SERVICIOS PARA SEGURIDAD

Para proporcionar seguridad en las comunicaciones OSI propone una serie de servicios. En estos servicios se indica lo que hay que implementar para proporcionar seguridad, pero no como hay que hacerlo específicamente, únicamente indican la funcionalidad.

Para garantizar la seguridad en las comunicaciones OSI propone los siguientes servicios:

                     Autenticación

Trata de garantizar que una entidad realmente es quien dice ser. Se puede realizar la autenticación en el establecimiento de la conexión, en cuyo caso se conoce como autenticación entre pares, o llevar a cabo una autenticación en la transferencia de datos, que se conoce como autenticación del origen de datos. Hay tres técnicas:

                      - Basadas en el conocimiento: El usuario tiene que demostrar quien es mostrando algo que sabe, como por ejemplo, un password. Es tan robusto como lo sea el password. Se recomienda mezclar números con letras, así como mayusculas con minusculas.
                      - Basadas en la posesión: Se identifica a alguien porque posee algo. El más usual es el de las tarjetas de crédito, donde se guardan datos en la banda magnética, también las hay que poseen la información encriptadas con la clave privada y que se guarda en chips.
                      - Basadas en las propiedades físicas de las personas: Dentro de este grupo se halla la comprobación de las huellas dactilares, como en el DNI, o las propiedades del ojo, que suele ser empleado en aplicaciones militares. Son muy seguros pero presentan el inconveniente del alto coste que suponen.

En sistemas distribuidos (Internet) se emplean certificados para autenticar.

                     Control de acceso

El objetivo del control de acceso es permitir usos autorizados, está relacionado con la identificación. A un determinado grupo se le permiten realizar determinadas cosas. Generalmente, es el más usado, y está ampliamente extendido.

                     Confidencialidad

Se trata de que no haya revelación de los datos, es equivalente al secreto. Dentro de la confidencialidad se distinguen cuatro tipos:

                    - orientados a la conexión: Garantiza toda la transmisión.
                    - no orientado a la conexión: Sólo garantiza una trama de datos.
                    - de campo selectivo: Ofrece seguridad en un campo determinado.
                    - de flujo selectivo: Se hace relleno del tráfico para evitar el análisis del flujo de datos, no sirve de mucho si la información no va cifrada.

                     Integridad

Se trata de que no se produzcan modificaciones en los datos enviados, deben llegar integros al destino, tal y como se emitieron por el origen. Se distinguen cinco tipos:

                    - orientado a la conexión con recuperación
                    - orientado a la conexión sin recuperación
                    - no orientado a la conexión
                    - campo concreto en orientado a la conexión
                    - campo concreto en no orientado a la conexión (datagrama)

                     No rechazo

Hay que evitar que el emisor de la información niegue que es el emisor de la misma, y que el receptor de la misma no pueda decir que no ha recibido algo que si ha recibido.
 

Para proporcionar seguridad no es suficiente la implementación de uno de los servicios, se requiere un conjunto de ellos para llevarlo a cabo con éxito. Generalmente, se suelen emplear los servicios de autenticación, confidencialidad e integridad.

OSI define una serie de mecanismos para implementar los servicios propuestos:

                     Específicos

Estos llevan a cabo la implementación de un sistema concreto. Dentro de este grupo se encuentran diversos mecanismos, como son:

                    - cifrado: Se basa en una clave.
                    - firma digital: Como la firma normal debe ser imposible de falsificar, reconocible y que el autor de ella no pueda rechazarla.
                    - control de acceso: Está basada en el conocimiento, generalmente de un password.
                    - integridad: Implementa técnicas similares a las de la firma digital.
                    - intercambio de autenticación: Puede ser fuerte si el intercambio está basado en técnicas criptográficas, o débil, si se basa en técnicas de control de acceso.
                    - relleno de tráfico: Se hace para evitar que alguien conociendo la estructura saque información de una determinada posición haciendo análisis del flujo de datos. Lo que hace el relleno de tráfico es generar una salida de texto cifrado continuamente, incluso en ausencia de texto nativo, de este modo es imposible que un atacante distinga entre el flujo de datos verdadero y el ruido, con lo que resulta imposible deducir la cantidad de tráfico.
                    - control de encaminamiento: Se lleva a cabo una recodificación de rutas y tablas.
                    - certificación: Se recurre a 3ª personas para garantizar origen, destino, personas, tiempo de transito, etc.

                     Generalizados

Este tipo de mecanismos se encarga más de la gestión de seguridad, permite determinar el grado de seguridad del sistema. Dentro de este tipo se encuentran:

                    - confianza
                    - etiquetas de seguridad
                    - detección
                    - recuperación