Universidad Nacional Autnoma de Mxico

Facultad de Ingeniera

Criptografa
Grupo 2

Arquitectura de seguridad OSI (ISO 7498-2)

ALUMNOS: ARGUETA CORTES JAIRO I. MENDOZA GAYTAN JOSE T. ELIZABETH RUBIO MEJA

PROFESORA: M. en C. Ma. Jaquelina Lpez Barrientos

Martes 16 de Febrero de 2010

INDICE
Introduccin..3 Objetivo3 Seguridad de servicios ISO7498-2..3 Servicio de autenticacin Servicio de control de acceso Servicio de confidencialidad de datos Servicio de integridad de datos Servicio de no repudio Mecanismos de seguridad ISO7498-2.5 1. Mecanismos de seguridad especficos. Mecanismo de cifrado Mecanismos de firma digital Mecanismo de control de acceso Mecanismo de integridad de datos Mecanismo de intercambio de autenticacin Mecanismo de relleno de trfico Mecanismo de control de encaminamiento Mecanismo de certificacin 2. Mecanismos de seguridad generalizados. Mecanismo de funcionalidad de confianza Mecanismo de etiquetas de seguridad Mecanismo de deteccin de eventos Mecanismo de rastreo de auditora de seguridad Mecanismos de recuperacin de seguridad Bibliografa7

Introduccin Los requisitos en seguridad de la informacin manejada dentro de una organizacin ha evolucionado sustancialmente en las ltimas dcadas. En un principio la seguridad de la informacin radicaba en medios fsicos y administrativos, con la llegada y enorme evolucin de los sistemas informticos ha surgido la necesidad de desarrollar herramientas automticas para proteger los ficheros y otras informaciones almacenadas en memoria. Estas necesidades de seguridad han conducido a la evolucin de los sistemas operativos con el objeto de proteger los recursos del sistema y dar acceso a usuarios autorizados. Por otro lado el desarrollo en paralelo de los sistemas distribuido y redes de datos ha dado lugar a la aparicin de nuevos riesgos de seguridad relativos a la distribucin de la informacin entre los sistemas informticos y a la necesidad de reforzar o incluso adaptar al nuevo entorno los controles de seguridad de los sistemas individuales. Objetivo El objetivo de este trabajo es el anlisis de los riesgos de seguridad en la distribucin de la informacin en redes de comunicaciones. En este sentido, para que dos sistemas informticos intercambien informacin es necesario junto con unos medios de transmisin fsicos la existencia de una arquitectura de comunicaciones comn estructurada en niveles. Cada uno de estos niveles realizar un subconjunto de las funcionalidades propias necesarias para el intercambio de datos. Este proceso de integracin implicar la implementacin de mecanismos y servicios y funciones de seguridad de seguridad que se apoyarn en muchos casos en servicios, mecanismos y funciones ya implementados en la propia arquitectura de comunicaciones. El resultado final ser lo que denominaremos Arquitectura de seguridad.

La Arquitectura de seguridad OSI (ISO7498-2) El documento de ISO que describe el modelo de referencia OSI, consta de una segunda parte (ISO7498-2) que se refiere a la arquitectura de seguridad, la cual fue publicada en 1988 y en ella se proporciona una descripcin general de los servicios y mecanismos relacionados con la seguridad y sus interrelaciones. Seguridad de servicios ISO7498-2 La arquitectura indica que para proteger las comunicaciones de los usuarios en las redes, es necesario dotar a las mismas con 5 clases de servicios de seguridad. a) Servicio de autenticacin: Corrobora la veracidad de la fuente de una unidad de datos. - La autenticacin de entidad par sirve para proporcionar la capacidad de verificar que la entidad pareja o contraparte de una asociacin es quien dice ser.

b) c)

d)

e)

