La arquitectura de seguridad de OSI

En la figura 2.11 se muestran las capas que conforman el modelo OSI, cada una de ellas consiste en un proceso lógico y en conjunto tienen la finalidad de transferir mensajes en un sistema.

35 En los documentos ISO 7498-2 y ITU-T X.800 se establecen los servicios y mecanismos de seguridad de la arquitectura OSI. Los servicios de seguridad pueden ser llamados por cada una de las capas que conforman el sistema OSI, según el nivel de seguridad que se requiera y según sea apropiado. Esto último porque debe respetarse siempre la funcionalidad de cada capa y respetar la independencia que cada una tiene.

SERVICIOS DE SEGURIDAD DE OSI

La arquitectura de seguridad OSI establece cinco servicios de seguridad (figura 2.12) los cuales se explican brevemente a continuación; si se requiere más información consultar la sección 2.1.3 (Servicios y mecanismos de seguridad) del presente capítulo en donde se explica con más detalle cada uno.

FIGURA 2.12 Servicios de seguridad de OSI

 SERVICIO DE AUTENTICACIÓN

a) Servicio de autenticación de emisor y receptor: proporciona la capacidad de verificar que los comunicantes sean quienes dicen ser.

b) Servicio de autenticación del origen de los datos: proporciona la confirmación de que los datos recibidos son de la entidad con la que se está llevando a cabo la comunicación.

 SERVICIO DE CONTROL DE ACCESO

Impide el acceso a la información a aquellas personas o procesos no autorizados.

 SERVICIO DE CONFIDENCIALIDAD

a) Servicio de confidencialidad orientado a conexión: proporciona confidencialidad a todos los datos transmitidos durante toda la conexión.

b) Servicio de confidencialidad no orientado a conexión: proporciona confidencialidad de paquetes de datos.

36

c) Servicio de confidencialidad de campo selectivo: proporciona confidencialidad de campos específicos de los datos durante una conexión, o para un paquete de datos. d) Servicio de confidencialidad de flujo de tráfico: este servicio busca ocultar

información sobre el flujo de un mensaje durante una conexión.

 SERVICIO DE INTEGRIDAD

a) Servicio de integridad orientado a conexión con recuperación: proporciona integridad de los datos transmitidos durante toda la conexión y en caso de alguna violación a la integridad de ser posible recupera los problemas que ocasionaron dicha violación.

b) Servicio de integridad orientado a conexión sin recuperación: proporciona integridad a los datos durante toda la conexión, pero no se recuperan los problemas que ocasionaron la falla de integridad.

c) Servicio de integridad de campo seleccionado orientado a conexión: proporciona integridad de campos específicos de los paquetes transmitidos durante toda la conexión.

d) Servicio de integridad no orientado a conexión: proporciona integridad sólo a algunos paquetes de datos.

e) Servicio de integridad de campo seleccionado no orientado a conexión: proporciona integridad de campos específicos dentro de algunos paquetes de datos.

 SERVICIO DE NO REPUDIO

a) Servicios de no repudio con prueba de origen: sirve para proporcionar al destinatario una prueba del origen de los datos.

b) Servicio de no repudio con prueba de destino: sirve para proporcionar al emisario una prueba de que los datos se han entregado al destinatario.

En la tabla de la figura 2.13 se muestran los servicios que pueden ser implementados en cada una de las capas del modelo OSI, esta distribución no es definitiva ya que depende de los requerimientos de seguridad en el sistema.

37

FIGURA 2.13 Servicios de seguridad que se implementan en cada capa del modelo OSI

MECANISMOS DE SEGURIDAD ESPECÍFICOS

Estos mecanismos son usados para proporcionar algunos de los servicios descritos arriba. Dentro de la arquitectura de seguridad OSI se establecen ocho mecanismos de seguridad específicos; en la figura 2.14 se muestran estos mecanismos que por sí solos o en combinación con otros son apropiados para proveer cada servicio de seguridad. Es importante señalar que las relaciones mostradas en la tabla no son definitivas.

38

FIGURA 2.14 Mecanismos de seguridad empleados para implementar cada servicio

Todos estos mecanismos ya fueron descritos con anterioridad en la sección 2.1.3 (Servicios y mecanismos de seguridad) del presente capítulo.

MECANISMOS DE SEGURIDAD GENERALIZADOS

Este tipo de mecanismos son utilizados para proporcionar mayor seguridad a una comunicación entre dos entidades y su uso depende el nivel de seguridad requerido. Dentro de la arquitectura de seguridad OSI se establecen cinco mecanismos de seguridad generalizados:

 FUNCIONALIDAD DE CONFIANZA

Se refiere a que todos los procedimientos que se realicen para proporcionar seguridad en la comunicación realmente cumplan con su objetivo tal y como se tiene previsto.

 ETIQUETAS DE SEGURIDAD

Los recursos del sistema pueden tener asociadas etiquetas de seguridad las cuales sirven para clasificar la información por niveles de seguridad: secreta, confidencial, no clasificada, etc., y con ello identificar la sensibilidad o nivel de protección requerido para cada uno de dichos recursos.

39

 DETECCIÓN DE EVENTOS

Se utiliza para detectar violaciones aparentes de la seguridad. Cabe señalar que se detectan todo tipo de eventos ocurridos es el sistema, es decir violaciones o accesos satisfactorios.

 RASTREO DE AUDITORÍA DE SEGURIDAD

Se trata de una revisión de los registros y actividades del sistema para verificar el cumplimiento de las políticas de seguridad establecidas con el fin de proporcionar eficientemente seguridad al sistema; en caso de encontrar alguna falla, se recomiendan los cambios para eliminar los problemas.

 RECUPERACIÓN DE SEGURIDAD

Después de alguna falla en la seguridad de un sistema se deben llevar a cabo acciones de recuperación mediante la aplicación de varias medidas establecidas previamente como resultado de ciertas pruebas de verificación de criterios y normas.