7.- ESTÁNDARES Y APLICACIONES
3.SERVICIOS Y MECANISMOS DE
SEGURIDAD.
La arquitectura de seguridad OSI (añadida al modelo OSI-RM en 1989)
proporciona una descripción general de los servicios
y mecanismos
relacionados con la seguridad.
Servicios de seguridad OSI
Los 5 servicios que propone OSI para garantizar la seguridad son los
siguientes:
- Autenticación: trata de garantizar que una entidad, persona o
proceso es quien dice ser. El servicio de autenticación se puede producir en
dos momentos:
- En el establecimiento de la conexión: es típicamente en la
autenticación entre entidades parejas, en la que se garantiza que la
entidad pareja de una asociación es quien dice ser.
- En la transferencia de datos: se realiza para la autenticación del
origen de los datos, en que se asegura el origen de los datos recibidos.
- Control de acceso: impide usos no autorizados de los recusos del
sistema. Está relacionado con la identificación, de forma que a cada usuario
se le permiten hacer unas determinadas cosas.
- Confidencialidad: trata de garantizar que no hay revelaciones de
datos no autorizadas (equivalente al secreto). Hay 4 tipos:
- Servicios de confidencialidad orientados a conexión: se mantiene
la confidencialidad de los datos transmitidos durante una conexión.
- Servicios de confidencialidad no orientados a conexión: se
garantiza el secreto de la unidades de datos.
- Servicios de confidencialidad de campo selectivo: se garantiza el
secreto de campos concretos de los paquetes.
- Servicios de confidencialidad de flujo de datos: se utilizan
cuando se prevea un ataque de análisis de tráfico. Se añade tráfico de
relleno para evitar para evitar el análisis del flujo de datos.
- Integridad: trata de evitar que se produzcan modificaciones no
deseadas de los datos. Hay 5 tipos:
- Servicios de integridad orientados a conexión con recuperación:
integridad de datos durante una conexión y, si es posible, permiten la
recuperación de fallos de integridad.
- Servicios de integridad orientados a conexión sin recuperación:
igual que el anterior pero no permite recuperación de fallos de integridad.
- Servicios de integridad de campo seleccionado orientados a
conexión: proporciona integridad de campos concretos de los datos.
- Servicios de integridad no orientados a conexión: integridad a
unidades de datos.
- Servicios de integridad de campo seleccionado no orientados a
conexión: proporciona integridad de campos específicas en las
unidades de datos.
- No rechazo: garantiza que ni el emisor de los datos pueda negar
haberlos emitido ni que el receptor niegue haberlos recibido.
Suele ser necesaria la combinación de varios de estos servicios para
conseguir un sistema seguro.
La siguiente tabla muestra frente a qué amenazas puede proteger cada servicio
de seguridad:
AMENAZAS |
SERVICIOS |
Autenticación |
Confidencialidad |
Integridad |
No rechazo |
Intercepción de identidad |
X |
|
|
|
Intercepción |
|
X |
|
|
Enmascaramiento |
X |
|
|
|
Reproducción |
X (identidad) |
|
X (datos) |
X |
Modificación |
|
|
X |
|
-Repudio |
|
|
|
X |
Mecanismos de seguridad
OSI
Para implementar los servicios de seguridad vistos, OSI define unos
mecanismos de seguridad generalizados
y específicos.
Mecanismos de seguridad
generalizados.
Los mecanismos de seguridad generalizados hacen más referencia a la gestión
de seguridad que a la implementación. Son para indicar el nivel de seguridad
existente. La arquitectura OSI define 5 mecanismos de seguridad generalizados:
- Funcionalidad de confianza: permite determinar el grado de
confianza de un determinado servicio o persona.
- Etiquetas de seguridad: números que permiten graduar la
sensibilidad de determinados datos a la seguridad.
- Detección de eventos: se usa para controlar si hay o no compromisos
en el sistema y si se producen violaciones de seguridad.
- Recuperación de seguridad: realizan acciones de recuperación
basadas en la aplicación de una serie de reglas.
- Rastreo de auditoría de seguridad: se refiere a los datos que se
adquieren y que potencialmente facilitan las auditorías sobre seguridad.
Mecanismos de seguridad
específicos.
Los mecanismos de seguridad específicos definen la implementación de
servicios concretos. Se definen 8 mecanismos específicos:
- Cifrado: se usa una clave y un algoritmo para garantizar la
confidencialidad de los datos, de forma que son ilegibles sin ellos. El
intercambio de claves necesario se realiza o bien en un intercambio de
autenticación precedente o off-line en cualquier momento antes de la
comunicación.
- Firma digital: se usa de forma análoga a la firma manuscrita para
documentos electrónicos. Las firmas electrónicas deben ser imposibles de
falsificar, reconocibles e imposibles de rechazar por el firmante.
- Control de acceso: el mecanismo más típico es el basado en el
conocimiento: se permite el acceso a una persona que sabe algo (por ejemplo,
un password).
- Integridad: garantiza que no hay modificaciones en el mensaje o en
partes de él.
- Intercambio de autenticación: se usan para verificar la identidad
de los participantes. Puede ser:
- Fuerte: se basa en técnicas criptográficas.
- Débil: se basa en sistemas de control de acceso.
- Relleno de tráfico: se usa para protección contra ataques de
análisis de tráfico.
- Control de encaminamiento: modifica rutas o tablas de rutado del
sistema para evitar líneas o máquinas comprometidas.
- Certificación: se recurre a una tercera parte de confianza para
asegurarse de ciertas propiedades de los datos que se comunican entre dos o
más entidades, como su integridad, origen, tiempo o destino.