La autenticacin de origen de los datos permite reclamar el origen de las fuentes de los datos recibidos, pero este servicio no protege de la duplicacin o modificacin de unidades de datos. Servicio de control de acceso: Se utiliza para evitar el uso no autorizado de los recursos. Servicio de confidencialidad de datos: Proporciona proteccin contra la revelacin deliberada o accidental de los datos en una comunicacin. - Los servicios de confidencialidad orientados a conexin proporcionan confidencialidad a todos los datos transmitidos durante su conexin. - Los servicios de confidencialidad no orientados a conexin proporcionan confidencialidad de paquetes de datos. - Los servicios de confidencialidad de campo selectivo proporcionan confidencialidad de campos especficos de los datos durante una conexin, o para unidad de datos. - Los servicios de confidencialidad de flujo de trfico proporcionan proteccin de informacin que de otra forma podran resultar comprometida u obtenida indirectamente mediante un anlisis del trfico. Servicio de integridad de datos: Garantiza que los datos recibidos por el receptor de una comunicacin coinciden con los enviados por el emisor. - Los servicios de integridad orientados a conexin con recuperacin de datos proporcionan integridad de los mismos durante una conexin. Permiten la recuperacin de fallos de integridad. - Los servicios de integridad orientados a conexin sin recuperacin de datos proporcionan integridad a los mismos durante una conexin. No se recuperan los fallos de integridad. - Los servicios de integridad de campo seleccionado orientado a conexin proporcionan integridad de campos especficos en los datos durante la conexin. - Los servicios de integridad no orientados a conexin proporcionan integridad a unidades de datos. - Los servicios de integridad de campo seleccionado no orientados a conexin proporcionan integridad de campos especficos dentro de las unidades de datos. Servicio de no repudio: Proporciona la prueba ante una tercera parte de que cada una de las entidades comunicantes que han participado en una comunicacin. - Los servicios de no repudio con prueba de origen sirven para proporcionar al destinatario una prueba del origen de los datos. - Los servicios de no repudio con prueba de destino sirven para proporcionar al emisario una prueba de que los datos se han entregado al destinatario.

Para proporcionar estos servicios de seguridad es necesario incorporar mecanismos de seguridad en los niveles apropiados del modelo OSI, para lo cual la arquitectura de seguridad OSI distingue entre mecanismos de seguridad especficos y mecanismos de seguridad generalizados.

Mecanismos de seguridad ISO7498-2. Los mecanismos de seguridad para la arquitectura de seguridad de OSI son especficos y generalizados. 1. Mecanismos de seguridad especficos. a) Mecanismo de cifrado: Se utiliza para proteger la confidencialidad de los datos ya sea en reposo o en flujo, as como para dar soporte o complementar otros mecanismos de seguridad. b) Mecanismos de firma digital: Se emplean para proporcionar una analoga electrnica a la firma manuscrita en documentos electrnicos; de forma similar a las firmas manuscritas, las firmas digitales no deben ser falsificables. c) Mecanismo de control de acceso: Se utiliza para autenticar las capacidades de una entidad, con el fin de asegurar los derechos de acceso a recursos que posee. d) Mecanismo de integridad de datos: Se encargan de proteger la integridad de los datos, de los paquetes de datos, de las secuencias de los paquetes de datos, as como de los campos correspondientes a dichas secuencias. e) Mecanismo de intercambio de autenticacin: Su finalidad es verificar la identidad de las entidades en comunicacin antes de iniciar el intercambio de informacin. Existen dos grados en el mecanismo de autenticacin: o Autenticacin simple: El emisor evala su nombre distintivo y una contrasea al receptor, el cual los comprueba. o Autenticacin fuerte: Se basa en el uso de tcnicas criptogrficas para proteger los mensajes que se van a intercambiar, para lo cual utiliza las propiedades de los criptosistemas asimtricos. f) Mecanismo de relleno de trfico: Se utiliza para brindar proteccin contra ataques de anlisis de trfico. El trmino relleno de trfico se refiere a la generacin de ejercicios de comunicacin espurios, paquetes de datos espurios, y de datos espurios dentro de dichos paquetes. El objetivo es no revelar si los datos que se estn transmitiendo representan y codifican realmente informacin. g) Mecanismo de control de encaminamiento: Permite la seleccin dinmica o preestablecida de rutas especficas para la transmisin de los datos. h) Mecanismo de certificacin: Su funcin es asegurarse de ciertas propiedades de los datos que se comunican entre dos o ms entidades, entre los que destacan su integridad, origen, tiempo o destino. 2. Mecanismos de seguridad generalizados. No son especficos de un servicio en particular, y en algunos casos pueden ser contemplados tambin como aspectos de la gestin de la seguridad. La importancia de

