradero (al estar asociado a las
claves de la SIM de los clientes). La pérdida de imagen de un operador de redes y
servicios 5G ante una intrusión en estas funciones de red sería enorme y podría implicar
la sustitución de las SIMs comprometidas. No obstante, el diseño de red permite proveer
servicio sin ningún impacto ante fallo doble de instancias de cualquiera de estos nodos.
Además de los anteriores, se consideran de criticidad alta, entre otras, las siguientes
funciones:
i. NRF: este elemento dispone de un mapa de toda la red, nodos y servicios. Con la
información del NRF se dispone de todo el detalle del despliegue de la red,
enrutamientos, DNNs, slices, servicios, etc. Además, un acceso no autorizado permitiría
paralizar el servicio 5G ya que todas las funciones de red consultan a esta entidad para
conocer las funciones de red destino que dispone del servicio requerido. No obstante, las
funciones de red tienen cacheada la información de NRF, lo que permitiría mitigar
temporalmente el ataque. A mayores, el diseño de red permite proveer el servicio sin
ningún impacto ante fallo doble de instancias de este nodo.
ii. SEPP: permite el intercambio de señalización con otras redes para escenarios de
itinerancia en la red propia, o en la de otras redes de terceros. Es un elemento expuesto,
aunque los suministradores 5G han desarrollado un número elevado de funcionalidades
para garantizar su seguridad e integridad. Adicionalmente, ha de garantizarse el
aislamiento entre los dominios internos y externos.
iii. AMF: es el encargado de la gestión de la movilidad. Un ataque o acceso no
autorizado al mismo, permitiría obtener información muy delicada (identidad del usuario,
localización a nivel Tracking Area, e incluso gNB-id donde se encuentra el cliente cuando
su terminal está en modo connected), con posibilidad de rastrear el movimiento de
usuarios, y sus procedimientos de señalización relacionados con la movilidad y gestión
de sesiones. Estos elementos se despliegan en modo pool y se dimensionan para
soportar de forma simultánea fallo de un nodo de cada pool.
b) Criticidad media.
En esta categoría de criticidad media se incluye la función NEF.
c) Criticidad baja.
i. SMF/UPF: SMF se encarga de la gestión de las sesiones (establecimiento,
modificación y liberación), la gestión y asignación de IP a los terminales de los usuarios,
etc. También es responsable de interactuar con el plano de usuario creando,
actualizando o borrando sesiones PDU, así como de administrar el contexto de la sesión
con el UPF, mientras que el UPF gestiona el plano de usuario. Estos elementos están
mucho más redundados que los AMFs anteriormente descritos, y un acceso no
autorizado podría desactivar la sesión de un usuario, aunque esta se establecería en
otro SMF/UPF. El plano de usuario o tráfico real de clientes se encamina, en general a
otras redes (internet/intranet) que son de seguridad más baja, por lo que un atacante de
plano de usuario tiene más fácil comprometer el servicio atacando el servidor destino o
incluso el terminal.
ii. PCF: no es especialmente crítico, ya que los AMF/SMF se configuran para poder
dar servicio sin este elemento, afectando, eventualmente, a la tarificación online de los
clientes.
d)
No críticos.
Los elementos CHF, NWADF y 5G-EIR no se consideran críticos para prestación del
servicio 5G debido a que, en caso de caída o indisponibilidad parcial o total de
cualquiera de ellos, los clientes no deberían verse afectados en el servicio.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
En esta categoría, nuevamente, de mayor a menor criticidad, se indica:
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49795
que el impacto de obtener las claves y las entidades es duradero (al estar asociado a las
claves de la SIM de los clientes). La pérdida de imagen de un operador de redes y
servicios 5G ante una intrusión en estas funciones de red sería enorme y podría implicar
la sustitución de las SIMs comprometidas. No obstante, el diseño de red permite proveer
servicio sin ningún impacto ante fallo doble de instancias de cualquiera de estos nodos.
Además de los anteriores, se consideran de criticidad alta, entre otras, las siguientes
funciones:
i. NRF: este elemento dispone de un mapa de toda la red, nodos y servicios. Con la
información del NRF se dispone de todo el detalle del despliegue de la red,
enrutamientos, DNNs, slices, servicios, etc. Además, un acceso no autorizado permitiría
paralizar el servicio 5G ya que todas las funciones de red consultan a esta entidad para
conocer las funciones de red destino que dispone del servicio requerido. No obstante, las
funciones de red tienen cacheada la información de NRF, lo que permitiría mitigar
temporalmente el ataque. A mayores, el diseño de red permite proveer el servicio sin
ningún impacto ante fallo doble de instancias de este nodo.
ii. SEPP: permite el intercambio de señalización con otras redes para escenarios de
itinerancia en la red propia, o en la de otras redes de terceros. Es un elemento expuesto,
aunque los suministradores 5G han desarrollado un número elevado de funcionalidades
para garantizar su seguridad e integridad. Adicionalmente, ha de garantizarse el
aislamiento entre los dominios internos y externos.
iii. AMF: es el encargado de la gestión de la movilidad. Un ataque o acceso no
autorizado al mismo, permitiría obtener información muy delicada (identidad del usuario,
localización a nivel Tracking Area, e incluso gNB-id donde se encuentra el cliente cuando
su terminal está en modo connected), con posibilidad de rastrear el movimiento de
usuarios, y sus procedimientos de señalización relacionados con la movilidad y gestión
de sesiones. Estos elementos se despliegan en modo pool y se dimensionan para
soportar de forma simultánea fallo de un nodo de cada pool.
b) Criticidad media.
En esta categoría de criticidad media se incluye la función NEF.
c) Criticidad baja.
i. SMF/UPF: SMF se encarga de la gestión de las sesiones (establecimiento,
modificación y liberación), la gestión y asignación de IP a los terminales de los usuarios,
etc. También es responsable de interactuar con el plano de usuario creando,
actualizando o borrando sesiones PDU, así como de administrar el contexto de la sesión
con el UPF, mientras que el UPF gestiona el plano de usuario. Estos elementos están
mucho más redundados que los AMFs anteriormente descritos, y un acceso no
autorizado podría desactivar la sesión de un usuario, aunque esta se establecería en
otro SMF/UPF. El plano de usuario o tráfico real de clientes se encamina, en general a
otras redes (internet/intranet) que son de seguridad más baja, por lo que un atacante de
plano de usuario tiene más fácil comprometer el servicio atacando el servidor destino o
incluso el terminal.
ii. PCF: no es especialmente crítico, ya que los AMF/SMF se configuran para poder
dar servicio sin este elemento, afectando, eventualmente, a la tarificación online de los
clientes.
d)
No críticos.
Los elementos CHF, NWADF y 5G-EIR no se consideran críticos para prestación del
servicio 5G debido a que, en caso de caída o indisponibilidad parcial o total de
cualquiera de ellos, los clientes no deberían verse afectados en el servicio.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
En esta categoría, nuevamente, de mayor a menor criticidad, se indica:
