Page tree
Skip to end of metadata
Go to start of metadata

En este artículo describimos el procedimiento de atención de incidentes de SIRTFI para el Servicio de Identidad de RedIRIS. Este procedimiento implica la copperación de varios actores de manera coordinada, incluyendo los operadores de federación, los operadores de identidad y servicios, y los equipos de seguridad.

Flujo de mensajes relacionados con incidentes SIRTFI

El flujo de mensajes normal es el siguiente:

Como puede observarse, el primer nivel de respuesta lo ofrecerá el CERTSI, determinando la respuesta que debe ofrecerse, e implicando a los actores implicados en la resolución de la incidencia.

Fuentes válidas de recepción de mensajes

Se consideran las siguientes fuentes de procedencia legítimas, a nivel internacional:

A nivel nacional:

  • Miembros del equipo de operación de SIR2, a petición de alguna organización participante en la federación y acogida al marco SIRTFI
  • Contactos de seguridad de organizaciones participantes como proveedores de identidad (instituciones afiliadas a RedIRIS), o responsables de proveedores de identidad registrados en eduGAIN (estos últimos deberán contactar forzosamente también con el equipo de operación de la federación)
  • Direcciones de contacto de proveedores de servicio registrados a través de SIR2 en eduGAIN (no necesariamente afiliados a RedIRIS), mediando siempre los operadores de federación

Cualquier dirección que no pertenezca a estos grupos de usuarios, en particular que no esté en metadatos de la base de datos de entidades, o que no provenga de una de estas fuentes, deberá confirmarse (en primera instancia a través del equipo de operación de la federación SIR2), antes de dar credibilidad al objeto del caso.

Datos necesarios para procesar una incidencia

Generalmente, una incidencia suele implicar a dos extremos, el del proveedor de identidad y el del proveedor de servicio, independientemente de la tipología de la incidencia y de los actores implicados. Teniendo esto en cuenta, podemos establecer que es necesaria la siguiente información para poder clasificar la severidad de una incidencia desde un primer momento:

  • Identificador de entidad (entityId) del proveedor de servicio
  • Identificador de entidad (entityId) del proveedor de identidad
  • Quién reporta la incidencia
  • Qué tipo de incidencia es la que se ha producido (en el siguiente apartado abordaremos la posible casuística)
  • Acciones que se solicitan

Clasificación de los tipos de incidencias más frecuentes

Esta clasificación no pretende ser exhaustiva, tan sólo orientativa de posibles casos-tipo que puedan llegar a producirse.

Abuso en el acceso a un proveedor de servicio

Será el caso en el que se haya detectado un uso indebido por parte de uno o múltiples miembros de una organización actuando como proveedor de identidad. Dentro de esta casuística podría considerarse la detección de un robo de identidad, por ejemplo al comprobar que una misma cuenta es accedida desde múltiples ubicaciones.

Robo de datos o información personales

Aunque trata de minimizarse el envío de datos entre entidades, a veces los proveedores de servicio almacenan información personal (no necesariamente transmitida a través del acceso federado, sino en el uso habitual del servicio), la cual, ante un ataque que haya podido llegar a comprometerla, puede afectar a los usuarios que acceden a dichos servicios. En estos casos, las causas pueden ser muy diferentes, pero generalmente implicarán una vulnerabilidad en el servicio accedido que ha sido descubierta y es notificada.

Informe sobre vulnerabilidades o malas configuraciones

Estos, pueden implicar robo de información, identidad o accesos indebidos. Tanto en el caso de proveedores de servicio, como en el de proveedores de identidad, es posible que se reciban peticiones desde otros proveedores o incluso desde el equipo de operaciones de eduGAIN, que impliquen tener que actuar con celeridad e interrumpir el servicio afectado para mitigar el problema.

Incumplimiento de política

Generalmente este caso estará relacionado con alguno de los anteriores, en relación a los documentos oficiales de la política de eduGAIN y perfiles en uso. Cuando fuese reportado, habrá que trabajar para esclarecer la denuncia de incumplimiento y/o corregir si fuese el caso el punto o puntos de incumplimiento denunciados.

  • No labels