estos mecanismos est en general relacionada directamente con el nivel de seguridad requerido. La arquitectura de seguridad OSI enumera ocho mecanismos de seguridad generalizados: a) Mecanismo de funcionalidad de confianza: Se trata de poner en prctica un concepto que se utiliza para ampliar o extender otros mecanismos de seguridad o para establecer su efectividad. b) Mecanismo de etiquetas de seguridad: Mecanismo asociado directamente con los recursos del sistema, ya que un nivel de seguridad puede implicar datos adicionales que se asocian a los datos transmitidos o puede ser implcito, y su uso primordial se da en los datos en trnsito. c) Mecanismo de deteccin de eventos: Se trata de un mecanismo relevante para la seguridad ya que su funcin es detectar violaciones aparentes de la seguridad. d) Mecanismo de rastreo de auditora de seguridad: Se encarga de la revisin de examen independiente de los registros y las actividades del sistema para probar la operatividad de los controles, asegurar el cumplimiento de las polticas y procedimientos operacionales establecidos y recomendar los cambios adecuados en el control, poltica y procedimientos e) Mecanismos de recuperacin de seguridad: Se relaciona directamente con mecanismos gestores de eventos y funciones de gestin, y se encarga de realizar acciones de recuperacin con base en las polticas de seguridad establecidas. Los niveles del modelo OSI se pueden agrupar en dos bloques, uno de los cuales incluye los 3 primeros niveles 1-3, esto es, fsico, enlace y red, que son los encargados de las comunicaciones entre redes, en tanto que en el otro grupo quedan contenidos los cuatro niveles superiores del modelo, esto es, transporte, sesin, presentacin y aplicacin, que relacionan los sistemas terminales a travs de la red. ISO 7498-2 indica que pueden existir servicios de confidencialidad en cualquiera de los niveles encargados de las comunicaciones entre redes. En el nivel 1 se puede realizar el cifrado de todo trfico del canal, evitando as que puedan distinguirse los bloques de informacin, bloques de relleno y las direcciones de emisor y receptor, con los que se brinda el servicio de confidencialidad en el trfico del mensaje. En el nivel 2 pueden descifrarse los campos de informacin de los paquetes. En el nivel 3 se puede realizar el mismo cifrado que en el nivel 2, adems pueden incluirse otros servicios de seguridad, como los servicios de acceso seguro y servicios de integridad.

En los cuatro niveles superiores del modelo, los servicios considerados para la seguridad podran parecer en primera instancia duplicados algunos de ellos por haber sido contemplados en los
6

niveles precedentes, sin embargo, esta duplicacin es slo aparente, ya que un servicio ofrecido por dos capas distintas no conlleva las mismas prestaciones. En el nivel 4 se contemplan los mismos servicios que en la capa de red, considerando que en el nivel de red la seguridad se aplica a un trfico multiplexado; es decir, no ofrece servicios de seguridad especficos para cada usuario ni un acceso restringido a la red. En el nivel 5 no est contemplado ningn tipo de seguridad. En el nivel 6 solamente se considera el servicio de confidencialidad. En el nivel 7 se tiene previsto el servicio no-repudio.

Bibliografa

Lpez Barrientos, Ma. Jaquelina. Criptografa, Mxico, Universidad Nacional Autnoma de Mxico, Facultad de Ingeniera, 2009, pginas 44-52. Mesografa http://pegaso.ls.fi.upm.es/~lmengual/ARQ_REDES/Arquitecturas_Seguridad.pdf